セキュリティ関連

リンク

情報

ウイルス対策

スパイウェア・アドウェア対策

ファイアーウォール

ウィルスチェック

セキュリティホール

クロスサイトスクリプティング(XSS, Cross Site Scripting)

  • CGIやJavaアプレットなど動的にページを生成できるプログラムにおいて
    悪意のあるスクリプト(プログラム)を実行させること。
汚染(tainted)
検索エンジン、掲示板、チャットなど文字列が入力されるが
ユーザから送られてくる情報は必ずしも安全なものばかりではない。
何の処理もされていないデータを「汚染されている(teinted)」と呼ぶ。

例えば、HTMLタグを禁止していない掲示板に悪意のあるタグを埋め込んで
危険なサイトを勝手に開かせたり、ユーザの個人情報を盗み出すことができる。
これを防ぐには、などのHTMLの命令で特別な意味を持った記号(< > " &)を消したり
命令に関係ない記号(&lt; &gt; &quot; &amp;)に置き換えて安全に表示できるようにする。
::以下はよくないコードの例
<?php
//HTTP-Cookieをそのまま表示している
//Cookieは偽ることができるので
echo($_COOKIE['name']."さんいらっしゃいませ。");
?>

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規新規下位 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2009-06-04 (木) 01:01:32 (2998d)