ITmedia総合  >  キーワード一覧  >  X

「XSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

Webサイトの入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることをクロスサイトスクリプティングと呼ぶ。
クロスサイトスクリプティング − @ITセキュリティ用語事典

-こちらもご覧ください-
Webアプリにおける11の脆弱性の常識と対策 - @IT
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT
クロスサイトスクリプティング対策の基本 連載インデックス - @IT
Insider's Computer Dictionary [クロスサイト・スクリプティング] − @IT

IoTセキュリティの現実的な仕組みと課題(3):
想像してみよう、もしもIIoTの世界でセキュリティ対策をしなかったら?
工場や重要インフラで利用されつつある「インダストリアルIoT(IIoT)」の世界に着目し、IoTセキュリティの現実的な仕組みと課題について解説する本連載。第3回では、IIoTの世界で適切なサイバーセキュリティ対策を施さなかったらどうなるのかを想像することで、セキュリティ対策(投資)の必要性に対する理解を深めたい。(2018/10/25)

セキュリティ・アディッショナルタイム(24):
目先の脆弱性(バグ)の修正に追われるのはもう十分? Black Hatで見た根本的な問題解決のアプローチ
2018年8月にセキュリティカンファレンス「Black Hat USA 2018」が開催された。Googleによる基調講演や、「モグラたたきを終わらせ、根本的な原因を解決する」ための取り組みを実践した企業による講演の模様をお届けする。(2018/9/7)

OpenSCAPで脆弱性対策はどう変わる?(2):
SCAPの構成要素、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)とは
本連載では、グローバルスタンダードになっている「SCAP」(セキュリティ設定共通化手順)、およびそれを基にシステム構成や脆弱性の検査を行うためのOSSツール「OpenSCAP」や、その周辺の技術、用語などを紹介する。今回は、CWE(共通脆弱性タイプ)、CCE(共通セキュリティ設定一覧)について。(2018/9/5)

役立つツールも紹介
クラウドアプリの性能とセキュリティを確保するための5つのテストと主要製品
高いパフォーマンスが発揮されていることを確認し、クラウドアプリのセキュリティを確保する上で重要な5種類のテストの概要を説明する。(2018/8/24)

Google Cloud Next ‘18発表まとめ(2):
BeyondCorpなど、Google Cloudのセキュリティにおける進化
Googleのクラウド事業部門Google Cloudが、2018年7月にサンフランシスコで年次カンファレンス「Google Cloud Next ‘18」を開催した。本連載では、同イベントにおける数々の発表を、クラウドエースおよび吉積情報のエンジニアが解説する。第2回は、セキュリティ関連の発表をまとめる。(2018/8/17)

セキュリティクラスタ まとめのまとめ 2018年7月版:
災害時のフリーWi-Fi、何が危ない?
7月のセキュリティクラスタは「豪雨災害とフリーWi-Fiスポットのセキュリティ」「不正アクセスで逮捕された若者がホワイトハッカーとして復活」「Chromeと非SSLサイトの警告表示」に注目が集まりました。(2018/8/10)

鈴木淳也の「Windowsフロントライン」:
Windows 10次期大型アップデート「RS5」はどうなる? 開発中盤のまとめ
2018年秋に一般公開される予定のWindows 10次期大型アップデート。開発コード名で「Redstone 5(RS5)」と呼ばれるこのアップデートでは何が変わるのだろうか。プレビュー版における開発中盤までの更新状況をまとめる。(2018/7/28)

アルティメットサイバーセキュリティクイズ2018:
あなたは解けるか? 関西発、セキュリティクイズ大会に登場した“あんなこんな問題”
エンジニアに限らず、セキュリティに関心を持つ人々が気軽に参加できる、楽しいイベントができないか――。そんな思いを形にした「アルティメットサイバーセキュリティクイズ2018」が、2018年7月14日に大阪で開催された。(2018/7/27)

Microsoft、IDサービスや「OpenID」規格の脆弱性情報募る 最高賞金1100万円
多要素認証バイパスの脆弱性や、標準設計の脆弱性については、最高で10万ドルの賞金を支払う。(2018/7/19)

