パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

OWASP Top 10の日本語訳、公開」記事へのコメント

  • このOWASPの文書、労作ですね。ご苦労様です。
    XSS脆弱性防衛策の部分に関して、ちょこっとツッコミ。

    エスケープ方法なのですが、この文書では以下を推奨しています。全角で書き替えて引用します。

    これから これへ
    <    <
    >    >
    (    (
    )    )
    #    #
    --
    | 慈愛こそ慈愛
    • by Anonymous Coward
      「(」と「)」はどうしてエスケープする必要があるんでしょうか? ね?
      • by stwo (9482) on 2004年07月13日 0時04分 (#587940)
        Anonymous Coward >「(」と「)」はどうしてエスケープする必要があるんでしょうか? ね?

        必要はありませんが、script kiddyに対する抑止になっているかもしれません。主要な論点としては、XSS攻撃が成立するまでの手段と、成立してからの攻撃続行手段との2段階についてそれぞれ別途考察すると良いかも知れないと云う点でしょうか。

        javascriptの起動までは出来たとして、「(」と「)」を使えないとcookieを盗めないようでは門前払いということで。(妄想)

        まぁ、XSS攻撃が真に成功する為には事前に完璧な手段で情報収集のための生贄サーバが必要なわけですから、script kiddyには難しいかと。その意味で、わざわざ「(」と「)」をエスケイプする必要はありません、、デスね?踏み台作れるkiddyならば、「(」と「)」は軽~くイテコマスはずです。

        |私はチキンなので厨房以前です。
        --
        | 慈愛こそ慈愛
        親コメント

アレゲは一日にしてならず -- アレゲ研究家

処理中...