ITmedia総合  >  キーワード一覧  >  X

「XSS」最新記事一覧

Webサイトの入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることをクロスサイトスクリプティングと呼ぶ。
クロスサイトスクリプティング − @ITセキュリティ用語事典

-こちらもご覧ください-
Webアプリにおける11の脆弱性の常識と対策 - @IT
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT
クロスサイトスクリプティング対策の基本 連載インデックス - @IT
Insider's Computer Dictionary [クロスサイト・スクリプティング] − @IT

Adobe、「Experience Manager」の脆弱性を修正
入力値検証やバックアップなどの機能に4件の脆弱性があり、悪用されればクロスサイトスクリプティング(XSS)攻撃を仕掛けられたり情報が流出したりする恐れがある。(2016/8/10)

スマホ対応照明器具に脆弱性、XSS攻撃や情報流出の恐れ
スマートフォンのアプリで操作できるOsramの照明器具シリーズ「LIGHTIFY」に9件の脆弱性が見つかり、一部が修正された。(2016/7/27)

WordPressの「All in One SEO Pack」に深刻な脆弱性、更新版で対応
脆弱性を悪用されると、XSS攻撃を仕掛けられて管理者のセッショントークンを盗まれたり、攻撃者に任意の動作を実行されたりする恐れがあるという。(2016/7/12)

セキュリティ・アディッショナルタイム(9):
「Hardening 100 Value x Value」に見た、競技結果よりも大事なこと
「守る」技術を持ったエンジニアを発掘し、育てることを目的とした競技会「Hardening 100 Value x Value」は、回を重ねるごとに進化している。(2016/6/16)

「安全なオープンソース」を疑う
「オープンソース安全神話」信奉者が見なかったことにしたい“つらい現実”
オープンソースだから安全だと容易に判断してはならない。脅威が数多く見つかっている、オープンソースWebアプリケーションの注意点を説明しよう。(2016/6/13)

WordPressのプラグイン「Jetpack」に脆弱性、直ちに更新を
悪用されれば管理者アカウントが乗っ取られたり、訪問者が不正なWebサイトに誘導されたりする恐れがある。(2016/5/31)

いま求められるソフトウェア静的解析・動的解析 第1回:
組み込みソフトウェア開発者に贈る「静的解析・動的解析」の必要性
組み込みソフトウェア開発における「静的解析」「動的解析」を、“なんとなく”行っていないでしょうか。開発効率の向上や品質改善に欠かせないこれらを活用するため、まずはその必要性について解説します。(2016/5/20)

Electron 1.0でデスクトップアプリ開発超入門――動作の仕組み、基本的な使い方、セキュリティの懸念点
クロスプラットフォーム向けのデスクトップアプリを開発できるElectronについて、動作の仕組み、基本的な使い方、アプリの作り方、セキュリティの懸念点などを解説します。(2016/5/18)

セキュリティクラスタ まとめのまとめ 2016年4月版:
セキュリティエンジニアを目指す若者の4月
2016年4月は、「Apache Struts2」の脆弱性や「OSコマンドインジェクション」を使った攻撃が騒ぎを呼ぶ一方で、突如「Yahoo!知恵袋」に注目が集まったのでした。(2016/5/17)

特集:IoT時代のセキュリティログ活用(2):
「SIEM」はどうすれば使いこなせるのか?
「ログ活用」を軸にIoT時代のセキュリティを考える本特集。第2回となる今回は、“導入するだけでは意味がない”SIEMなどのログ管理製品を活用するためのポイントを解説する。(2016/5/19)

Adobe AcrobatとReader、ColdFusionに脆弱性、アップデートで修正
AcrobatとReaderのセキュリティアップデートでは、Windows版とMac版に存在する100件近い脆弱性が修正された。(2016/5/11)

WordPressの更新版リリース、深刻な脆弱性を修正
複数の深刻な脆弱性が修正されており、ユーザーに対して直ちにサイトを更新するよう強く促している。(2016/5/10)

Flash用のAdobe Analyticsツールに脆弱性、更新版で対処
「Adobe Analytics AppMeasurement for Flash Library」の脆弱性を修正するアップデートが公開された。(2016/4/22)

システムインテグレーションとセキュリティ(3):
「イントラWebアプリケーションのセキュリティ」、大丈夫ですか?
“SI視点”でセキュリティのポイントを解説する本連載。第3回は、「アプリケーション開発」の観点から、特に見逃されがちな「イントラ環境のWebアプリケーションのセキュリティ」について注意すべきポイントを紹介します。(2016/4/21)

