発表報告(伊波(WAIS2009))
WAIS 2009 (セッション: WAIS 4)で "An Implementation of the Binding Mechanism in the Web Browser for Preventing XSS Attacks: Introducing the Bind-Value Headers" と題して発表を行った.座長の菊池先生をはじめとするセッションに参加していただいた皆様に感謝したい.
- 質疑
-
- Q1
- 本方式を用いるためにはWebアプリケーションについても変更を行う必要があるか.
- A1
- その通り.
- Q2
- XSS脆弱性については,Webアプリケーション側でメタ文字などをエスケープすることによって対策を講じてはどうか.
- A2
- 各Webブラウザの仕様上のバグを利用する方式のXSS攻撃が存在することを考えると,Webアプリケーション側でエスケープ処理のみによって対策することは難しい.提案方式を用いることで,XSS脆弱性の原因となるDOMツリーの変更を防ぐことができるため,こうした種類のXSS攻撃についても有効に対策をすることができる.