Masato Kinugawa Security Blog: ユーザ入力を使ã£ãŸæ£è¦è¡¨ç¾ã‹ã‚‰ç”Ÿã˜ã‚‹DOM based XSSãŠä¹…ã—ã¶ã‚Šã§ã™ï¼†ã‚ã‘ã¾ã—ã¦ãŠã‚ã§ã¨ã†ã”ã–ã„ã¾ã™ã€‚昨年ã¯ãƒ–ãƒã‚°ã‚’書ã時間をã†ã¾ã作るã“ã¨ãŒã§ããšã€ã‚ã¾ã‚Šè¨˜äº‹ã‚’書ã‘ã¾ã›ã‚“ã§ã—ãŸã€‚今年ã¯ã§ãã‚‹ã ã‘月ã«1回程度何ã‹æ›¸ã„ã¦ã„ããŸã„ã¨æ€ã£ã¦ã„ã¾ã™ã€‚今年もよã‚ã—ããŠé¡˜ã„ã—ã¾ã™ï¼ ã•ã¦ã€ãƒ–ãƒã‚°ã‚’書ã‹ãªã‹ã£ãŸé–“ã«XSSã‹ã‚‰SQLインジェクションã¸èˆˆå‘³ãŒç§»ã£ãŸã€ãªã‚“ã¦ã“ã¨ã¯ã‚ã‚Šã¾ã›ã‚“ã§ã—ãŸã®ã§ã€ä»Šæ—¥ã‚‚ã„ã¤ã‚‚通り大好ããªXSSã®è©±ã‚’ã—ãŸã„ã¨æ€ã„ã¾ã™ï¼ 最近ã€æ£è¦è¡¨ç¾ã«ãƒ¦ãƒ¼ã‚¶å…¥åŠ›ã‚’使ã£ã¦ã„ã‚‹ã“ã¨ã«èµ·å› ã™ã‚‹DOM based XSSã«é€£ç¶šã—ã¦éé‡ã—ã¾ã—ãŸã€‚ã‚ã¾ã‚Šè¦‹æ…£ã‚Œã¦ã„ãªã„注æ„ãŒå¿…è¦ãªå•é¡Œã ã¨æ€ã†ã®ã§ã€ã“ã®è¨˜äº‹ã§ã¯ã€è¦‹ã¤ã‘ãŸã‚‚ã®2ã¤ãŒã©ã®ã‚ˆã†ã«ç”Ÿã˜ãŸã‹ã€ã¾ãŸã€å•é¡Œã‚’èµ·ã“ã•ãªã„ãŸã‚ã«ã©ã†ã™ã‚Œã°ã‚ˆã„ã‹ã‚’紹介ã—ã¾ã™ã€‚ ãã®ã†ã¡ã®1ã¤ã¯LINEã®Bug Bounty Programを通ã˜ã¦å ±å‘Šã—ãŸå•é¡Œã§ã™ã€‚ 賞金ã¨ã€"LINE SECURITY BUG BOUNTY"
Masato Kinugawa Security Blog: ブラウザã®XSSä¿è·æ©Ÿèƒ½ã‚’ãƒã‚¤ãƒ‘スã™ã‚‹(14)
Shibuya.XSS #7 ãŒé–‹å‚¬ã•ã‚Œã¾ã—㟠- Cybozu Inside Out | サイボウズエンジニアã®ãƒ–ãƒã‚°
{{#tags}}- {{label}}
{{/tags}}