Cross-Site Scripting

クロスサイトスクリプティング (XSS) ⚔️ 攻撃タイプ 関連 27
slug: xss

解説

XSSは「Webページの中に、攻撃者の悪意あるJavaScriptを忍び込ませる」攻撃です。 例えば掲示板に `<script>盗む()</script>` のような投稿をして、それを見た他のユーザーのCookie (ログイン情報) を盗む、といった攻撃が典型的です。 対策は「ユーザー入力を画面に出すときに、HTMLとして無害化 (エスケープ) する」こと。多くのフレームワークでは標準で対策されています。
📌 具体例
2005年MySpaceワーム「Samy」: 1人の投稿が見るだけで他人のプロフィールにコピーされ、24時間で100万人に感染した有名事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 3,314

ID タイトル
CVE-2017-7360 Pixie 1.0.4 allows an admin/index.php s=settings&x= XSS attack.
CVE-2017-7361 Pixie 1.0.4 allows an admin/index.php s=publish&m=static&x= XSS attack.
CVE-2017-7362 Pixie 1.0.4 allows an admin/index.php s=publish&m=dynamic&x= XSS attack.
CVE-2017-7363 Pixie 1.0.4 allows an admin/index.php s=publish&m=module&x= XSS attack.
CVE-2017-7320 dos に クロスサイトスクリプティング (CVE-2017-7320)
CVE-2016-6846 open-xchange に クロスサイトスクリプティング (CVE-2016-6846)
CVE-2017-5900 netcomm に クロスサイトスクリプティング (CVE-2017-5900)
CVE-2017-7298 moodle に クロスサイトスクリプティング (CVE-2017-7298)
CVE-2017-6864 siemens に クロスサイトスクリプティング (CVE-2017-6864)
CVE-2017-2687 siemens に クロスサイトスクリプティング (CVE-2017-2687)
CVE-2016-9465 nextcloud に クロスサイトスクリプティング (CVE-2016-9465)
CVE-2016-9466 nextcloud に クロスサイトスクリプティング (CVE-2016-9466)
CVE-2016-9472 revive-adserver に クロスサイトスクリプティング (CVE-2016-9472)
CVE-2016-9126 revive-adserver に クロスサイトスクリプティング (CVE-2016-9126)
CVE-2016-9128 revive-adserver に クロスサイトスクリプティング (CVE-2016-9128)
CVE-2016-9130 revive-adserver に クロスサイトスクリプティング (CVE-2016-9130)
CVE-2016-9454 revive-adserver に クロスサイトスクリプティング (CVE-2016-9454)
CVE-2016-9457 revive-adserver に クロスサイトスクリプティング (CVE-2016-9457)
CVE-2016-9459 nextcloud の脆弱性 (CVE-2016-9459)
CVE-2016-6056 ibm に クロスサイトスクリプティング (CVE-2016-6056)
CVE-2016-9737 ibm に クロスサイトスクリプティング (CVE-2016-9737)
CVE-2017-1120 ibm に クロスサイトスクリプティング (CVE-2017-1120)
CVE-2015-8010 icinga に クロスサイトスクリプティング (CVE-2015-8010)
CVE-2017-7271 yii-software に クロスサイトスクリプティング (CVE-2017-7271)
CVE-2015-8310 cherrymusic に クロスサイトスクリプティング (CVE-2015-8310)
CVE-2017-6878 metinfo に クロスサイトスクリプティング (CVE-2017-6878)
CVE-2017-6002 csrf に CSRF (CVE-2017-6002)
CVE-2017-6003 dotcms に クロスサイトスクリプティング (CVE-2017-6003)
CVE-2017-6066 csrf に CSRF (CVE-2017-6066)
CVE-2017-6067 Symphony 2.6.9 has XSS in publish/notes/edit/##/saved/ via the bottom form field.

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →