2016年04月15日

13. Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性

私が最近携わったセキュア化支援での指摘事項をまとめておきます。
なお、何れの対象システムもApache、Tomcatを利用したグローバル(インターネット)領域に公開するWebアプリケーションです。

【検出内容】
クロスサイトスクリプティング(XSS)対策として既にサニタイジング(HTMLエスケープ)はクライアントサイドにて実施できていたが、
HTTPレスポンスボディ(JSON形式)のUNICODEエスケープは実施できていなかったため、まだ脆弱性が内在した。
※ JSONIC の RPCServlet では未対策でした。

【(想定)被害内容】
脆弱性が悪用され、Webアプリケーションを改竄される。
また、機密情報を搾取される。

【対策内容】
一元的に改修するため、 JSONIC の RPCServlet (net.arnx.jsonic.Formatter.StringFormatter) を拡張し、HTTPレスポンスボディ(JSON形式)のUNICODEエスケープを実施する。

参考 : [OWASP]Cross-site Scripting (XSS)

【関連する記事】
posted by red at 23:55| Comment(0) | TrackBack(0) | セキュア化支援 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:

※ブログオーナーが承認したコメントのみ表示されます。

この記事へのトラックバック