Chrome拡張「5000兆円コンバーター」にXSS脆弱性 最新版にアップデートを
「5000兆円欲しい!」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」にXSS脆弱性が見つかったとJVNが注意喚起している。(2018/6/15)

CMSのセキュリティは脆弱性対策とログイン保護で:
PR:誰もが安心して利用できるレンタルサーバーを目指して 〜国内最大級のレンタルサーバーへの攻撃調査から見えてきた対策とは
レンタルサーバーを利用する誰もが必ずしも高いサイバーセキュリティ知識をもっているわけではない。セキュリティを意識せずに誰もが安心して利用できるレンタルサーバーは理想論なのだろうか? 理想的なセキュリティ対策に挑戦し続けるGMOペパボの担当者2人とジェイピー・セキュア担当者の鼎談(ていだん)から、Webセキュリティ対策のヒントを探る。(2018/6/13)

中小企業こそセキュリティをアウトソースすべき? 任せるときに知っておきたいこと
サイバー攻撃が巧妙になる一方で、セキュリティ分野の人材不足が深刻化する――。そんな中、企業が注目しているのがセキュリティのアウトソースだ。効果的なセキュリティ対策を講じるためには、どんな手順でどのように準備を進めればいいのか。(2018/5/1)

IoTの真価を発揮するために:
IoTにおける“精度”の重要性
IoT(モノのインターネット)では、高精度にデータを計測、センシングする必要があります。高い精度での計測、センシングは、IoTにさまざまな利点をもたらすためです。ここでは、いかにIoTにおいて、計測/センシングの精度が重要であるかを事例を挙げつつ、考察していきます。(2018/2/21)

セキュリティ・アディッショナルタイム(21):
10分で脆弱性が見つかった、バグハンターと開発者が共同合宿で得たこと
缶詰め状態で集中して脆弱(ぜいじゃく)性を見つけてもらう「バグハンター合宿」を、サイボウズが2017年11月3〜4日に実施。予想以上に多くの報告を受理しただけでなく、サービス開発者とバグハンターの双方に気付きが生まれた。(2018/2/14)

夢物語で終わらせない「DevOps」(6):
2018年のトレンドは、DevOpsにセキュリティを融合した「DevSecOps」
迅速なサービス展開を維持しつつ、セキュリティをどう担保すればいいのか。DevOpsにおけるこの課題への答えは、DevOpsの新たなトレンド「DevSecOps」にその答えがあるのです。(2018/2/14)

特集:セキュリティリポート裏話(8):
「OWASP Top 10」をはじめ、業界標準ガイドラインの改訂相次ぐ
セキュリティ対策をまとめ、強化する際に役立つ資料がある。政府やコミュニティーがまとめた公開ドキュメントだ。経済産業省の「サイバーセキュリティ経営ガイドライン Ver 2.0」とOWASPの「OWASP Top 10 - 2017(日本語版)」を中心に内容を紹介する。(2018/1/17)

外注したシステムの脆弱性は誰のせい? 連日の「深刻な脆弱性」にどう向き合い、どう対応するか?
連日のように公開される脆弱性情報の中から自分たちに関係するものを見つけ、適切な優先順位で対応するのは容易ではない。この状況に、企業はどう向き合えばよいのだろうか? @ITは、2017年8月30日にセミナー『連日の「深刻な脆弱性」どう向き合い、どう対応するか』を東京で開催した。多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けしよう。(2017/10/3)

Apple、「High Sierra」や「iOS 11.0.1」のセキュリティ情報公開
「High Sierra 10.13」では、OS X Lion 10.8以降のバージョンに存在していた多数の脆弱性に対処した。「iOS 11.0.1」「iCloud for Windows 7.0」も公開された。(2017/9/27)

WordPressの更新版公開、直ちに適用を
最新版となる「WordPress 4.8.2」では、SQLインジェクションの脆弱性や、複数のクロスサイトスクリプティング(XSS)の脆弱性などが修正された。(2017/9/21)

