Upgrade to Pro — share decks privately, control downloads, hide ads and more …

XSS?なんですかそれ?

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for ryoAccount ryoAccount
July 20, 2025
Technology
64
0

 XSS?なんですかそれ?

Security.any #05 今だから言えるセキュリティLT 登壇資料
https://security-any.connpass.com/event/356209/

Avatar for ryoAccount

ryoAccount

July 20, 2025

More Decks by ryoAccount

See All by ryoAccount
最大のアウトプット術は問題を作ること
Avatar for ryoAccount ryoaccount
0
370
Code Reliability
Avatar for ryoAccount ryoaccount
0
14
S3は問答無用で非公開!!
Avatar for ryoAccount ryoaccount
0
25
0から始めるセキュリティ
Avatar for ryoAccount ryoaccount
0
120
エンジニアが考えるUI/UX
Avatar for ryoAccount ryoaccount
0
18

Other Decks in Technology

See All in Technology
Vision Banana: Image Generators are Generalist Vision Learners
Avatar for Kazuyuki Miyazawa kzykmyzw
0
360
AIの揺らぎに“コシ”を与える階層化品質設計
Avatar for ICKX ickx
0
270
Oracle Exadata Database Service on Cloud@Customer X11M (ExaDB-C@C) サービス概要
Avatar for oracle4engineer oracle4engineer
PRO
2
8k
要件定義の精度を高めるための型と生成AIの活用 / Using Types and Generative AI to Improve the Accuracy of Requirements Definition
Avatar for haru860 haru860
0
320
Oracle AI Database@Azure:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
6
1.6k
【関西製造業祭り2026春】現場を変える技術はここまで来た〜世界最大の製造業見本市から持って帰ってきたもの〜
Avatar for 田中 聖也 tanakaseiya
0
130
「背中を見て育て」からの卒業 〜専門技術としてのテスト設計を軸に、品質保証のバトンを繋ぐ〜 #genda_tech_talk
Avatar for nihonbuson nihonbuson
PRO
3
1.3k
AIエージェントの支払い基盤 AgentCore Payments概要
Avatar for たけのこ kmiya84377
2
170
AI対話分析の夢と、汚いデータの現実 Looker / Dataplex / Dataform で実現する品質ファーストな基盤設計
Avatar for Yuta Ozaki waiwai2111
0
440
2026-05-14 要件定義からソース管理まで!IBM Bob基礎ハンズオン
Avatar for YutaNonaka yutanonaka
0
140
全社統制を維持しながら現場負担をどう減らすか〜プラットフォームチームとセキュリティチームで進めたSecurity Hub活用によるAWS統制の見直し〜/secjaws-security-hub-custom-insights
Avatar for みずほリサーチ&テクノロジーズ株式会社 先端技術研究部 mhrtech
1
420
Shiny New Tools Won't Fix Your Problem
Avatar for Trisha Gee trishagee
1
120

Featured

See All Featured
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
163
24k
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
1
350
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.6k
Everyday Curiosity
Avatar for Cassini Nazir cassininazir
0
200
Producing Creativity
Avatar for Steve Smith orderedlist
PRO
348
40k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
170
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
290
The agentic SEO stack - context over prompts
Avatar for schlessera schlessera
0
770
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
9
1.3k
Organizational Design Perspectives: An Ontology of Organizational Design Elements
Avatar for Dr. Kim W Petersen kimpetersen
PRO
1
690
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
54k

Transcript

  1. Security.any #05 今だから言えるセキュリティLT 2025.07.16 RYO XSS?なんですかそれ?

  2. 某人材系サービスを展開するテック企業にて主に 認証基盤の開発やセキュリティ向上の推進に従事 どうすればDevSecOpsを組織に浸透させられるか 日々悩み中 好きな脆弱性はXSS 2 RYO X @RYO_nami

  3. (おさらい)XSS ? • XSS(Cross-Site Scripting)は、悪意のあるスクリプトをWebページ に埋め込み、ブラウザ上で実行させる攻撃手法 • 入力フォームやURLパラメータなどを通じてスクリプトを注入し、以下のよ うな被害を引き起こす ◦

    Cookieやセッション情報の搾取 ◦ フィッシングサイトへの誘導 ◦ Webページの見た目や内容の改ざん • 大きく3種類ある ◦ 反射型:攻撃者が作成したリンクをクリックすることで、スクリプトが実行される ◦ 格納型:スクリプトがサーバに保存され、他ユーザに配信される ◦ DOM-based:WebページのHTMLが書き換えられて、スクリプトが実行される

  4. あの頃は...

  5. あの頃は... XSS なんて知らんかったなぁ...

  6. XSSとの出逢い • エンジニア(いわゆるSE)として社会人生活スタート🌸 • 新卒として最初に配属されたプロジェクトで、MVCモデルで作られたWebサ イトの開発・保守を担当することになった • 初めてHTMLに触れる(当時はまだHTML4.01の頃) • 当時はまだまだガラケーが主流、WindowsはXPが主流、ブラウザはIEが主

    流、アイドルはAKB48が主流

  7. 当時はこんなエラーメッセージを出していた メールアドレス         環境依存文字が含まれています: error_㈱@gmail.com error_㈱@gmail.com なぜかテキストボックスに入力された文字を 全量出すというやや謎の仕様だった (当時は㈱や㍑や①などが許容されていなかった)

  8. 当時の私はふと思った メールアドレス         環境依存文字が含まれています: error_㈱@gmail.com error_㈱@gmail.com メールアドレスにhtmlタグ入れたら どうなるんやろ??

