クロスサイト スクリプティング(XSS)攻撃は、有害なスクリプトが埋め込まれない場合は信頼される Web サイトに有害なスクリプトを埋め込みます。 XSS アタッカーは、Web アプリケーションを使用して、通常は、ブラウザ側のスクリプトの形式で、有害なコードをエンド ユーザに送信します。 これらの攻撃は、Web アプリケーションの生成する出力に、Web アプリケーションによる事前の検証や入力データのエンコーディングなしに、ユーザ入力データが含まれる場合に成功します。
ユーザのブラウザは、スクリプトが有害であることを認識しないまま、スクリプトを実行します。 ブラウザはスクリプトが信頼されたソースからのものと判断するので、有害なスクリプトは Cookie や、セッション トークン、その他の機密情報にアクセスできます。
XSS 脆弱性に対応するには、ブラウザに送り返されるユーザによる入力がすべて安全であることを(入力検証によって)確認する必要があります。 また、出力ページに含まれる前に、ユーザ入力を正しくエスケープする必要があります。 出力を適切にエンコーディングすれば、ユーザ入力は、ブラウザ内で、常に、実行可能なアクティブなコンテンツではなくテキストとして扱われます。
このリリースには、XSS 対策のユーザ入力検証および XSS ユーザ入力規制(エスケープ)が配置され、CA Technologies によって管理されます。 既定の制限設定の変更要求または XSS セキュリティの問題についてのその他の支援については、http://ca.com/support の <サポート> に問い合わせてください。
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|