はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っているエンジニアの多くの方が知っている脆弱性です。ですが、私はWebアプリケーションの脆弱性診断を行ってきた経験の中で多くのXSSを目にしてきましたし、依然として検出率の多い脆弱性の一つだと感じています。 その認知度や、一般的な対策方法のハードルの低さ(設計や仕様によっては対策工数が大きい場合もありますが)にも関わらずXSSの検出率が多いのは、直感的にリスクがわかりづらく、アラートをあげるだけの紹介が多いことが一つの要因ではないかと考えています。 すなわち、興味範囲が「どのよう
React と Vue.js におけるエスケープ機構と XSS について、簡単なハンズオンを交えて説明していきます。無料で読めますが、お気に召されたらご購入いただけると嬉しいです。
Pwn2OwnでMicrosoft Teamsをハッキングして2000万円を獲得した方法/ Shibuya.XSS techtalk #12
Shibuya.XSS techtalk #12 の発表資料です。 English version is here: https://speakerdeck.com/masatokinugawa/pwn2own2022
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
SPA開発とセキュリティ - DOM based XSSを引き起こすインジェクションのVue, React, Angularにおける解説と対策 - Flatt Security Blog
Vue.js logo: ©︎ Evan You (CC BY-NC-SA 4.0 with extra conditions(It’s OK to use logo in technical articles for educational purposes)) / React logo: ©︎ Meta Platforms, Inc. (CC BY 4.0) / Angular logo: ©︎ Google (CC BY 4.0) はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近のJavaScriptフレームワークの進化は著しく、VueやReactやAngularは様々なWebサービスに採用されています。そのため、多くのWebサービスがSPAを実装するようになりました。JavaScriptフレームワークは便利な一方で
フロントエンドエンジニアのためのセキュリティ対策 ~XSS編~ / #frontkansai 2019
FRONTEND CONFERENCE 2019( https://2019.kfug.jp )でセキュリティ、主にXSSについて話をしました。 demo: https://shisama.dev/xss-test # Technical Topics - 3 types of XSS ( Reflected XSS, Stored XSS, DOM based XSS) - XSS with React - DOMPurify - Content Security Policy - Trusted Types
Cross-Site Scripting (XSS) Cheat Sheet - 2024 Edition | Web Security Academy
Cross-site scripting (XSS) cheat sheet This cross-site scripting (XSS) cheat sheet contains many vectors that can help you bypass WAFs and filters. You can select vectors by the event, tag or browser and a proof of concept is included for every vector. You can download a PDF version of the XSS cheat sheet. This is a PortSwigger Research project. Follow us on Twitter to receive updates. Downloaded
XSSの脅威を考察する - セキュアスカイプラス
はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発生原因くらいは知ってるよ」という人を対象にしています。「XSSって何だっけ」という方は クロスサイトスクリプティング対策 ホンキのキホン (1/3):CodeZine(コードジン) などの記事を参照してください。 技術的な面からの解
New XSS vectors
Published: 20 April 2022 at 14:00 UTC Updated: 20 April 2022 at 14:07 UTC Transition based events without style blocksSo, recently, I was updating our XSS cheat sheet to fix certain vectors that had been made obsolete by browser updates. Whilst looking at the vectors, the transition events stuck in my head. They needed a style block as well as the event: <style>:target {color:red;}</style> <xss id
XSSがあってもlocalStorageに保存するのに比べてcookieのhttpOnlyはjsから読めないので強いと言うことですが、SPAのサイトであれば、XSSを使ってAPIを呼び出し放題なので、セッションのcookieがjsで読めなくても危険性には大差がないのでは?と思うのですが私の認識がおかしいでしょうか? - ockeghem page
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ代表 IPA非常勤職員 脆弱性診断、WAFの販売・導入、セキュリティコンサルティングをやっています。 https://t.co/F0kveu1nJM
Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備(同ドメイン内なら ...) - Qiita
Auth TokenをlocalStorageに入れようが、cookieに入れようがどっちもXSS危険性には無防備(同ドメイン内なら ...)JavaScriptcookieJWTxsstoken tokenを保存する場所 localStorage cookie cookie (http only) メモリ内 (変数) よく言われるのが JWT tokenをlocalStorageに入れるべきではない ということ。 理由としてはJavascriptで簡単に読めてしまうので、XSSがあった場合意図しないスクリプトを動かされてしまい、結果としてtokenが盗まれるというもの。 対応策として cookie (http only) を色んな所で推奨してる。 https://techracho.bpsinc.jp/hachi8833/2019_10_09/80851 http://cryto.net
SQL/コマンドインジェクション、XSS等を横串で理解する - 「インジェクション」脆弱性への向き合い方 - Flatt Security Blog
こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より広くインジェクションの考え方を自身のプロダクト開発に適用していくかについて扱っていきます。 SQLインジェクションやコマンドインジェクション、XSSのようなインジェクションに関わる有名な手法について横断的に解説をしながら、インジェクションの概念を説明していきます。初めてインジェクションに触れる方にとっては、インジェクションの実例や基本的な考え方に触れることができ、その全体像を把握する助けになるかと思います。 また、既にいくつかのインジェクション手法を知っている方にと
XSSを理解して安全なWebアプリケーションを作る
どうもoreoです。今回はXSSについて記載します。 1 XSS(cross site scripting)とは? XSSとは動的にHTMLを生成するWebサイトで悪意あるスクリプトが埋め込まれたコンテンツをHTMLとしてそのまま表示した際に、スクリプトが実行される攻撃手法(または脆弱性)です。 XSSの脆弱性があると偽サイトへの誘導、フィッシング、Cookie情報漏洩などの脅威があります。 XSSには主に下記3つの攻撃手法があります。 1-1 Persistent XSS(持続型XSS) Stored XSS(格納型XSS)とも言われます。悪意あるスクリプトが格納されたWebサイトを閲覧した際に、ユーザーのブラウザ上で不正なスクリプトが実行される攻撃手法です。 例えば、掲示板のようなユーザー投稿機能があるWebサイトを考えます。攻撃者が悪意あるスクリプトを含むコメントを投稿し、そのデータ
GitHub - terjanq/Tiny-XSS-Payloads: A collection of tiny XSS Payloads that can be used in different contexts. https://tinyxss.terjanq.me
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Published: 11 July 2023 at 13:00 UTC Updated: 11 July 2023 at 13:00 UTC In this post we are going to show how you can (ab)use the new HTML popup functionality in Chrome to exploit XSS in meta tags and hidden inputs. It all started when I noticed the new popover behaviour with Chrome on Twitter. We all know about annoying modal dialogs that nag you to subscribe to a newsletter - now you can create
It’s been a year since my last XSS cheatsheet, and a year of developments in XSS exploitology. Here’s a new and updated version jam-packed full of goodies that I use myself! Note: This cheat-sheet focuses on up to date and relevant items only. Would you take a cheat sheet with you to an exam that has a bunch of irrelevant stuff? No, of course not. I hate cheat sheets that waste space on methods th
[BODYも分かる!] AWS WAFでXSS/SQLiのログに詳細が記録されるようになりました[アップデート] #reinvent | DevelopersIO
こんにちは、臼田です。 みなさん、WAFWAFしてますか?(久しぶりの挨拶 今回はAWS WAF利用者にとって地味に嬉しいアップデートがありました。 AWS WAF で、一致したルールに関するコンテキストのリクエストログ記録を改善 こちらを紹介しつつ実際にやってみます。 XSS/SQLiのログ詳細記録とは AWS WAFは2018年9月より下記の通りフルログを取得できるようになっていました。 フルログではWAFを通過した際の処理内容について様々な情報が出力されていましたが、XSS(クロスサイトスクリプティング)やSQLi(SQLインジェクション)の対策はAWS側で元々用意されているルールに合致したかどうかで判定されるため、リクエストのどの内容が問題となってBlockされているかが分かりづらいという欠点がありました。 今回はAWS WAFのフルログの中にterminatingRuleMatc
![[BODYも分かる!] AWS WAFでXSS/SQLiのログに詳細が記録されるようになりました[アップデート] #reinvent | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/a40565a486672c7039cb5c926f432f33218cbc0e/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Faws-waf.png)
はじめに xss については何となく理解したけど、結局それがどう攻撃に使われるのかが良く分からなかったので、セッションハイジャックと言うものを試してみた。 やりたいこと 攻撃者の立場に立ち、被害者に対して攻撃用 URL を送りつけ、被害者のセッション ID を取得する。 脆弱性のあるサイトを作る まずは被害者がログインできるサイトを作る。 javascript + express で作ったけど、あんまり使ったことないフレームワークだったから認証の仕組みを入れるのに時間がかかった。 といっても認証の方法は「どんなユーザー名でもパスワードでもログインできる」という感じ。 (ログイン状態さえ作り出せれば良いため) ↓ソースコード https://github.com/ahyaemon/express-training ↓ログインページ ↓ログイン後ホーム クッキーにセッション ID らしきものが
11社もの流通業のEC(電子商取引)サイトから顧客情報が流出した。約80社が利用するSaaSのサーバーがサイバー攻撃を受けたためだ。漏洩した可能性がある利用者情報は延べ43万件以上で、カード情報も含まれる。攻撃手法は「クロスサイトスクリプティング(XSS)」だった。SaaSの提供元は攻撃検知ツールなどを導入していたが、守りを突破された。 「御社のEC(電子商取引)サイトからクレジットカード情報が漏洩した可能性がある。調査してほしい」。2021年9月1日、流通大手のベイシアはクレジットカード会社から連絡を受けた。 クレジットカード会社がカード会員からの問い合わせを基に調査した結果、クレジットカードが不正利用されたと判断した。カード会員の利用履歴から判断すると、ベイシアのECサイト「ベイシアネットショップ」からの漏洩が疑われるという。 ベイシアはSaaS(ソフトウエア・アズ・ア・サービス)型の
XSSワーム「Samy」の動作を解析する Mar 1, 2018 この記事はセキュリティ・キャンプWS「The Anatomy of Malware 完全版」の応募課題として提出したものである。公開にあたり一部文章の修正と図式の差し替えを行なった。 Samyの誕生とそれによる被害 アメリカのハッカーであるSamy Kamkar氏(@samykamkar)が2005年にリリースしたMySpaceを標的とするXSSワームが「Samy(JS.Spacehero)」である。当時のソーシャル・ネットワーキング・サービスMySpaceは、プロフィールをユーザー好みのスタイルに設定できる仕様であり、一部のHTMLタグの使用が許可されていた。JavaScriptの実行につながるタグや属性などの使用は禁止されていたが、Kamkar氏はそのフィルター処理を回避できた¹。当時19歳だったKamkar氏はこの抜け
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) | Articles | web.dev
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) Stay organized with collections Save and categorize content based on your preferences. Cross-site scripting (XSS), the ability to inject malicious scripts into a web app, has been one of the biggest web security vulnerabilities for over a decade. Content Security Policy (CSP) is an added layer of security that helps to
Xbox Series X|Sが5000円の値上げを発表。2月17日からXSXは59978円、XSSは37978円に | ゲーム・エンタメ最新情報のファミ通.com
2023年1月31日、日本マイクロソフトは、Xbox Series XおよびXbox Series Sの本体参考価格を改訂することを発表した。Xbox Series Xは、従来までの参考価格54978円[税込]が59978 円[税込]に、Xbox Series Sは、32978円[税込]が37978 円[税込]にと、それぞれ5000円ずつ値上げすることになる。 販売価格の適用は2023年2月17日からで、実際の販売価格は販売店により決定されるとのこと。 本件に関して日本マイクロソフトでは、「日本における市場状況を注意深く評価した結果、国内におけるXbox コンソールの参考価格を変更することとしました。当社では、現地価格の影響を定期的に評価し、地域間の合理的な整合性を確保しています。今回の価格改訂はお客様にも影響を及ぼすものであり、難しい判断ではありましたが、今後も、お客様の期待するXbox
バグバウンティにおける XSS の具体的な脅威の事例まとめ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティで実際にあった脆弱性報告の事例をもとに、XSS の具体的な脅威(Impact)についていくつか紹介します。 1. 始めに 免責事項 想定読者 2. XSS (Cross Site Scripting) HackerOne Top 10 Vulnerability Types Escalation (Goal) 3. XSS の脅威 (Impact) 3.1 Response Body から Session ID の奪取 3.2 Local Storage から Access Token の奪取 3.3 IndexedDB から Session Data の奪取 3.4 メールアドレスの改ざん 3.5 パスワードの改ざん 3.6 管理者アカウントの招待 3.7 POST Based Reflected XSS 4.
