クロスサイト スクリプティング(XSS)攻撃は、有害なスクリプトが埋め込まれない場合は信頼される Web サイトに有害なスクリプトを埋め込みます。 XSS アタッカーは、Web アプリケーションを使用して、通常は、ブラウザ側のスクリプトの形式で、有害なコードをエンド ユーザに送信します。 これらの攻撃は、Web アプリケーションの生成する出力に、Web アプリケーションによる事前の検証や入力データのエンコーディングなしに、ユーザ入力データが含まれる場合に成功します。
ユーザのブラウザは、スクリプトが有害であることを認識しないまま、スクリプトを実行します。 ブラウザはスクリプトが信頼されたソースからのものと判断するので、有害なスクリプトは Cookie や、セッション トークン、その他の機密情報にアクセスできます。 これらのスクリプトは、さらに HTML ページのコンテンツを書き換えることもあります。
XSS 脆弱性に対応するには、ブラウザに送り返されるユーザによる入力がすべて安全であることを(入力検証によって)確認する必要があります。 また、出力ページに含まれる前に、ユーザ入力を正しくエスケープする必要があります。 出力を適切にエンコーディングすれば、ユーザ入力は、ブラウザ内で、常に実行可能なアクティブなコンテンツではなくテキストとして扱われます。
CA Clarity PPM は、このリリースで、XSS に対処するためにユーザ入力検証を実行します。 また、このリリースは、ユーザによる XSS 規制(エスケープ)のオンとオフの切り替えを可能にする新しい管理オプションを提供します。 これらの管理オプションの使用については、「インストール ガイド」を参照してください。
|
Copyright © 2014 CA Technologies.
All rights reserved.
|
|