mXSS - Mutation-based Cross-Site-Scripting のはなし - 葉っぱ日記

テクノロジーカテゴリーの変更を依頼記事元:

hasegawa.hatenablog.com

80 usersがブックマークコメント

mXSS - Mutation-based Cross-Site-Scripting のはなし - 葉っぱ日記

ここ数年、XSS業界の最先端で盛り上がっている話題として mXSS というものがあります。mXSS - Mutation-... ここ数年、XSS業界の最先端で盛り上がっている話題として mXSS というものがあります。mXSS - Mutation-based XSS とは、例えば innerHTML などを経由してすでに構築されているDOMツリーを参照したときに、本来のDOM構造とは異なる結果を得てしまい、そのためにHTML構造の破壊を引き起こすという類のDOM based XSSの亜種とも言えます。 mXSSに関しては以下の資料などが参考になります。 The innerHTML Apocalypse mXSS Attacks: Attacking well-secured Web-Applications by using innerHTML Mutations どちらの資料にも掲載されていますが、mXSSのきっかけとなったのは「教科書に載らないWebアプリケーションセキュリティ（1）：［これはひどい］IEの

igrep "HTML5によるJavaScriptコード量の増加に伴い、DOM based XSSも増加し、さらにこういった特殊なXSSが増えるのは、攻撃者視点としては非常に面白いですね！"

2014/05/09 リンク

raimon49 ＞innnerHTMLなどを通じてHTMLを取得した場合に、本来のDOM構造とは異なる構造を表すHTML文字列が取得できてしまうという点がmXSSの肝

rryu めんどうくさい系のセキュリティの香り。対策としては複製するときはcloneNodeしましょうという感じ?

2014/05/08 リンク

kasumani mXSS : Mutation-based Cross-Site-Scripting のはなし : 葉っぱ日記 ■[SECURITY] mXSS - Mutation-based Cross-Site-Scripting のはなしここ数年、XSS業界の最先端で盛り上がっている話題として mXSS というものがあります。mXSS - Mutation-based XSS とは、例