ITmedia総合  >  キーワード一覧  >  X

「XSS」関連の最新 ニュース・レビュー・解説 記事 まとめ

Webサイトの入力欄にスクリプトを含んだタグを打ち込むと、そのサーバの脆弱性の度合いによって、cookieを吐き出したり、読み出されたcookieデータが第三者のサーバに転送されるなどの可能性があることをクロスサイトスクリプティングと呼ぶ。
クロスサイトスクリプティング − @ITセキュリティ用語事典

-こちらもご覧ください-
Webアプリにおける11の脆弱性の常識と対策 - @IT
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT
クロスサイトスクリプティング対策の基本 連載インデックス - @IT
Insider's Computer Dictionary [クロスサイト・スクリプティング] − @IT

「生成AIを使ったシステムには特有の脆弱性がある」:
「プロンプトインジェクション」「ジェイルブレイク」など5項目を診断 生成AI診断サービスをラックが提供開始
ラックは、生成AIシステムのセキュリティを強化するサービス「生成AI活用システム リスク診断」の提供を開始した。生成AIを使ったシステムに特有の脆弱性が含まれていないかどうかを評価し、改善点をレポートする。(2024/2/22)

“典型的やられサイト”で学ぶセキュリティのワナ:
対策できてる? Webアプリの「アップロード機能」に潜む、見落としがちなワナの数々
ネット上で商売するのが当たり前な時代。インシデントが発生すれば失うものは計り知れない。本連載では脆弱性診断実習用のWebアプリ「BadTodo」を題材に、ストーリー形式でWebアプリ制作に潜む“ワナ”について学んでいく。(2024/2/13)

半径300メートルのIT:
「セキュリティ人材が足りない……」と嘆く前に 企業に必要なのは“懐の深さ”だ
セキュリティ人材の不足が世の中で叫ばれていますが、人材不足を嘆く前に自社が従業員の才能を伸ばせる環境かどうかを再考してみるといいかもしれません。(2024/2/6)

IoTセキュリティ:
静的テストだけではなくならない脆弱性、多層的テスト手法が大きな効果
日本シノプシスが、同社が行ったソフトウェア脆弱性に関する調査レポートについて説明。ソフトウェアやアプリケーションから脆弱性が検出される割合が2020年の97%から2022年には83%となり、減少傾向にあることが分かった。(2024/2/5)

Webアプリ実装で学ぶ、現場で役立つRust入門(4):
RustとActix Webで投稿アプリにテンプレートエンジンを導入しよう
第4回は、第3回の続きとして、投稿アプリにWebアプリケーションテンプレートエンジンの「Tera」を導入し、見た目を整えていきます。(2024/1/19)

セキュリティニュースアラート:
QNAP製品に複数の脆弱性 深刻度は「重要」(High)に分類
QNAP SystemsはQTS 5.1.x、QuTS hero h5.1.x、QuMagie 2.2.x、Video Station 5.7.xなどの自社製品について脆弱性を発表した。修正版がリリースされており、適用が推奨される。(2024/1/10)

GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表
米GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビューが公開された。(2023/11/10)

AWS活用で「PCI DSS 4.0」に準拠 6つの観点でクラウドセキュリティを解説:
決済サービスだからこそクラウドをフル活用――PAY.JPがクラウドネイティブを推進する理由
オンライン決済サービス「PAY.JP」では、システム基盤の見直しやPCI DSS準拠といった取り組みを継続的に進め、高いセキュリティ水準の維持に取り組んできた。PAYで代表取締役CEOの高野兼一氏が、クラウドネイティブな取り組みをどう進めているのか、解説した。(2023/11/2)

ESETのリサーチャーがレビュー:
セキュリティ担当者がよく使う5つのプログラミング言語、何が役立つのか?
セキュリティ企業のESETが、サイバーセキュリティ分野で最も使用されている5つのプログラミング言語をレビューした。それぞれの主な利点とは。何のためにどう使われているのか。(2023/10/14)