Chrome 83 ベータ版: XSS からの保護、フォーム コントロールの改善、安全な CORS など
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Posted Mar 26, 2021 2021-03-26T09:30:00-07:00 by Jun Kokatsu After the research on Site Isolation, it became clear that the most common problem with extensions is calling chrome.tabs.create with a URL received from a content script message. While such a bug can be used to steal local files, it can also open up an interesting attack surface, which is the navigation to WebUI. In this blog post, we w
既に報告されているように、ECサイトの管理画面のクロスサイトスクリプティング脆弱性が狙われて、クレジットカード情報が盗まれる事件が発生しています。この攻撃は、管理画面にIPアドレス制限があっても防御されません。 この動画では、ECサイトのXSS脆弱性を狙った攻撃をデモにて紹介します。本編は短縮版なので攻撃の概要に特化しており、詳細を知りたい場合は完全版(下記)を視聴ください。本編で用いる脆弱性は現実のものではありません。 完全版: https://youtu.be/FpCabifwhKg 参考情報 ・トレンドマイクロのブログ記事 https://blog.trendmicro.co.jp/archives/27875 ・株式会社イーシーキューブのリリース https://www.ec-cube.net/news/detail.php?news_id=383 本日お伝えし
Chrome XSSThe article is informative and intended for security specialists conducting testing within the scope of a contract. The author is not responsible for any damage caused by the application of the provided information. The distribution of malicious programs, disruption of system operation, and violation of the confidentiality of correspondence are pursued by law. PrefaceThis article is dedi
Webアプリケーションのセキュリティを考えるとき、フロントエンドエンジニアにも攻撃への対策が求められます。脆弱性を狙う受動的攻撃の1つ「XSS(クロスサイトスクリプティング))」の中でも「DOM-based XSS」は特にフロントエンドとの関連が強く、情報漏洩やWebページ改竄などの脅威について知っておく必要があります。今回は『フロントエンド開発のためのセキュリティ入門』(翔泳社)から、XSSとDOM-based XSSの仕組みを解説します。実際の対策方法については本書を参考にしてください。 本記事は『フロントエンド開発のためのセキュリティ入門 知らなかったでは済まされない脆弱性対策の必須知識』(著者:平野昌士、監修:はせがわようすけ)の「第5章 XSS」から一部を抜粋したものです。掲載にあたって一部を編集しています。 能動的攻撃と受動的攻撃 Webアプリケーションへの攻撃には2つのパター
2024/3/31(土)開催のコミュニティイベント「Bsides Tokyo 2024」でのAzara、eiによるセッション資料です。 https://bsides.tokyo/2024/#xss-using-dirty-content-type-in-cloud-era
クロスサイトスクリプティングは、システムの表示処理の不備から引き起こる脆弱性です。XSS の被害と攻撃の種類について解説します。
Google is removing a nine-year-old feature in its Chrome web browser, which spotted a common online attack. Don’t worry, though – another, hopefully better, protection measure is on the way. Introduced in 2010, XSS Auditor is a built-in Chrome function designed to detect cross-site scripting (XSS) vulnerabilities. In an XSS attack, a malicious actor injects their own code onto a legitimate website
XSS attacks on Googlebot allow search index manipulation - Tom Anthony