「Google Chrome 50」の安定版がリリース Windows XPなど旧OSのサポート終了
Googleが、Webブラウザ「Chrome」のバージョン50をWindows、Mac、Linux向けに公開した。同バージョンからWindows XP/Vistaなどの旧OSはサポートされなくなる。セキュリティ問題は危険度「高」2件を含む20件が修正された。(2016/4/14)

Webサイトのセキュリティ診断サービス選びを再考する
“人も技術もないWebセキュリティ診断サービス”を容易に選んではいけない理由
Webサイトの脆弱性を突く不正アクセスを受け、情報流出を招く例は後を絶たない。既にWebセキュリティ対策の必要性が指摘され、診断ツールやサービスも普及しているにもかかわらずだ。問題はどこにあるのか。(2016/3/30)

セキュリティ・アディッショナルタイム(5):
DevOpsとSecは同じ夢を見るか?
米国で開催されたRSA Conference 2016では、開発・運用とセキュリティ担当者の距離を縮め、「セキュアでビジネスニーズに合ったサービスを素早く提供する」という共通の目的を達成するためのキーワード「DevSecOps」に関連するセッションが多数行われた。(2016/3/22)

「機械学習」「ビッグデータ」が変えるセキュリティ対策【第2回】
データ駆動型セキュリティの鍵、「SIEM」を見極める3つのポイント
対症療法的なセキュリティ対策が有効だといえた時代は終わった。根本的なセキュリティ対策には、社内外のデータの活用が重要だ。その現実的な手段である「SIEM」選定のポイントを示す。(2016/3/22)

見つけてくれてありがとう:
サイボウズ、バグハンターたちに向け「感謝祭」を開催
サイボウズは2016年1月28日、同社が実施した脆弱性報奨金制度で実績を持つ“バグハンター”たちに向けた「サイボウズ脆弱性報奨金制度2015報告会 バグハンター感謝祭」を実施した。(2016/1/28)

「Magento」に深刻な脆弱性、ECサイトが乗っ取られる恐れ
ECプラットフォーム「Magento」に見つかったXSSの脆弱性は、リモートから簡単に悪用でき、ECサイトを乗っ取られる恐れもある。(2016/1/26)

セキュリティクラスタ まとめのまとめ 2015年12月版:
「vvvウイルス」に「Joomla!」脆弱性、情報が飛び交った12月
あっという間に年も明け、2016年を迎えました。昨年末のセキュリティクラスタを振り返ってみると、「SECCON 2015」開催の一方で、vvvウイルスこと「TeslaCrypt」が話題になり、感染源や対策に関する情報が盛んにやりとりされました。また12月中旬にはオープンソースCMS「Joomla!」の深刻な脆弱性が公表され、その原因をめぐって議論が巻き起こりました。(2016/1/8)

インフラではなく「顧客のWebサービス」を守る:
PR:無料でWAFを提供――「さくらの専用サーバ」が導入したセキュリティ強化施策とは?
「クラウドの使い勝手」と「物理サーバーの性能」の両立をうたう「さくらの専用サーバ」がリニューアルされた。エンタープライズのニーズに応えるべく、専用サーバーサービスとしては珍しいSLAを導入した他、ジェイピー・セキュアのWebアプリケーションファイアウオールを追加コストなしで導入できるようにし、「性能」「安定性」「セキュリティ」「コストパフォーマンス」などを同時に満たすサービス提供を目指す。(2015/12/7)

ソフトウェア品質向上の“変”2015秋(前編):
JAXA、サイバーエージェントが考える「品質向上」と役立つツール
2015年10月に開催された@IT主催セミナーより、前編となる今回は、JAXA主任研究員の植田泰士氏やサイバーエージェントのチーフクリエイティブディレクターの佐藤洋介氏による品質向上への取り組みに関する講演、品質向上に役立つ考え方やツールを紹介した各講演をお伝えする。(2015/12/4)

セキュリティ業界、1440度(17):
著名バグハンターが明かした「脆弱性の見つけ方」――「CODE BLUE 2015」リポート
2015年10月28日から29日にかけて、西新宿で日本発の国際セキュリティカンファレンス「CODE BLUE 2015」が開催されました。IoT関連の衝撃的な攻撃デモや、著名バグハンターによる「脆弱性の効率的な発見方法」の解説など、多くの刺激的な発表が行われた本イベントから、特に興味深かった講演に関するリポートをお送りします。(2015/11/27)

Adobe、ColdFusionとLiveCycle DS、Premiere Clipの脆弱性を修正
ColdFusionの脆弱性を悪用された場合、反射型クロスサイトスクリプティング(reflected XSS)攻撃を仕掛けられる恐れがある。(2015/11/18)