セキュリティニュースアラート:
ランサムウェアHelloKittyのソースコードがハッキングフォーラムに漏えい
ランサムウェアHelloKittyのソースコードがロシア語圏で人気のハッキングフォーラムで公開されていると報じられた。(2023/10/11)

セキュリティインシデントの原因となる「安全ではないAPI」をどう減らすか:
アプリケーション開発で「APIセキュリティ」を考慮すべき理由
ビジネスニーズを満たすために、APIを活用する機会は増している。だが、セキュリティのツール、プロセス、スキルセットはAPIの活用に追い付いていない。企業のAPIセキュリティについて調査したEnterprise Strategy Groupでシニアアナリストのメリンダ・マークス氏に話を聞いた。(2023/9/26)

2023年第2四半期Cloudflareアプリケーションセキュリティレポート:
「Log4j」などの古い脆弱性は依然、大量に悪用されている
Cloudflareが2023年第2四半期(4〜6月)におけるインターネット全体のアプリケーションセキュリティの傾向に関するレポートを発表した。毎日平均1120億件ブロックしたサイバー脅威データを基に分析した結果分かった傾向とは。(2023/9/2)

前年比では大きく減少:
Googleが報告「ゼロデイ脆弱性は過去2番目に多かった」 2022年に41件が悪用される
Googleの年次報告書によると、2022年に悪用されたことが検出、公開されたゼロデイ脆弱性は41件。2021年の69件からは減少したが、2014年に同社が追跡を開始して以来、2番目に多かった。(2023/8/2)

「CWE Top 25」2023年版、MITREが発表:
ソフトウェア開発で気を付けたい脆弱性トップ25 3位は「SQLインジェクション」 2位は「XSS」 1位は?
MITREは、ソフトウェアにおいて危険な脆弱性タイプの1位〜25位をまとめた「CWE Top 25」を発表した。(2023/7/13)

志布志市ふるさと納税サイトでクレカ情報漏えいか 脆弱性突かれ不正プログラムを設置される
鹿児島県志布志市の「志布志市ふるさと納税特設サイト」でクレジットカード情報910件が漏えいした可能性がある。クロスサイトスクリプティングの脆弱性を悪用され、クレジットカード決済実行時にカード情報を盗み出すよう改造されていた。(2023/6/22)

Cybersecurity Dive:
「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の“戦術”とは? 全20項目を紹介
今、米国のサイバーセキュリティ当局を中心に、製品の開発段階でセキュリティを確保しようとする取り組み「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」が進んでいる。製品から脆弱性を取り除くための“戦術”の内容を見てみよう。(2023/5/27)

200万に影響 WordPressで人気のカスタムフィールドプラグインに重要な脆弱性
WordPressのプラグインで人気の高いカスタムフィールドプラグインに重大なセキュリティ脆弱性が見つかった。これは200万以上のインストールがあるため大きな影響が予想される。該当する場合は迅速に更新することが望まれる。(2023/5/10)

Microsoft、BingとOffice 365を攻撃できる可能性のあるAzure ADの脆弱性を修正
Microsoftは、BingやOffice 365を攻撃できる可能性のあるAzure ADの脆弱性を修正した。この問題を発見し、報告したWizのアナリストは、悪用すればXSS攻撃も可能だったと解説した。(2023/3/31)

サイバー攻撃は「不運」「仕方がない」わけではない:
ラックCTO倉持氏が語った、開発スピードを向上させたい組織が知っておくべきセキュリティ対策のコンセプト
クラウドネイティブを推進する上では、どのようなセキュリティリスクが潜むのか。そしてどのようなアプローチが有効なのか。「ITmedia Cloud Native Week 2022 冬」に登壇したラックの倉持浩明氏が紹介した。(2023/2/22)

LEGO売買サイトの脆弱性から得られる教訓【後編】
犯罪者に狙われ始めた「API」 その笑えない理由
LEGOの中古品売買サイト「BrickLink」に見つかった脆弱性は、「API」の脆弱性だった。専門家はAPIセキュリティの重要性を呼び掛けている。その背景は。(2023/2/10)

