Cross-Site Scripting

クロスサイトスクリプティング (XSS) ⚔️ 攻撃タイプ 関連 27
slug: xss

解説

XSSは「Webページの中に、攻撃者の悪意あるJavaScriptを忍び込ませる」攻撃です。 例えば掲示板に `<script>盗む()</script>` のような投稿をして、それを見た他のユーザーのCookie (ログイン情報) を盗む、といった攻撃が典型的です。 対策は「ユーザー入力を画面に出すときに、HTMLとして無害化 (エスケープ) する」こと。多くのフレームワークでは標準で対策されています。
📌 具体例
2005年MySpaceワーム「Samy」: 1人の投稿が見るだけで他人のプロフィールにコピーされ、24時間で100万人に感染した有名事件。

🔖 関連タグ

🛡 このタグに関連する脆弱性 3,314

ID タイトル
CVE-2017-1431 ibm に クロスサイトスクリプティング (CVE-2017-1431)
CVE-2017-12777 Cross-Site Scripting (XSS) exists in NexusPHP version v1.5 via some parameter to usersearch.php.
CVE-2016-6121 ibm に クロスサイトスクリプティング (CVE-2016-6121)
CVE-2014-5144 telescopeapp に クロスサイトスクリプティング (CVE-2014-5144)
CVE-2014-6393 express に クロスサイトスクリプティング (CVE-2014-6393)
CVE-2014-9701 mantisbt に クロスサイトスクリプティング (CVE-2014-9701)
CVE-2017-8654 microsoft に クロスサイトスクリプティング (CVE-2017-8654)
CVE-2017-12677 angular に クロスサイトスクリプティング (CVE-2017-12677)
CVE-2016-3113 redhat に クロスサイトスクリプティング (CVE-2016-3113)
CVE-2017-12655 nexusphp-project に クロスサイトスクリプティング (CVE-2017-12655)
CVE-2009-5145 zope に クロスサイトスクリプティング (CVE-2009-5145)
CVE-2016-10404 liferay に クロスサイトスクリプティング (CVE-2016-10404)
CVE-2017-12645 XSS exists in Liferay Portal before 7.0 CE GA4 via an invalid portletId.
CVE-2017-12646 XSS exists in Liferay Portal before 7.0 CE GA4 via a login name, password, or e-mail address.
CVE-2017-12647 XSS exists in Liferay Portal before 7.0 CE GA4 via a Knowledge Base article title.
CVE-2017-12648 XSS exists in Liferay Portal before 7.0 CE GA4 via a bookmark URL.
CVE-2017-12649 liferay に クロスサイトスクリプティング (CVE-2017-12649)
CVE-2017-6761 cisco に クロスサイトスクリプティング (CVE-2017-6761)
CVE-2017-6762 cisco に クロスサイトスクリプティング (CVE-2017-6762)
CVE-2017-6764 cisco に クロスサイトスクリプティング (CVE-2017-6764)
CVE-2017-6765 cisco に クロスサイトスクリプティング (CVE-2017-6765)
CVE-2017-6769 cisco に クロスサイトスクリプティング (CVE-2017-6769)
CVE-2017-12583 DokuWiki through 2017-02-19b has XSS in the at parameter (aka the DATE_AT variable) to doku.php.
CVE-2017-12572 splunk に クロスサイトスクリプティング (CVE-2017-12572)
CVE-2017-12439 socusoft に CSRF (CVE-2017-12439)
CVE-2017-1331 ibm に クロスサイトスクリプティング (CVE-2017-1331)
CVE-2017-12413 AXIS 2100 devices 2.43 have XSS via the URI, possibly related to admin/admin.shtml.
CVE-2017-1199 ibm に クロスサイトスクリプティング (CVE-2017-1199)
CVE-2017-1327 ibm に クロスサイトスクリプティング (CVE-2017-1327)
CVE-2017-11320 technicolor に クロスサイトスクリプティング (CVE-2017-11320)

🍪 Cookie について

当サイトはログイン状態の保持・言語設定・サービス改善のために Cookie を使用します。詳細は下記リンクをご確認ください。

詳細 →