Apple、「iOS 11」や「Safari 11」のセキュリティ情報を公開
iPhone 5や第4世代のiPod、OS X Yosemite(10.10.5)などはアップデートの対象から外された。(2017/9/20)

脆弱性にまみれた世界で戦う人たち――バグハンター、CSIRT、レッドチーム
ランサムウェア「WannaCry」のインパクトが記憶に新しい中、ウクライナやロシアを中心に感染を広げた「NotPetya」が登場した直後の開催となった、2017年6月の@ITセキュリティセミナー。レポートシリーズ第2回は、脆弱(ぜいじゃく)性に関する講演を中心に紹介する。(2017/8/23)

SCSKとベリサーブが提供する、ソースコード診断サービスの狙い:
PR:「ものづくり」においてもソフトウェアが重要な今、ソースコードに「品質」プラス「セキュリティ」で企業の価値向上に
10年以上にわたって脆弱性診断サービスを提供してきたSCSKと、そのグループ会社で、製造業を中心にソースコードの品質検査サービスを実施してきたベリサーブ。両社はFortify SCAといった診断ツールを活用してソースコードの脆弱性検査サービスを提供し、ソフトウェアがもたらす価値をさらに高めようとしている。(2017/8/17)

Adobe、Flash PlayerとAdobe Connectの脆弱性を修正
Flash Playerの脆弱(ぜいじゃく)性では、リモートの攻撃者にコードを実行される恐れがあり、できるだけ早く最新版に更新する必要がある。(2017/7/12)

WordPress用プラグインにXSS脆弱性 最新版へアップデートを
脆弱性は最新版で修正されている。(2017/7/4)

「Adobe Acrobat」の「Chrome」用拡張機能の教訓から
Chromeで発生した「Adobe Acrobat」自動インストール問題の真相
2017年1月の「Adobe Acrobat Reader DC」アップデート時に、「Google Chrome」に新しい拡張機能が自動的に追加され、しかもこの拡張機能に脆弱(ぜいじゃく)性が見つかった。この問題の教訓を考える。(2017/6/15)

セキュリティクラスタ まとめのまとめ 2017年5月版:
「WannaCry」の次は「SambaCry」?
2017年5月のセキュリティクラスタ、ゴールデンウイークはのんびり過ごせたものの、その後が大変。ワームとして動くランサムウェア「WannaCry」の話題で持ち切りとなりました。騒ぎが落ち着いたと思ったら「SambaCry」が話題に。結局5月末まで、Windowsファイル共有サービスがタイムライン(TL)をにぎわしていました。この他、無線LANのタダ乗り無罪判決に対し、総務省が違法だと主張してTL上で意見が飛び交いました。(2017/6/14)

IPAが「セキュリティ・キャンプ全国大会2017」を開催、申し込みは2017年5月29日まで:
サイバー犯罪対策の最前線に立つキャンプ特別講義が伝える「“技術”とは何か」
IPAが「セキュリティ・キャンプ全国大会2017」を開催。2017年5月29日12時まで参加者を募集している。全国大会では、実機を用いた実習やディスカッションに加え、サイバー犯罪対策の最前線に立つプロフェッショナルによる講演なども行われる。(2017/5/23)

Janetterで「んほぉぉ!イッぐぅぅ!!」と表示され続けるXSS大流行 → 脆弱性修正へ
なぜ見つからなかった。(2017/5/2)

Twitterクライアント「Janetter」に脆弱性、最新バージョンで修正済み
PC向けTwitterクライアントソフト「Janetter」にXSS脆弱性があることが発覚した。最新版が5月2日にリリースされ、問題は修正された。(2017/5/2)

ハッキングの手口を文系に理解できるよう野球に置き換えて説明してみる
DoS攻撃ってドスドス攻撃することではないそうです。(2017/4/28)

超入門HTTP Cookie:
HTTP Cookieとは
ステートレスなHTTPプロトコルにおいて、セッション管理やユーザーの行動追跡などを行うためにCookieが使われている。Cookieとは何か、どのような仕組みで動作しているのか、などを解説する。(2017/4/20)