Short version: Googlebot is based on Google Chrome version 41 (2015), and therefore it has no XSS Auditor, which later versions of Chrome use to protect the user from XSS attacks. Many sites are susceptible to XSS Attacks, where the URL can be manipulated to inject unsanitized Javascript code into the site. Since Googlebot executes Javascript, this allows an attacker to craft XSS URLs that can man
XSS in the AWS Console
XSS in the AWS ConsoleJune 3, 2021As I had posted about on Twitter, I had recently started a side project to fuzz the AWS API. This was the logical next step to my previous work on the subject. To support it, I’ve had to build my own library for manually crafting AWS API requests, and mutating them. I think it would have been a very fruitful research path to go down, however I managed to fuzz my w
クロスサイトスクリプティング(Cross Site Scripting)は、脆弱なWebサイトをターゲットとして、悪意あるWebサイトからスクリプトをユーザのパソコンに送り込むことで、ユーザーのパソコンの個人情報を搾取する攻撃方法です。 略称として「XSS」と表記する場合もあります。 クロスサイトスクリプティングの例XSSの対策としては、サニタイジング(スクリプトの無害化)があります。サニタイジングは、&,<,>,”,’といったスクリプトに使われる特殊文字に着目し、これらが文字列としてそのまま画面に表示されるように置換し、スクリプトを無害化させます。 クロスサイトスクリプティングに該当するものはどれか。 ア Webアプリケーションのデータ操作言語の呼出し方に不備がある場合に,攻撃者が悪意をもって構成した文字列を入力することによって,データベースのデータの不正な取得,改ざん及び削除を可能とす
こんにちは。ソフトウェアエンジニアの淵脇です。この記事は NIKKEI Advent Calendar 2020 5日目の記事です。私は「日経ID」といわれる認証認可基盤を担当しており、日々セキュリティを意識した開発を行っております。それに関連して、本日はいにしえのブラウザにおけるセキュリティの歴史的なものをご紹介いたします。 0. はじめに 現代ではブラウザはとても便利なものになりました。単にネットサーフィンのようなオンラインで完結する作業だけでなく、買い物やコミュニケーション、金融取引など実世界に影響を与えるような様々な用途に使われています。しかし、この裏には血のにじむようなセキュリティエンジニアとハッカー/クラッカーとの戦いの歴史があり、その上に築かれたセキュリティの上に成り立っているものです。 ブラウザのセキュリティについては、昔からXSS(クロスサイトスクリプティング)やCSRF
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog
React と Vue に関する XSS アンチパターン
React における XSS|React と Vue に関する XSS アンチパターン
Exploiting XSS in hidden inputs and meta tags
Cheatsheet: XSS that works in 2021
「ひかり電話ルーター/ホームゲートウェイ」にXSSとCSRFの脆弱性、最新ファームへ更新を
xss 脆弱性のあるサイトを作ってセッションハイジャックを試す - Qiita
SaaSに新手のXSS攻撃、11社のECサイトから43万件の顧客情報漏洩
XSSワーム「Samy」の動作を解析する
WordPressコアに複数の脆弱性、XSSほか中程度の脅威 | ScanNetSecurity
Eliminating XSS from WebUI with Trusted Types
ウェブサイトの脆弱性届出が急増、大半がXSSで400件超~2019年第2四半期IPA報告
短縮版:管理画面に対するXSS攻撃でクレジットカード情報を盗む手口 - YouTube
CVE-2023-5480: Chrome new XSS Vector
Webアプリへの攻撃「XSS」とは?フロントエンドと関連の強い「DOM-based XSS」を解説
XSS using dirty Content Type in cloud era
クロスサイトスクリプティング(XSS)とは? Web アプリにおける対策方法について | yamory Blog
Google Chrome is ditching its XSS detection tool
クロスサイトスクリプティング(XSS):気になる情報セキュリティ用語 - 叡智の三猿
いにしえのXSSと、現代における発展 — HACK The Nikkei