セキュリティクラスター まとめのまとめ 2015年10月版:
「4万人のボランティアが守る東京オリンピック」?――セキュリティクラスターの反応は
2015年10月は特に大きなセキュリティインシデントは発生しませんでした。しかし「図書館」に「東京オリンピック4万人ボランティア発言」と話題は尽きることなく……(2015/11/12)

攻撃者は何でもできるようになる
多くのルーターに存在するバックドア、最悪の悪用シナリオとは
米政府機関やセキュリティ企業Rapid7は、多くのメーカーがルーターに認証情報をハードコードしており、攻撃者に悪用される可能性があると指摘した。このバックドアを悪用されると何が起きるのか?(2015/11/6)

アプリケーションレイヤーへの高度なサイバー攻撃を防御:
東京エレクトロン デバイスがWAFのマネージドサービスを発表
東京エレクトロン デバイスは、Webアプリケーションファイアウオールを利用したセキュリィサービスの提供を開始すると発表した。F5ネットワークスジャパンのBIG-IP ASMとNRIセキュアテクノロジーズの運用サービスを組み合わせて、アプリケーションへの攻撃を検知・防御する。(2015/10/22)

「Trident」に変わる新エンジン「EdgeHTML」の実力をチェック
Microsoft Edgeが“最強ブラウザ”になれない「ただ1つの欠点」
「Internet Explorer」をしのぐパフォーマンスやセキュリティ機能を実現する「Microsoft Edge」。ただし、ユーザーが待ち望む「あの機能」はまだ実装されていない。(2015/9/17)

WordPress 4.3.1公開、3件の脆弱性を修正
悪用された場合、SQL攻撃を仕掛けられたり、購読者の権限しか持たないユーザーに投稿の作成や編集ができてしまう恐れがある。(2015/9/16)

mixi Scrap Challengeリポート:
本番さながらの環境でXSSなどの脆弱性を探す、学生向けイベント
書籍などを通じて知識として知っているつもりの脆弱性。しかし、実際に手を動かしてその仕組みを体験するのは難しい。日本有数のSNS mixiや「モンスターストライク」などのサービスを展開しているミクシィが、同社本番環境のクローンに対する疑似攻撃を通じてWebサービスの脆弱性について学べる学生向けのイベントを開催した。(2015/9/14)

ビッグデータ利活用と問題解決のいま:
GEにみるIoTとビッグデータ連携でのOSS利用と国際協調
モノのインターネット(IoT)の普及拡大とともに、企業の産業システムがオープンソースソフトウェアとデータを連携する場面が増えてくる。ビッグデータ/IoT連携を推進するグローバル企業は、どのように対応しているのだろうか。(2015/9/9)

Apache Struts2にXSSの脆弱性、更新版が公開
脆弱性は2件あり、悪用された場合に任意のスクリプトを実行される恐れがある。(2015/9/4)

脆弱性が修正されないソフトは使用中止の検討を――IPAが新制度
ソフト開発者と1年以上連絡が取れないケースではユーザーの安全を考慮し、使用中止の判断ができるようにするという。(2015/9/3)

IT用語解説系マンガ:食べ超(78):
イカでも読めるJSON
異なる生物間でのデータのやり取りができるのは、DNAとJSONだけ! ※スマホでご覧の方は、「スマホ用」の画像「1」をタップして、右から左に順にスワイプしてください。(2015/9/2)

豊富なセキュリティ機能をレビュー
“危険なIE”にさようなら 新ブラウザ「Microsoft Edge」は“究極の安全”実現か
Windowsの新たな標準ブラウザ「Microsoft Edge」は、「Internet Explorer」での経験を教訓に、豊富なセキュリティ機能が実装されている。詳しく説明しよう。(2015/8/20)

LINE、脆弱性情報への報奨金プログラムを実施へ
サイボウズなども導入している脆弱性報告者に報奨金を支払うプログラムを実施する。(2015/8/5)

最大で2万ドルの報奨金:
LINE、脆弱性の公募プログラム実施を発表
LINEは2015年8月5日、ユーザーが発見した脆弱性の公募プログラム「LINE Bug Bounty」の実施を発表した。脆弱性の報告者には、最大で2万ドルの報奨金が支払われるという。(2015/8/5)

WordPressの更新版公開、複数の脆弱性などを修正
脆弱性を放置すればWebサイト改ざんなどの攻撃に利用される恐れがある。(2015/8/5)

「WordPress 4.2.3」公開、XSSの脆弱性を修正
XSSの脆弱性を悪用された場合、「投稿者」「寄稿者」の権限を持つユーザーがWebサイトを制御できてしまう恐れがある。(2015/7/24)

