XSS (Cross Site Scripting) Cheat Sheet
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
第8回 クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング対ç–ã®è½ã¨ã—ç©´ | gihyo.jp
今回ã¯ç†Ÿç·´ã—ãŸWebアプリ開発者ãªã‚‰å¸¸è˜ã®ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング対ç–ã®è½ã¨ã—穴を紹介ã—ã¾ã™ã€‚ JavaScriptを排除ã—ã¦ã„ã‚‹ã¤ã‚‚ã‚Šã§æŽ’除ã«å¤±æ•—ï¼Ÿï¼ æœ€è¿‘ã¯Sanitize(サニタイズ)ã¨ã„ã†è¨€è‘‰ã®ä»£ã‚ã‚Šã«Validation(検証)ã¨ã„ã†è¨€è‘‰ã‚’よãèžãよã†ã«ãªã£ãŸã¨æ€ã„ã¾ã™ã€‚Sanitizeã®æ„味を辞書ã§èª¿ã¹ã‚‹ã¨ã€Œæ±šã‚Œã¦ã„る物をãã‚Œã„ã«ã™ã‚‹ã“ã¨ã€ã¨ã•ã‚Œã¦ã„ã¾ã™ã€‚ã“ã®æ„味ã®é€šã‚Šæ±šã‚ŒãŸå¤‰æ•°ã‚’ãã‚Œã„ã«ã—ã¦ä½¿ãˆã°å®‰å…¨ã«åˆ©ç”¨ã§ãã‚‹ã¨ã™ã‚‹è€ƒãˆæ–¹ã«åŸºã¥ãã®ãŒã‚µãƒ‹ã‚¿ã‚¤ã‚ºæ‰‹æ³•ã§ã™ã€‚典型的ãªä¾‹ã¯ã€ã€Œâ テã‚ストを出力ã™ã‚‹å‰ã«"<"ã¨">"ã‚’å–り除ãã€æ–¹æ³•ãŒã‚ã‚Šã¾ã™ã€‚ 例1 "<"ã¨">"ã‚’ereg_replaceã§å–り除ã $safe_text = ereg_replace($_GET['text'], '[<>]', ''); ã“ã®$safe_textã‚’ <a href="/script.php?t
第11回 スクリプトインジェクションを防ã10ã®Tips | gihyo.jp
å‰å›žã¯ã‚¹ã‚¯ãƒªãƒ—トインジェクションãŒãªããªã‚‰ãªã„ç†ç”±ã‚’紹介ã—ã¾ã—ãŸã€‚ãれをãµã¾ãˆã¦ä»Šå›žã¯ã‚¹ã‚¯ãƒªãƒ—トインジェクションを防ã10ã®Tipsを紹介ã—ã¾ã™ã€‚ デフォルト文å—エンコーディングを指定 php.iniã«ã¯ã€PHPãŒç”Ÿæˆã—ãŸå‡ºåŠ›ã®æ–‡å—エンコーディングをHTTPヘッダã§æŒ‡å®šã™ã‚‹default_charsetオプションãŒã‚ã‚Šã¾ã™ã€‚æ–‡å—エンコーディングã¯å¿…ãšHTTPヘッダレベルã§æŒ‡å®šã—ãªã‘ã‚Œã°ãªã‚Šã¾ã›ã‚“。ã—ã‹ã—ã€ãƒ‡ãƒ•ã‚©ãƒ«ãƒˆè¨å®šã§ã¯default_charsetãŒç©ºã®çŠ¶æ…‹ã§ã€ã‚¢ãƒ—リケーションã§è¨å®šã—ãªã‘ã‚Œã°ã€HTTPヘッダã§ã¯æ–‡å—エンコーディングãŒæŒ‡å®šã•ã‚Œãªã„状態ã«ãªã‚Šã¾ã™ã€‚ HTTPヘッダã§æ–‡å—エンコーディングを指定ã—ãªã„å ´åˆã€ã‚¹ã‚¯ãƒªãƒ—トインジェクションã«è„†å¼±ã«ãªã‚‹å ´åˆã‚ã‚‹ã®ã§ã€default_charsetã«ã¯â€œâ UTF-8â â€ã‚’指定ã™ã‚‹ã“ã¨ã‚’ãŠå‹§ã‚ã—ã¾ã™ã€‚サイトã«ã‚ˆã£ã¦ã¯SJISã€EUC-JP
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}