ITmedia総合  >  キーワード一覧  >  X

「XSS」最新記事一覧

Webサイトの入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることをクロスサイトスクリプティングと呼ぶ。
クロスサイトスクリプティング − @ITセキュリティ用語事典

-こちらもご覧ください-
Webアプリにおける11の脆弱性の常識と対策 - @IT
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT
クロスサイトスクリプティング対策の基本 連載インデックス - @IT
Insider's Computer Dictionary [クロスサイト・スクリプティング] − @IT

SCSKとベリサーブが提供する、ソースコード診断サービスの狙い:
PR:「ものづくり」においてもソフトウェアが重要な今、ソースコードに「品質」プラス「セキュリティ」で企業の価値向上に
10年以上にわたって脆弱性診断サービスを提供してきたSCSKと、そのグループ会社で、製造業を中心にソースコードの品質検査サービスを実施してきたベリサーブ。両社はFortify SCAといった診断ツールを活用してソースコードの脆弱性検査サービスを提供し、ソフトウェアがもたらす価値をさらに高めようとしている。(2017/8/17)

Adobe、Flash PlayerとAdobe Connectの脆弱性を修正
Flash Playerの脆弱(ぜいじゃく)性では、リモートの攻撃者にコードを実行される恐れがあり、できるだけ早く最新版に更新する必要がある。(2017/7/12)

WordPress用プラグインにXSS脆弱性 最新版へアップデートを
脆弱性は最新版で修正されている。(2017/7/4)

「Adobe Acrobat」の「Chrome」用拡張機能の教訓から
ありがた迷惑なブラウザ拡張機能の“勝手インストール”、回避策は?
2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。(2017/6/15)

セキュリティクラスタ まとめのまとめ 2017年5月版:
「WannaCry」の次は「SambaCry」?
2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ち切りとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)をにぎわしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。(2017/6/14)

IPAが「セキュリティ・キャンプ全国大会2017」を開催、申し込みは2017年5月29日まで:
サイバー犯罪対策の最前線に立つキャンプ特別講義が伝える「“技術”とは何か」
IPAが「セキュリティ・キャンプ全国大会2017」を開催。2017年5月29日12時まで参加者を募集している。全国大会では、実機を用いた実習やディスカッションに加え、サイバー犯罪対策の最前線に立つプロフェッショナルによる講演なども行われる。(2017/5/23)

Janetterで「んほぉぉ!イッぐぅぅ!!」と表示され続けるXSS大流行 → 脆弱性修正へ
なぜ見つからなかった。(2017/5/2)

Twitterクライアント「Janetter」に脆弱性、最新バージョンで修正済み
PC向けTwitterクライアントソフト「Janetter」にXSS脆弱性があることが発覚した。最新版が5月2日にリリースされ、問題は修正された。(2017/5/2)

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる
DoS攻撃ってドスドス攻撃することではないそうです。(2017/4/28)

超入門HTTP Cookie:
HTTP Cookieとは
ステートレスなHTTPプロトコルにおいて、セッション管理やユーザーの行動追跡などを行うためにCookieが使われている。Cookieとは何か、どのような仕組みで動作しているのか、などを解説する。(2017/4/20)

アイ・オー・データ機器、無線LANルーター「WN-AC1167GR」のXSS脆弱性を修正
アイ・オー・データ機器製の無線LANルーター「WN-AC1167GR」にクロスサイトスクリプティング(XSS)の脆弱(ぜいじゃく)性があることが判明。最新版のファームウェアにアップデートされていれば心配はない。(2017/4/14)

WordPress用プラグイン「WP Statistics」にXSSの脆弱性
WordPressのアクセス解析用プラグイン「WP Statistics」に、クロスサイトスクリプティング(XSS)の脆弱性があることが公表された。任意のスクリプトを実行される可能性がある。(2017/4/10)

WordPress用のアンケート作成プラグイン「YOP Poll」に脆弱性 IPAが警告
WordPress用のプラグイン「YOP Poll」にクロスサイトスクリプティング(XSS)の脆弱性があることが判明。サイトにアクセスしたユーザーのWebブラウザ上で、任意のスクリプトを実行されてしまう可能性がある。(2017/3/24)