LEGO売買サイトの脆弱性から得られる教訓【前編】
LEGO売買サイト「BrickLink」に潜んでいた“危険な脆弱性”とは何だったのか
セキュリティ専門家が、LEGOの中古品売買サイト「BrickLink」に脆弱性を発見した。見つかったのは2つの脆弱性だ。どのような脆弱性だったのか。発見に至ったいきさつとは。(2023/2/2)

VMware Workspace ONE AssistにCVSSv3スコア9.8の脆弱性 直ちに対策を
VMwareのリモートサポートソリューション「VMware Workspace ONE Assist」にCVSSv3スコア9.8に該当する複数の脆弱性が見つかった。これらを悪用されると影響を受けたシステムの制御権を乗っ取られる可能性があるため注意してほしい。(2022/11/14)

ITワード365:
【クイズITワード365】「Dockerなどのコンテナの運用管理と自動化を実現するためのオープンソースソフトウェア」という意味のIT用語は?
最新IT動向のキャッチアップはキーワードから。専門用語で煙に巻かれないIT人材になるための、毎日ひとことキーワード解説。用語の意味から隠されたIT用語が何なのか当ててみよう。(2022/11/10)

WordPressに複数の脆弱性 クロスサイトスクリプティングで閲覧者・投稿者が影響受ける恐れ
JPCERT/CCが、WordPressに複数の脆弱性が見つかったとして最新版へのアップデートを呼び掛けた。悪用されるとWebサイトの閲覧者に悪影響が出る可能性がある。(2022/11/8)

セキュリティのWhy(2):
“産業化”するサイバー攻撃をどう防ぐ? サイバーセキュリティの基礎から解説
セキュリティの素朴な疑問を、話題のトピックスを交えて解説する本連載。第2回は、「サイバー攻撃のHow」をテーマに、セキュリティの基礎を紹介する。(2022/10/11)

PR:「WAFを入れれば安心」に黄色信号! 誤検知や精度の低さに苦労するかも? 今知りたい“本当に使えるWAF”の選び方
(2022/9/8)

「見えないWeb攻撃」──情報漏えい対策の盲点:
変わり始めるWeb攻撃 背景に潜むウクライナ侵攻と”ハイブリッド戦”の影
ハイブリッド戦の影響が世界に波及する中で、サイバー空間でいま何が起きているのか。緊張の高まる台湾およびアジアの情勢を前に、民間企業はどう備えるべきか。変わりつつあるWeb攻撃の傾向などを基に、浮かび上がったハイブリッド戦の影について考察する。(2022/8/30)

古い脆弱性に対応するだけでも被害は激減:
ソフトウェア脆弱性を正しく怖がるための「28の真実」
Comparitech.comはサイバーセキュリティに関わる脆弱性について、最新の状況を示す28の重要な統計と事実を取り上げて紹介した。2021年第4四半期にはゼロデイマルウェアが全脅威の3分の2を占めた。だが、同時に84%の企業のネットワーク境界に高リスクの脆弱性が残っていた。企業や個人はまず古い脆弱性に対応するとよいだろう。(2022/8/5)

VMwareのID管理製品に深刻度「緊急」の脆弱性 迅速な対処を
VMwareの複数製品に脆弱性が見つかった。これらの中には深刻度「緊急」(Critical)に分類される脆弱性も含まれている。該当製品を使用している場合には迅速にアップデートを適用してほしい。(2022/8/4)

教えて、キラキラお兄さん:
院卒、米国帰りのエリートは悩みや挫折なんて無縁でしょ?
常に優秀なエンジニアたちに囲まれ、「底辺をはいつくばるような」気持ちでマルウェア解析に取り組んできた男が誇れるのは、「粘り強くものを追い続ける姿勢」だった。(2022/8/1)

サイバー攻撃者に悪用されやすい脆弱性タイプは? 2022年版「CWE Top 25」が公開
HSSEDIは「CWE Top 25 Most Dangerous Software Weaknesses」の2022年版を公開した。サイバー攻撃者が悪用する脆弱性タイプがランキング形式で紹介されている。参考の上、対処することが望まれる。(2022/7/2)