  9. htmlタグ入れてみた メールアドレス         環境依存文字が含まれています: <input type="text" value="㈱" /> ㈱

  10. htmlタグ入れてみた メールアドレス         環境依存文字が含まれています: <input type="text" value="㈱" /> ㈱ テキストボックスになるやないか/(^o^)\

  11. 当時の私はさらにふと思った メールアドレス         環境依存文字が含まれています: <input type="text" value="㈱" /> ㈱ JavaScriptのコード入れたら どうなるんやろ??

  12. scriptタグ入れてみた メールアドレス         環境依存文字が含まれています: <script>alert("㈱")</script> (domain).com ㈱ OK

  13. scriptタグ入れてみた メールアドレス         環境依存文字が含まれています: <script>alert("㈱")</script> (domain).com ㈱ OK アラートダイアログ出るやないか/(^o^)\

  14. そして、XSSとの別れ(?) • 当時は「入力がhtmlとして解釈されるのか、おもろいなぁ~」くらいの軽い 気持ちで受け流していた • 結局、堅苦しい会社の規則に嫌気がさして、XSSを見なかったことにして、 プロジェクトを去るのでした...(転職)

  15. XSSは今も昔も注意すべき存在 昔:2010年の記事(ITmedia)

  16. XSSは今も昔も注意すべき存在 今:2025年の記事(ITmedia)

  17. XSSの対策方法 • 出力時のエスケープ処理( 例:< → &lt; ) ◦ VueやReactなどのフレームワークは自動的にエスケープ処理を行ってくれる •

    Content Security Policy(CSP)の導入 • outerHTML/innerHTMLの使用を避ける • セキュリティ診断の実施&検出

  18. XSSの対策方法 • 出力時のエスケープ処理( 例:< → &lt; ) ◦ VueやReactなどのフレームワークは自動的にエスケープ処理を行ってくれる •

    Content Security Policy(CSP)の導入 • outerHTML/innerHTMLの使用を避ける • セキュリティ診断の実施&検出 ここに関しては最近、 HTMLの仕様に変更が!

  19. HTML:属性値内の < と > がエスケープされるように!! chrome for developers (2025/06/12)

  20. Q. 次のconsole.log()の出力結果は? <div data-content="<p>hello</p>"></div> <script> const div = document.querySelector("div"); console.log(div.outerHTML);

    // ★ </script>

  21. Q. 次のconsole.log()の出力結果は? <div data-content="<p>hello</p>"></div> <script> const div = document.querySelector("div"); console.log(div.outerHTML);

    // ★ </script> A. <div data-content="&lt;p&gt;hello&lt;/p&gt;"></div>

  22. Q. 次のconsole.log()の出力結果は? <div data-content="<p>hello</p>"></div> <script> const div = document.querySelector("div"); console.log(div.outerHTML);

    // ★ </script> 属性値内の < と > がエスケープされるようになった A. <div data-content="&lt;p&gt;hello&lt;/p&gt;"></div>

  23. 変わったのは? • HTML文字列を取得する場合のみ、< と > がエスケープされる ◦ innerHTML ◦ outerHTML

    ◦ getHTML() • DOM APIを使って属性値を取得する場合、以前と変わらず ◦ dataset ◦ attributes ◦ getAttributes()

  24. なぜこの変更が必要だったのか? • ミューテーションXSS(mXSS)を防ぐため ◦ mXSS:ブラウザのHTMLパーサやDOMの自動修正機能を悪用する XSS • 通常のXSS対策では入力値のエスケープやサニタイズを行うが、mXSSではブ ラウザが勝手に「元に戻して」しまうため、意図せずスクリプトが復元され てしまう

    ◦ 例:攻撃者が一見すると無害な HTMLタグを仕込む ▪ <svg><desc>&lt;img src=x onerror=alert('XSS')&gt;</desc></svg> ◦ ブラウザがHTMLをパースする際、 &lt;img &gt; を <img> タグに変換してしまう ▪ <svg><desc><img src=x onerror=alert('XSS')></desc></svg> ◦ onerror=alert(“XSS”) が発火し、XSSが成立

  25. いつからブラウザに反映される? • Chrome: 反映済み(ver138) • Firefox: 反映済み(ver140) • Safari: 2025年9月予定(ver26)

  26. まとめ • XSSは悪意のあるスクリプトをWebページに埋め込み、ブラウザ上で実行さ せる攻撃手法 • XSSは昔からあるが今も現役で悪用されている危険な脆弱性 • HTMLの仕様が変更されmXSSに対して安全性が増した • とは言っても、まだ全てのブラウザに適用されたわけではないので、開発者

    は今後も引き続きXSS対策が必要 ◦ (セキュリティ対策に終わりはない ...)

  27. ご清聴ありがとうございました