脆弱性別ではCSRFとSQLインジェクション、言語ではPHPが多く狙われた:
CDNetworksが2016年第4四半期サイバー攻撃の分析レポートを公開
シーディーネットワークス・ジャパンは、「2016年第4四半期サイバー攻撃の分析レポート」を公開した。脆弱性タイプ別で最も多かったものは、クロスサイトリクエストフォージェリー。最も頻繁に狙われる言語はPHPだった。(2017/3/14)

WordPressのアップデート公開、直ちに更新を 脆弱性悪用でWebサイト制御の恐れも
最新バージョンのWordPress 4.7.3では6件の脆弱性が修正された。(2017/3/8)

「RSA Conference 2017」基調講演レポート
Dell創業者も賛同、今「協調型セキュリティ」が必要な理由
RSA Securityのズルフィカー・ラムザン最高技術責任者(CTO)は「RSA Conference 2017」の基調講演で、協調型セキュリティに関する判断が及ぼす影響について強調した。(2017/2/22)

次期アップデートでWeb攻撃対策を強化
「Microsoft Edge」が“究極の安全ブラウザ”に一歩近づくセキュリティ新機能とは?
Microsoftは「Microsoft Edge」の次期アップデートで、クロスサイトスクリプティングやコンテンツインジェクションといったWebベースの攻撃への対策を強化する。(2017/2/22)

RSA Conference 2017レポート:
ITがBT(Business Technology)となる時代に必須なのは「セキュリティ」
2017年2月14日から米国サンフランシスコで「RSA Conference 2017」が開催されている。基調講演は、サイバーセキュリティがテクノロジーだけでなく、ビジネスや政治にまで影響を及ぼしている事実を背景にした内容となった。(2017/2/16)

Adobe、Flash Playerなどの脆弱性に対処 直ちに更新を
特にWindowsやMac向けのFlash Playerでは、差し迫った悪用の恐れがあることから、更新を急ぐ必要がある。(2017/2/15)

エンジニアを愛し、エンジニアに愛されたイベント!:
空前絶後のAI、VR、IoT、そしてYouTube! 全ての技術を使ったマッシュアップの産みの親! 超絶怒涛のMA2016決勝戦!!
全国の「ネタ好き」エンジニアにとって、もはや1年を締めくくる恒例行事となった感がある「Mashup Awards」のファイナルステージ(決勝戦)が、2016年12月17日に東京・品川の寺田倉庫で開催された。本稿では、決勝戦でプレゼンが行われた全14作品の概要と審査結果をお伝えする。(2017/2/9)

「Chrome 56」の安定版リリース リロードが28%高速化、HTTPでの警告を追加
Googleがデスクトップ版Chromeをバージョン56にアップデートした。特にFacebookで時間のかかっていたページのリロードが28%高速化し、Firefox 51と同様のHTTPページでの警告が追加された。(2017/1/27)

セキュリティクラスタ まとめのまとめ 2016年11月版:
「LINE乗っ取り」に「Chrome拡張機能のマルウェア化」――11月のセキュリティ怖い話
2016年11月のセキュリティクラスタは、「Chrome拡張機能の突然のマルウェア化」や「LINEアカウントの乗っ取り」事件を受け震え上がる一方で、詳細が公開された「情報処理安全確保支援士」の制度内容にはやはり納得がいかないのでした。(2016/12/22)

事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は?
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS(コンテンツマネジメントシステム)の意外な落とし穴と、お勧めの対策を解説する。(2016/12/26)

ITmedia エンタープライズ ソリューションセミナー レポート:
ビジネスを守るサイバーセキュリティに強い会社の作り方
企業・組織の事業継続にとってサイバーのリスクは大きな課題となっている。これからのセキュリティ対策はどうあるべきか――ITmedia エンタープライズ主催セミナーでは官民を挙げた新時代のセキュリティが提示された。(2016/12/19)

必要なのは、技術的な知見と「あれ、おかしいな」と気付く感性:
千葉大学、学生対象の「セキュリティバグ発見コンテスト」を開催 「きちんと伝える力」を備えたセキュリティ人材の育成に向け
千葉大学が、セキュリティ人材の育成を目的とした「セキュリティバグハンティングコンテスト」を実施する。技術と法律/倫理面で講習を受けた学生に「ライセンス」を与え、実際の大学システムに存在する脆弱性を発見してもらう。独自のルールや仕組みの下で行われる学生向けバグバウンティは国内の大学として初の試みという。(2016/12/16)