サポート終了目前のIEの脆弱性も対象:
「既知の悪用された脆弱性カタログ」に36個の脆弱性が追加 迅速にアップデートの適用を
「既知の悪用された脆弱性カタログ」に36個の脆弱性が追加された。複数のAdobe製品やMicrosoft製品などに影響を及ぼす脆弱性が含まれるため注意が必要だ。内容を確認し、迅速に対処してほしい。(2022/6/10)

QNAP製NASの脆弱性も 「既知の悪用された脆弱性カタログ」に新たに20個が加わる
先日に引き続き、CISAは「既知の悪用された脆弱性カタログ」にQNAP製NASやiOS、Windowsなどに存在する20個の脆弱性を追加した。(2022/5/26)

ChromeやiOSなどが該当 CISAが「既知の悪用された脆弱性カタログ」に21個の脆弱性を追加
CISAは「既知の悪用された脆弱性カタログ」にGoogle ChromeやiOSなどに存在する21個の脆弱性を追加した。確認の上、必要に応じてアップデートや緩和策を適用することが望まれる。(2022/5/25)

人材不足はツールで補う:
PR:Webアプリケーション開発者に寄り添う次世代WAFの実力を探る
Webアプリケーションを狙うサイバー攻撃の高度化は、機械学習機能を組み込んだbotによる同時多発攻撃などとどまるところを知らない。従来のWAFでは防ぎ切れない攻撃にどのように立ち向かうべきなのか。(2022/4/28)

アプリケーションは外部からの攻撃における最大の原因:
WhiteSource、静的アプリケーションセキュリティテスト(SAST)について解説
WhiteSourceは、静的アプリケーションセキュリティテスト(SAST)に関する解説記事を公式ブログで公開した。SASTの目的や仕組み、特徴、新世代製品のメリット、ツールの選び方、導入方法を解説している。(2022/4/15)

公開したWebサイト全てが狙われる時代、セキュリティ対策効率化のヒント:
PR:脆弱性、対応する人も時間もない――エキスパートに聞く解決策
社会全体でデジタル化が加速し、Webサイトは重要な顧客接点の一つになっている。一方で、サイバー攻撃による企業の被害は事業継続を脅かすほどに深刻化しており、迅速な対策の見直し、強化が求められている。ソフトウェアからミドルウェアまで日々多数の脆弱性が発覚する一方、企業の人材や予算は限定的だ。ビジネスを確実に守る方法はあるのか。(2022/4/18)

GitLabにアカウント乗っ取りの脆弱性 直ちにアップデート適用を
GitLabに「緊急」(Critical)に分類される脆弱性が見つかった。アカウント乗っ取りの可能性もあることから直ちにアップデートを適用することが推奨される。(2022/4/5)

英国の「.uk」ドメイン取り締まり事情【後編】
“コロナ便乗詐欺”に使う悪質ドメインの実態 取り締まりの内容と効果は?
新型コロナウイルス感染症に関連したドメインを新規に登録し、サイバー犯罪に悪用する動きがある。こうした悪質ドメインを取り締まるため、「.uk」ドメイン管理団体Nominetはどのように取り組んでいるのか。(2022/2/3)

「訴えてやる!」の前に読む IT訴訟 徹底解説(94):
技術的に不可能でも、セキュリティ対策は万全にしろ!
業者がイーサリアムの売買を停止したから3500万円損をした。「NEMが流出したから」だなんて言い訳は許さん!(2022/1/26)

英国の「.uk」ドメイン取り締まり事情【前編】
“悪質ドメイン”減少の訳は? 「.uk」ドメインの停止件数が過去最少に
英国のドメイン管理組織Nominetの報告から、同国でのサイバー犯罪に対する取り組みが功を奏していることが明らかになった。効果の概要とその要因を解説する。(2022/1/20)

