パソコンの動きが重いと感じる方へ 軽快なESETをお試しください 使ってもらえば分かります!
「検出力」と「快適動作」を追求したウイルス対策ソフト

↑↑↑今だけ!8月31日(土)までの期間限定 最大39%オフのキャンペーン実施中↑↑↑


『DOM Based XSS』に関するレポート~DOM Based XSSに関する脆弱性の届出が急増~(IPA)

IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、IPAに届け出られる「DOM Based XSS」の脆弱性に関する届出が2012年後半から増加していることを踏まえ、それらの情報を分析して当該脆弱性の概要や対策のポイントをまとめた技術レポート(IPAテクニカルウォッチ 第13回)を公開しました。

 IPAに多くの届出があるクロスサイト・スクリプティング(XSS)の脆弱性ですが、2012年第1四半期から第3四半期の期間では合計38件だった「DOM Based XSS」と呼ばれるタイプのクロスサイト・スクリプティングの脆弱性の届出が、第4四半期だけで92件(第3四半期までの件数比約2.4倍増)と急増しました。

 一般にクロスサイト・スクリプティングは、サーバ側のプログラムに作り込まれてしまう脆弱性ですが、「DOM Based XSS」と呼ばれるクロスサイト・スクリプティングの脆弱性は、ブラウザのプラグインなどのクライアント側のプログラムに作り込まれてしまう場合があるという特徴があります。

 「DOM Based XSS」は、JavaScriptから動的にHTMLを操作しているアプリ全般に注意が必要な脆弱性です。しかし、本脆弱性を解説した資料が少ないことや、類似の届出が急増したことから、IPAでは本脆弱性の原因や対策方法が理解されにくい状況にあると考えました。

 以上の経緯から、「DOM Based XSS」の脆弱性について解説した資料を公表することにしました。本資料の対象読者は、ウェブサイトの構築や運営に携わる方、およびJavaScriptによる動的なHTML操作をするアプリの開発者の方々を想定しています。

 脆弱性があるコード例と対策のポイントとして、以下の点について紹介・解説しています。本資料が「DOM Based XSS」の脆弱性の理解と対策方針の参考のために活用されることを期待します。



脆弱性があるコード例を4つ紹介
・リンク情報を動的に出力する処理に問題がある例
・アクセス解析用のタグの設置方法に問題がある例
・JavaScriptライブラリに問題がある例
・ウェブブブラウザのプラグインに問題がある例

対策のポイントを3つ紹介
・DOM操作用のメソッドやプロパティを使用する方法
・文脈に応じてエスケープ処理を施す方法
・JavaScriptライブラリの問題の場合は、ライブラリをアップデートする方法

レポートのダウンロード
http://www.ipa.go.jp/about/technicalwatch/pdf/130129report.pdf

【ニュースソース】IPA
http://www.ipa.go.jp/about/technicalwatch/20130129.html