川口洋のセキュリティ・プライベート・アイズ(55):
無慈悲な専門家チーム「kuromame6」の暗躍に負けず勝利をつかんだチームは?
毎回、そのときどきの旬な攻撃手法が反映されるHardening。「Hardening 10 MarketPlace」もその例に漏れず、kuromame6によるさまざまな仕掛けが襲ってきました。(2015/7/9)

「WAFは面倒」は過去のもの:
PR:進化した国産WAF「SiteGuard」でWebにセーフティネットを
Apache Sturtsの脆弱性や「Shellshock」に代表されるように、2014年以降相次いで深刻な脆弱性が公になっている。次々明らかになる脆弱性からWebアプリケーションを守るためのセーフティネットとして、あらためて注目を集めているソリューションがWebアプリケーションファイアウォール(WAF)だ。その中でも、ブラックリスト方式を採用することで、長年安定した保護を提供してきた国産WAF、「SiteGuard」の特徴とは何だろうか。(2015/6/1)

第12回 情報セキュリティEXPO【春】リポート:
マイナンバー対応だけじゃない、セキュリティ基礎体力向上を助けるソリューション群
2015年5月13日から15日にかけて東京ビッグサイトにて開催された「第12回 情報セキュリティEXPO【春】」のブースで最も目立った言葉は「マイナンバー対応」だろう。だがそれ以外にも、情報セキュリティ対策の基礎を強化するためのソリューションが多数展示されていた。その一部を紹介しよう。(2015/5/25)

セキュリティクラスター まとめのまとめ 2015年4月版:
名前はなくても危険、IISの脆弱性が注目を集める
2015年4月もまたパスワードの話……と思いきや、想定外の角度からパスワードに関するキャンペーンが開催され、セキュリティクラスターならずとも騒然としました。(2015/5/12)

WordPressの脆弱性は人気テーマやプラグインにも影響、ゼロデイ攻撃の発生も
脆弱性の影響はデフォルトのテーマ「TwentyFifteen」や人気プラグインの「JetPack」にも及ぶ。情報が公開される前からこの脆弱性を突く攻撃の発生が報告されていたという。(2015/5/8)

WordPressの更新版公開、追加修正を含む深刻な脆弱性に対処
クロスサイトスクリプティングの新たな脆弱性が見つかった。13件のバグも修正している。(2015/5/7)

実証コードも公開、ホスティング環境も含め早期の対応を:
WordPress 4.2以前にXSSの脆弱性、速やかなアップデートを呼び掛け
オープンソースのCMS/ブログプラットフォーム「WordPress」に、深刻なクロスサイトスクリプティングの脆弱性が存在する。サーバー上で任意のコードが実行される恐れがあり、問題を修正した「WordPress 4.2.1」への速やかなアップデートが望ましい。(2015/4/28)

「WordPress 4.2」の更新版公開、全バージョンに深刻な脆弱性が存在
セキュリティ企業によれば、WordPress 4.2、4.1.2、4.1.1、3.9.3の各バージョンにクロスサイトスクリプティング(XSS)の脆弱性が存在する。(2015/4/28)

WordPressがアップデート、深刻な脆弱性解決でプラグイン更新も
WordPress本体の更新に合わせて多数のプラグインも脆弱性を修正したバージョンが公開された。安全を保つために全てのプラグインを更新するよう呼び掛けている。(2015/4/24)

ハノーバーメッセ2015:
一緒にダンスが踊れる一体感! ロボットと人間が支え合うモノづくりをABBが出展
スイスのABBは、ハノーバーメッセ2015において、人間と協力して働く双腕ロボット「YuMi」を出展した。人によるセル生産の効率化を目指しているという。(2015/4/16)



7月6日に米国等で、遅れて22日に日本でも配信を開始したスマホ向け位置情報ゲーム。街でスマホを持つ人がすべてポケモンGOプレイヤーに見えてしまうくらいの大ブームとなっているが、この盛り上がりがどれだけ継続するのか、この次に来る動きにも注目したい。

Oculus Riftに続く形で各社から次々と発表されたVRゴーグル。まだマニア向けという印象だが、ゲーム用途を中心に実用段階に進んでおり、決定打になるようなコンテンツが出てくれば、一気に普及が進む可能性もある。

ソフトバンクが買収を発表した半導体企業。既にスマホ市場では圧倒的なリーダーだが、今後IoTの時代が到来することで、ネットにつながるデバイスが爆発的に増加することが予測されており、そこでもスマホ同様のシェアを押さえられるのなら、確かにその成長性には期待が持てる。