ヤマーとマツの、ねえこれ知ってる?:
「Log4j」のトラブルってどうヤバいの? 非エンジニアにも分かるように副編集長に解説させた
「Log4j」の脆弱性が話題になっているが、どれほど影響が大きいものなのか。ITmedia NEWS副編集長に聞いてみた。(2021/12/16)

ほぼ4年ぶりにトップ10を更新:
OWASP、Webアプリの重大なリスクのトップ10「OWASP Top Ten 2021」を公開
「The Open Web Application Security Project」(OWASP)は、Webアプリケーションの重大なセキュリティリスクについてトップ10を選び、解説するドキュメントの最新版「OWASP Top Ten 2021」を公開した。(2021/10/14)

公開情報が少なく対策が不十分:
多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。(2021/10/12)

「中身を把握できないままアプリ改修はできない」:
PR:富士ソフトが「システム引き継ぎ」と「PCI DSS準拠」を両立させた“秘策”とは
アプリケーション開発においてセキュアコーディングの重要性は高まっている。だが、「具体的に何をチェックしていけばいいのか」が定まらず、実践するとなると難しい。同様の悩みを抱えていた富士ソフトはどうやってこの課題を解決したのか。(2021/10/12)

AirTagを悪用してiCloudアカウントを窃取する方法が示される
「Apple AirTag」を狙ったiCloudアカウント窃取の方法が公開された。格納型クロスサイトスクリプティング攻撃が使われているという。(2021/9/30)

TechTarget発 世界のITニュース
新しいランサムウェア「BlackMatter」現る 実体は姿を変えた「REvil」の可能性も
2021年7月に新しいランサムウェア「BlackMatter」が出現、作成者はサイバー攻撃者を“募集”している。ランサムウェア「REvil」が犯罪者フォーラムを利用禁止になった直後というタイミングから、2つの密な関係が浮かび上がっている。(2021/9/27)

“ゲーム人気”は攻撃者にも
「ゲーム業界狙いのWeb攻撃」がコロナ禍で活発化 最も多かった攻撃は?
コロナ禍の中で人気を博しているゲームは、サイバー攻撃の格好の標的となっている。どのような種類の攻撃が目立っているのか。Webアプリケーション攻撃に絞り、調査結果を基に実態を探る。(2021/8/18)

「Microsoft Azure」のネットワークサービス11選【前編】
「Azure VNet」「Load Balancer」「Application Gateway」とは Azureネットワークサービスの基礎
「Microsoft Azure」にはさまざまなネットワークサービスがある。その中から「Azure Virtual Network」「Load Balancer」「Application Gateway」を説明する(2021/7/28)

働き方改革時代の「ゼロトラスト」セキュリティ(13):
シャドーITや設定ミスによる情報漏えいなどを防ぐ「クラウドセキュリティ」は統合されてゼロトラストの一部となる
デジタルトラストを実現するための新たな情報セキュリティの在り方についてお届けする連載。今回は、ゼロトラストを構成する上で必要となるクラウドセキュリティ技術について解説する。(2021/7/16)


サービス終了のお知らせ

この度「質問!ITmedia」は、誠に勝手ながら2020年9月30日(水)をもちまして、サービスを終了することといたしました。長きに渡るご愛顧に御礼申し上げます。これまでご利用いただいてまいりました皆様にはご不便をおかけいたしますが、ご理解のほどお願い申し上げます。≫「質問!ITmedia」サービス終了のお知らせ

にわかに地球規模のトピックとなった新型コロナウイルス。健康被害も心配だが、全国規模での臨時休校、マスクやトイレットペーパーの品薄など市民の日常生活への影響も大きくなっている。これに対し企業からの支援策の発表も相次いでいるが、特に今回は子供向けのコンテンツの無料提供の動きが顕著なようだ。一方産業面では、観光や小売、飲食業等が特に大きな影響を受けている。通常の企業運営においても面会や通勤の場がリスク視され、サーモグラフィやWeb会議ツールの活用、テレワークの実現などテクノロジーによるリスク回避策への注目が高まっている。