アイ・オー・データ機器、無線LANルーター「WN-AC1167GR」のXSS脆弱性を修正
アイ・オー・データ機器製の無線LANルーター「WN-AC1167GR」にクロスサイトスクリプティング(XSS)の脆弱(ぜいじゃく)性があることが判明。最新版のファームウェアにアップデートされていれば心配はない。(2017/4/14)

WordPress用プラグイン「WP Statistics」にXSSの脆弱性
WordPressのアクセス解析用プラグイン「WP Statistics」に、クロスサイトスクリプティング(XSS)の脆弱性があることが公表された。任意のスクリプトを実行される可能性がある。(2017/4/10)

WordPress用のアンケート作成プラグイン「YOP Poll」に脆弱性 IPAが警告
WordPress用のプラグイン「YOP Poll」にクロスサイトスクリプティング(XSS)の脆弱性があることが判明。サイトにアクセスしたユーザーのWebブラウザ上で、任意のスクリプトを実行されてしまう可能性がある。(2017/3/24)

脆弱性別ではCSRFとSQLインジェクション、言語ではPHPが多く狙われた:
CDNetworksが2016年第4四半期サイバー攻撃の分析レポートを公開
シーディーネットワークス・ジャパンは、「2016年第4四半期サイバー攻撃の分析レポート」を公開した。脆弱性タイプ別で最も多かったものは、クロスサイトリクエストフォージェリー。最も頻繁に狙われる言語はPHPだった。(2017/3/14)

WordPressのアップデート公開、直ちに更新を 脆弱性悪用でWebサイト制御の恐れも
最新バージョンのWordPress 4.7.3では6件の脆弱性が修正された。(2017/3/8)

「RSA Conference 2017」基調講演レポート
「協調型セキュリティ」とは何か、なぜ必要なのか
RSA Securityのズルフィカー・ラムザン最高技術責任者(CTO)は「RSA Conference 2017」の基調講演で、協調型セキュリティに関する判断が及ぼす影響について強調した。(2017/2/22)

次期アップデートでWeb攻撃対策を強化
「Microsoft Edge」が“究極の安全ブラウザ”に一歩近づくセキュリティ新機能とは?
Microsoftは「Microsoft Edge」の次期アップデートで、クロスサイトスクリプティングやコンテンツインジェクションといったWebベースの攻撃への対策を強化する。(2017/2/22)

RSA Conference 2017レポート:
ITがBT(Business Technology)となる時代に必須なのは「セキュリティ」
2017年2月14日から米国サンフランシスコで「RSA Conference 2017」が開催されている。基調講演は、サイバーセキュリティがテクノロジーだけでなく、ビジネスや政治にまで影響を及ぼしている事実を背景にした内容となった。(2017/2/16)

Adobe、Flash Playerなどの脆弱性に対処 直ちに更新を
特にWindowsやMac向けのFlash Playerでは、差し迫った悪用の恐れがあることから、更新を急ぐ必要がある。(2017/2/15)

エンジニアを愛し、エンジニアに愛されたイベント!:
空前絶後のAI、VR、IoT、そしてYouTube! 全ての技術を使ったマッシュアップの産みの親! 超絶怒涛のMA2016決勝戦!!
全国の「ネタ好き」エンジニアにとって、もはや1年を締めくくる恒例行事となった感がある「Mashup Awards」のファイナルステージ(決勝戦)が、2016年12月17日に東京・品川の寺田倉庫で開催された。本稿では、決勝戦でプレゼンが行われた全14作品の概要と審査結果をお伝えする。(2017/2/9)

「Chrome 56」の安定版リリース リロードが28%高速化、HTTPでの警告を追加
Googleがデスクトップ版Chromeをバージョン56にアップデートした。特にFacebookで時間のかかっていたページのリロードが28%高速化し、Firefox 51と同様のHTTPページでの警告が追加された。(2017/1/27)