組み込み開発視点で見る「IoTの影」(3):
IoTは「IT」と「組み込み」だけではない
IoTはエンドデバイスとクラウドサービスの組み合わせで構成されているが、組み込み開発の焦点をデバイス側だけに当てていないだろうか。「IoT」として価値を提供する以上、より広い視野での開発が求められるのである。(2016/11/18)

Adobe、Flash Playerの更新版リリース 深刻な脆弱性を修正
Flash Playerの更新版では9件の脆弱性に対処した。悪用されれば攻撃者にコードを実行され、システムを制御される恐れがある。(2016/11/9)

セキュリティ・キャンプ九州 in 福岡 2016レポート(後編):
サイバーセキュリティのプロになるための3箇条とは――熱気あふれた「セキュリティ合宿」
2016年9月16日から19日にかけて開催された「セキュリティ・キャンプ九州 in 福岡2016」から、専門講座のレポートをお届けする。(2016/10/21)

Google、XSS攻撃対策に支援ツール公開
Content Security Policy(CSP)の潜在力をフル活用してもらう目的で、XSS対策支援ツール「CSP Evaluator」「CSP Mitigator」を公開した。(2016/9/28)

Adobe、「Experience Manager」の脆弱性を修正
入力値検証やバックアップなどの機能に4件の脆弱性があり、悪用されればクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり情報が流出したりする恐れがある。(2016/8/10)

スマホ対応照明器具に脆弱性、XSS攻撃や情報流出の恐れ
スマートフォンのアプリで操作できるOsramの照明器具シリーズ「LIGHTIFY」に9件の脆弱性が見つかり、一部が修正された。(2016/7/27)

WordPressの「All in One SEO Pack」に深刻な脆弱性、更新版で対応
脆弱性を悪用されると、XSS攻撃を仕掛けられて管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。(2016/7/12)

セキュリティ・アディッショナルタイム(9):
「Hardening 100 Value x Value」に見た、競技結果よりも大事なこと
「守る」技術を持ったエンジニアを発掘し、育てることを目的とした競技会「Hardening 100 Value x Value」は、回を重ねるごとに進化している。(2016/6/16)

「安全なオープンソース」を疑う
「オープンソース安全神話」信奉者が見なかったことにしたい“つらい現実”
オープンソースだから安全だと容易に判断してはならない。脅威が数多く見つかっている、オープンソースWebアプリケーションの注意点を説明しよう。(2016/6/13)

WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を
悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。(2016/5/31)

いま求められるソフトウェア静的解析・動的解析 第1回:
組み込みソフトウェア開発者に贈る「静的解析・動的解析」の必要性
組み込みソフトウェア開発における「静的解析」「動的解析」を、“なんとなく”行っていないでしょうか。開発効率の向上や品質改善に欠かせないこれらを活用するため、まずはその必要性について解説します。(2016/5/20)

Electron 1.0でデスクトップアプリ開発超入門――動作の仕組み、基本的な使い方、セキュリティの懸念点
クロスプラットフォーム向けのデスクトップアプリを開発できるElectronについて、動作の仕組み、基本的な使い方、アプリの作り方、セキュリティの懸念点などを解説します。(2016/5/18)

セキュリティクラスタ まとめのまとめ 2016年4月版:
セキュリティエンジニアを目指す若者の4月
2016年4月は、「Apache Struts2」の脆弱性や「OSコマンドインジェクション」を使った攻撃が騒ぎを呼ぶ一方で、突如「Yahoo!知恵袋」に注目が集まったのでした。(2016/5/17)

特集:IoT時代のセキュリティログ活用(2):
「SIEM」はどうすれば使いこなせるのか?
「ログ活用」を軸にIoT時代のセキュリティを考える本特集。第2回となる今回は、“導入するだけでは意味がない”SIEMなどのログ管理製品を活用するためのポイントを解説する。(2016/5/19)

Adobe AcrobatとReader、ColdFusionに脆弱性、アップデートで修正
AcrobatとReaderのセキュリティアップデートでは、Windows版とMac版に存在する100件近い脆弱性が修正された。(2016/5/11)

WordPressの更新版リリース、深刻な脆弱性を修正
複数の深刻な脆弱性が修正されており、ユーザーに対して直ちにサイトを更新するよう強く促している。(2016/5/10)

