Cross-Site Scripting

クロスサイトスクリプティング (XSS) ⚔️ 攻撃タイプ 関連 27
slug: xss

解説

XSSは「Webページの中に、攻撃者の悪意あるJavaScriptを忍び込ませる」攻撃です。 例えば掲示板に `<script>盗む()</script>` のような投稿をして、それを見た他のユーザーのCookie (ログイン情報) を盗む、といった攻撃が典型的です。 対策は「ユーザー入力を画面に出すときに、HTMLとして無害化 (エスケープ) する」こと。多くのフレームワークでは標準で対策されています。
📌 具体例
2005年MySpaceワーム「Samy」: 1人の投稿が見るだけで他人のプロフィールにコピーされ、24時間で100万人に感染した有名事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 3,314

ID タイトル
CVE-2017-14850 orpak に クロスサイトスクリプティング (CVE-2017-14850)
CVE-2019-10254 misp-project に クロスサイトスクリプティング (CVE-2019-10254)
CVE-2018-11562 misp-project に クロスサイトスクリプティング (CVE-2018-11562)
CVE-2017-18006 extensis に クロスサイトスクリプティング (CVE-2017-18006)
CVE-2017-18004 Zurmo 3.2.3 allows XSS via the latitude or longitude parameter to maps/default/mapAndPoint.
CVE-2016-10704 magento に クロスサイトスクリプティング (CVE-2016-10704)
CVE-2017-17089 webmin に クロスサイトスクリプティング (CVE-2017-17089)
CVE-2017-12810 PHPJabbers PHP Newsletter Script 4.2 has stored XSS in lists in the admin panel.
CVE-2017-12811 PHPJabbers Star Rating Script 4.0 has stored XSS via a rating item.
CVE-2017-12812 stivasoft に クロスサイトスクリプティング (CVE-2017-12812)
CVE-2017-12813 PHPJabbers File Sharing Script 1.0 has stored XSS in the comments section.
CVE-2017-17981 PHP Scripts Mall Muslim Matrimonial Script has XSS via the admin/slider_edit.php edit_id parameter.
CVE-2017-17984 PHP Scripts Mall Muslim Matrimonial Script has XSS via the admin/event_edit.php edit_id parameter.
CVE-2017-17985 PHP Scripts Mall Muslim Matrimonial Script has XSS via the admin/state_view.php cou_id parameter.
CVE-2017-17986 PHP Scripts Mall Muslim Matrimonial Script has XSS via the admin/caste_view.php comm_id parameter.
CVE-2017-17988 muslim-matrimonial-script-project に クロスサイトスクリプティング (CVE-2017-17988)
CVE-2017-17989 iwcnetwork に クロスサイトスクリプティング (CVE-2017-17989)
CVE-2017-17991 iwcnetwork に クロスサイトスクリプティング (CVE-2017-17991)
CVE-2017-17993 iwcnetwork に クロスサイトスクリプティング (CVE-2017-17993)
CVE-2017-17994 iwcnetwork に クロスサイトスクリプティング (CVE-2017-17994)
CVE-2017-17995 iwcnetwork に クロスサイトスクリプティング (CVE-2017-17995)
CVE-2017-17933 netwin に クロスサイトスクリプティング (CVE-2017-17933)
CVE-2017-17971 dolibarr に クロスサイトスクリプティング (CVE-2017-17971)
CVE-2017-16876 mistune-project に クロスサイトスクリプティング (CVE-2017-16876)
CVE-2017-17948 Cells Blog 3.5 has XSS via the jfdname parameter in an act=showpic request.
CVE-2017-17949 Cells Blog 3.5 has XSS via the pub_readpost.php fmid parameter.
CVE-2017-17953 PHP Scripts Mall PHP Multivendor Ecommerce has XSS via the category.php chid1 parameter.
CVE-2017-17954 PHP Scripts Mall PHP Multivendor Ecommerce has XSS via the seller-view.php usid parameter.
CVE-2017-17955 PHP Scripts Mall PHP Multivendor Ecommerce has XSS via the shopping-cart.php cusid parameter.
CVE-2017-17956 php-multivendor-ecommerce-project に クロスサイトスクリプティング (CVE-2017-17956)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →