SPA特有のセキュリティリスク

React.jsやVue.jsに代表されるSPAフレームワークは近年急速に普及が進みました。しかし、フロントエンドでのリッチな処理と引き換えに発生したDOM based XSSといったセキュリティリスクは見逃されてしまいがちです。

SPAに発生するそのような脆弱性のうち、非自明で検出難易度が高いものはホワイトボックス形式の診断でないと発見することが難しいことがあります。

例えば、GitLabが使用していたMermaid chartには、ユーザーのディレクティブを適切にエスケープせずにそのまま使用していたためにDOM based XSSが存在していました。この脆弱性は単純にペイロードを流し込むだけでは発火せず、ホワイトボックス的にコードを読むことで発見されています。

参考:https://hackerone.com/reports/1103258

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。

Internet Explorerをお使いの場合など、お問い合わせフォームが表示されない場合は別ページからお問い合わせください。