新手のWebアプリ攻撃手法「XSIO」、XSSと同様の影響 - ITmedia エンタープライズ

Moooooooooooooooooooooooooooooooooooooooooさん経由

今度はクロスサイトイメージオーバレイですか。イメージを重ねる感じかな。

クロスサイトスクリプティングXSS)と同種の脆弱性として、「Cross Site Image Overlaying」(XSIO)という脆弱性について解説した論文が公開された。SANS Internet Storm Centerがサイトで紹介している。

イメージだけだったら、あんまり大きな事にならない気がするけど。。。

SANSによれば、XSIOは基本的にはXSSと同じだが、スクリプトの代わりに画像を参照させ、CSSを使ってWebサイトの重要部分に配置されるという。
防御策はXSSと同様、入出力情報の認証を行うことであり、ユーザーからの入力情報に対するエコーバックはトラブルを招く元だとSANSは指摘している。

すげぇーーーすげぇーーー週記が月記になってるよ!!!