Flash用のAdobe Analyticsツールに脆弱性、更新版で対処
「Adobe Analytics AppMeasurement for Flash Library」の脆弱性を修正するアップデートが公開された。(2016/4/22)

システムインテグレーションとセキュリティ(3):
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか?
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。(2016/4/21)

「Google Chrome 50」の安定版がリリース Windows XPなど旧OSのサポート終了
Googleが、Webブラウザ「Chrome」のバージョン50をWindows、Mac、Linux向けに公開した。同バージョンからWindows XP/Vistaなどの旧OSはサポートされなくなる。セキュリティ問題は危険度「高」2件を含む20件が修正された。(2016/4/14)

Webサイトのセキュリティ診断サービス選びを再考する
“人も技術もないWebセキュリティ診断サービス”を容易に選んではいけない理由
Webサイトの脆弱性を突く不正アクセスを受け、情報流出を招く例は後を絶たない。既にWebセキュリティ対策の必要性が指摘され、診断ツールやサービスも普及しているにもかかわらずだ。問題はどこにあるのか。(2016/3/30)

セキュリティ・アディッショナルタイム(5):
DevOpsとSecは同じ夢を見るか?
米国で開催されたRSA Conference 2016では、開発・運用とセキュリティ担当者の距離を縮め、「セキュアでビジネスニーズに合ったサービスを素早く提供する」という共通の目的を達成するためのキーワード「DevSecOps」に関連するセッションが多数行われた。(2016/3/22)

「機械学習」「ビッグデータ」が変えるセキュリティ対策【第2回】
データ駆動型セキュリティの鍵、「SIEM」を見極める3つのポイント
対症療法的なセキュリティ対策が有効だといえた時代は終わった。根本的なセキュリティ対策には、社内外のデータの活用が重要だ。その現実的な手段である「SIEM」選定のポイントを示す。(2016/3/22)

見つけてくれてありがとう:
サイボウズ、バグハンターたちに向け「感謝祭」を開催
サイボウズは2016年1月28日、同社が実施した脆弱性報奨金制度で実績を持つ“バグハンター”たちに向けた「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。(2016/1/28)

「Magento」に深刻な脆弱性、ECサイトが乗っ取られる恐れ
ECプラットフォーム「Magento」に見つかったXSSの脆弱性は、リモートから簡単に悪用でき、ECサイトを乗っ取られる恐れもある。(2016/1/26)

セキュリティクラスタ まとめのまとめ 2015年12月版:
「vvvウイルス」に「Joomla!」脆弱性、情報が飛び交った12月
あっという間に年も明け、2016年を迎えました。昨年末のセキュリティクラスタを振り返ってみると、「SECCON 2015」開催の一方で、vvvウイルスこと「TeslaCrypt」が話題になり、感染源や対策に関する情報が盛んにやりとりされました。また12月中旬にはオープンソースCMS「Joomla!」の深刻な脆弱性が公表され、その原因をめぐって議論が巻き起こりました。(2016/1/8)



Twitter&TweetDeckライクなSNS。オープンソースで誰でもインスタンス(サーバ)を立てられる分散型プラットフォームを採用している。日本国内でも4月になって大きくユーザー数を増やしており、黎明期ならではの熱さが感じられる展開を見せている。+ こういったモノが大好きなITmedia NEWS編集部を中心に、当社でもインスタンス/アカウントを立ち上げました! →お知らせ記事

意欲的なメディアミックスプロジェクトとしてスタートしたものの、先行したスマホゲームはあえなくクローズ。しかしその後に放映されたTVアニメが大ヒットとなり、多くのフレンズ(ファン)が生まれた。動物園の賑わい、サーバルキャットの写真集完売、主題歌ユニットのミュージックステーション出演など、アニメ最終回後もその影響は続いている。

ITを活用したビジネスの革新、という意味ではこれまでも多くのバズワードが生まれているが、デジタルトランスフォーメーションについては競争の観点で語られることも多い。よくAmazonやUberが例として挙げられるが、自社の競合がこれまでとは異なるIT企業となり、ビジネスモデルレベルで革新的なサービスとの競争を余儀なくされる。つまり「IT活用の度合いが競争優位を左右する」という今や当たり前の事実を、より強調して表現した言葉と言えるだろう。