セキュリティクラスタ まとめのまとめ 2016年11月版:
「LINE乗っ取り」に「Chrome拡張機能のマルウェア化」――11月のセキュリティ怖い話
2016年11月のセキュリティクラスタは、「Chrome拡張機能の突然のマルウェア化」や「LINEアカウントの乗っ取り」事件を受け震え上がる一方で、詳細が公開された「情報処理安全確保支援士」の制度内容にはやはり納得がいかないのでした。(2016/12/22)

事例で分かる、中堅・中小企業のセキュリティ対策【第6回】
被害者が加害者になるケースもあるWebサイト改ざん、有効な対策は?
広報や通販などへのWebサイト活用は一般的になったが、セキュリティ対策は万全だろうか。Webサイトの更新や管理に広く利用されるCMS(コンテンツマネジメントシステム)の意外な落とし穴と、お勧めの対策を解説する。(2016/12/26)

ITmedia エンタープライズ ソリューションセミナー レポート:
ビジネスを守るサイバーセキュリティに強い会社の作り方
企業・組織の事業継続にとってサイバーのリスクは大きな課題となっている。これからのセキュリティ対策はどうあるべきか――ITmedia エンタープライズ主催セミナーでは官民を挙げた新時代のセキュリティが提示された。(2016/12/19)

必要なのは、技術的な知見と「あれ、おかしいな」と気付く感性:
千葉大学、学生対象の「セキュリティバグ発見コンテスト」を開催 「きちんと伝える力」を備えたセキュリティ人材の育成に向け
千葉大学が、セキュリティ人材の育成を目的とした「セキュリティバグハンティングコンテスト」を実施する。技術と法律/倫理面で講習を受けた学生に「ライセンス」を与え、実際の大学システムに存在する脆弱性を発見してもらう。独自のルールや仕組みの下で行われる学生向けバグバウンティは国内の大学として初の試みという。(2016/12/16)

組み込み開発視点で見る「IoTの影」(3):
IoTは「IT」と「組み込み」だけではない
IoTはエンドデバイスとクラウドサービスの組み合わせで構成されているが、組み込み開発の焦点をデバイス側だけに当てていないだろうか。「IoT」として価値を提供する以上、より広い視野での開発が求められるのである。(2016/11/18)

Adobe、Flash Playerの更新版リリース 深刻な脆弱性を修正
Flash Playerの更新版では9件の脆弱性に対処した。悪用されれば攻撃者にコードを実行され、システムを制御される恐れがある。(2016/11/9)

セキュリティ・キャンプ九州 in 福岡 2016レポート(後編):
サイバーセキュリティのプロになるための3箇条とは――熱気あふれた「セキュリティ合宿」
2016年9月16日から19日にかけて開催された「セキュリティ・キャンプ九州 in 福岡2016」から、専門講座のレポートをお届けする。(2016/10/21)

Google、XSS攻撃対策に支援ツール公開
Content Security Policy(CSP)の潜在力をフル活用してもらう目的で、XSS対策支援ツール「CSP Evaluator」「CSP Mitigator」を公開した。(2016/9/28)



ビットコインの大暴騰、「億り人」と呼ばれる仮想通貨長者の誕生、マウントゴックス以来の大事件となったNEM流出など、派手な話題に事欠かない。世界各国政府も対応に手を焼いているようだが、中には政府が公式に仮想通貨を発行する動きも出てきており、国家と通貨の関係性にも大きな変化が起こりつつある。

Amazonが先鞭をつけたAIスピーカープラットフォーム。スマホのアプリが巨大な市場を成したように、スマートスピーカー向けのスキル/アプリ、関連機器についても、大きな市場が生まれる可能性がある。ガジェットフリークのものと思われがちだが、画面とにらめっこが必要なスマホよりも優しいUIであり、子どもやシニアにもなじみやすいようだ。

「若者のテレビ離れが進んでいる」と言われるが、子どもが将来なりたい職業としてYouTuberがランクインする時代になった。Twitter上でのトレンドトピックがテレビから大きな影響を受けていることからも、マスメディア代表としてのテレビの地位はまだまだ盤石に感じるが、テレビよりもYouTubeを好む今の子ども達が大きくなっていくにつけ、少なくとも誰もが同じ情報に触れることは少なくなっていくのだろう。