Cross-Site Scripting

クロスサイトスクリプティング (XSS) ⚔️ 攻撃タイプ 関連 27
slug: xss

解説

XSSは「Webページの中に、攻撃者の悪意あるJavaScriptを忍び込ませる」攻撃です。 例えば掲示板に `<script>盗む()</script>` のような投稿をして、それを見た他のユーザーのCookie (ログイン情報) を盗む、といった攻撃が典型的です。 対策は「ユーザー入力を画面に出すときに、HTMLとして無害化 (エスケープ) する」こと。多くのフレームワークでは標準で対策されています。
📌 具体例
2005年MySpaceワーム「Samy」: 1人の投稿が見るだけで他人のプロフィールにコピーされ、24時間で100万人に感染した有名事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 3,314

ID タイトル
CVE-2015-7711 atutor に クロスサイトスクリプティング (CVE-2015-7711)
CVE-2017-7855 icewarp に クロスサイトスクリプティング (CVE-2017-7855)
CVE-2016-10508 phpthumb-project に クロスサイトスクリプティング (CVE-2016-10508)
CVE-2016-10510 kohanaframework に クロスサイトスクリプティング (CVE-2016-10510)
CVE-2017-14070 nexusphp に クロスサイトスクリプティング (CVE-2017-14070)
CVE-2016-0713 cloudfoundry に クロスサイトスクリプティング (CVE-2016-0713)
CVE-2017-1444 ibm に クロスサイトスクリプティング (CVE-2017-1444)
CVE-2017-1447 ibm に クロスサイトスクリプティング (CVE-2017-1447)
CVE-2017-14049 blackcat-cms に クロスサイトスクリプティング (CVE-2017-14049)
CVE-2017-14036 CrushFTP before 7.8.0 and 8.x before 8.2.0 has XSS.
CVE-2017-1443 ibm に クロスサイトスクリプティング (CVE-2017-1443)
CVE-2017-1445 ibm に クロスサイトスクリプティング (CVE-2017-1445)
CVE-2017-1446 ibm に クロスサイトスクリプティング (CVE-2017-1446)
CVE-2017-13778 Fiyo CMS 2.0.7 has XSS in dapur\apps\app_config\sys_config.php via the site_name parameter.
CVE-2017-13762 ONOS versions 1.8.0, 1.9.0, and 1.10.0 are vulnerable to XSS.
CVE-2016-2967 ibm に クロスサイトスクリプティング (CVE-2016-2967)
CVE-2016-2975 ibm に クロスサイトスクリプティング (CVE-2016-2975)
CVE-2017-1427 ibm に クロスサイトスクリプティング (CVE-2017-1427)
CVE-2017-1485 ibm に クロスサイトスクリプティング (CVE-2017-1485)
CVE-2017-1535 ibm に クロスサイトスクリプティング (CVE-2017-1535)
CVE-2013-7433 Cross-site scripting (XSS) vulnerability in the Googlemaps plugin before 3.1 for Joomla!.
CVE-2017-3151 apache に クロスサイトスクリプティング (CVE-2017-3151)
CVE-2017-3152 apache に クロスサイトスクリプティング (CVE-2017-3152)
CVE-2017-3153 apache に クロスサイトスクリプティング (CVE-2017-3153)
CVE-2016-2973 ibm に クロスサイトスクリプティング (CVE-2016-2973)
CVE-2016-2979 ibm に クロスサイトスクリプティング (CVE-2016-2979)
CVE-2015-6588 modx に クロスサイトスクリプティング (CVE-2015-6588)
CVE-2015-6942 coremail に クロスサイトスクリプティング (CVE-2015-6942)
CVE-2017-12856 c に クロスサイトスクリプティング (CVE-2017-12856)
CVE-2017-10837 backup-guard に クロスサイトスクリプティング (CVE-2017-10837)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →