• はてなブックマーク
  • テクノロジー
  • JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
  • Twitterでシェア
  • Facebookでシェア

JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
230 usersがブックマーク コメント27

    記事へのコメント27

    • 注目コメント
    • 新着コメント
    pmint
    pmint 攻撃者に都合よく1行目に機密情報が書かれたJSONなら。長々書いてる割にそこをさらっと済ませちゃったり「反転」する辺りは脆弱性で食ってる職業だからなのかな。「JSON関係なくね?」とも思うけど実際JSONが多いからか

    2013/05/24 リンク

    その他
    warriorking
    warriorking JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記

    2013/05/23 リンク

    その他
    naga_sawa
    naga_sawa 本来読めないはずのURLからのJSONをエラーハンドラ経由で取得できてしまう脆弱性について

    2013/05/22 リンク

    その他
    nnasaki
    nnasaki CORS はとりあえず大丈夫そう。(他の脆弱性が無ければ)

    2013/05/22 リンク

    その他
    typista
    typista ぽけったー JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

    2013/05/21 リンク

    その他
    manhole
    manhole 『私はこれを見て、ある種の感動を覚えました。今までContent-Typeを散々無視してきたIEが、Content-Typeが違うとして読み込みをブロックするとは…』

    2013/05/21 リンク

    その他
    amayan
    amayan わざとエラー起こして詳細からぶっこ抜くと。おっかねぇ

    2013/05/21 リンク

    その他
    khtokage
    khtokage 基本と背景を含めたもの凄く丁寧な説明。「今までContent-Typeを散々無視してきたIEが、Content-Typeが違うとして読み込みをブロックするとは…」噴いたww

    2013/05/21 リンク

    その他
    wasai
    wasai あとで読み直す

    2013/05/20 リンク

    その他
    itochan
    itochan javascriptは必要。vbscriptいらない。 そういう設定をIEに設けて欲しい。(必要な人には/時には vbscriptもonできるように設定で)

    2013/05/20 リンク

    その他
    GARAPON
    GARAPON 後でちゃんと読む

    2013/05/20 リンク

    その他
    t_z
    t_z おお……おおお! >今までContent-Typeを散々無視してきたIEが、Content-Typeが違うとして読み込みをブロック

    2013/05/20 リンク

    その他
    fafhrd
    fafhrd 説明の仕方が実にわかりやすい

    2013/05/20 リンク

    その他
    raimon49
    raimon49 X-Requested-Withヘッダ付与とチェックついて。不完全なJSONや無限ループで読みだせなくするバッドノウハウ的な手法よりもXHRからのリクエストかどうか検証する。

    2013/05/20 リンク

    その他
    sakuragaoka
    sakuragaoka きをつけよう(開発者がね)

    2013/05/20 リンク

    その他
    k-holy
    k-holy SymfonyのHttpFoundationにRequest::isXmlHttpRequest()があったのはこういう背景なのね

    2013/05/20 リンク

    その他
    burnworks
    burnworks vbscriptのエラーメッセージからJSONデータ内の秘密情報が漏洩するかどうかはJSONの構造に依存 / 配列以外の形式についても漏洩させるテクニックが出てくる可能性 / JSONの構造に関わらず対策を推奨

    2013/05/20 リンク

    その他
    tsupo
    tsupo vbscriptを指定したscript要素により呼び出す攻撃 / JSONはvbscriptとして実行するとエラーになるが、エラーハンドラに渡される引数としてJSONデータが入るため、通常は読み出せないJSON経由で秘密情報が漏洩する

    2013/05/20 リンク

    その他
    k_gobo
    k_gobo 大事なことだと思うんだけど、午後に読むには睡魔に負ける分量。

    2013/05/20 リンク

    その他
    ko-ya-ma
    ko-ya-ma 例の件について、背景から詳しく解説

    2013/05/20 リンク

    その他
    JHashimoto
    JHashimoto "本当に影響があるかどうかは、JSONの構造にも依存しますが、他の攻撃による情報漏洩の可能性も考慮して以下の対策を推奨致します。"

    2013/05/20 リンク

    その他
    YaSuYuKi
    YaSuYuKi 対策しなきゃ

    2013/05/20 リンク

    その他
    oppara
    oppara JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記

    2013/05/20 リンク

    その他
    fukken
    fukken nosniff ってそういう意味だったのか、納得

    2013/05/20 リンク

    その他
    asuka0801
    asuka0801 なにそれ楽しそう

    2013/05/20 リンク

    その他
    ya--mada
    ya--mada まだjsonセキュリティ読んでないや

    2013/05/20 リンク

    その他
    ockeghem
    ockeghem 日記書いた(長文)

    2013/05/20 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

    はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけ...

    ブックマークしたユーザー

    • sirataki2562019/04/01 sirataki256
    • qsona2019/03/31 qsona
    • yyamano2017/07/13 yyamano
    • haromitsu2016/11/04 haromitsu
    • tokkata2014/08/31 tokkata
    • nantan2013/12/09 nantan
    • akira_nishii012013/11/11 akira_nishii01
    • masakielastic22013/07/19 masakielastic2
    • lEDfm4UE2013/07/07 lEDfm4UE
    • hisasann2013/06/25 hisasann
    • comeonly2013/06/21 comeonly
    • ofsilvers2013/06/15 ofsilvers
    • FTTH2013/06/01 FTTH
    • hikobae2013/05/26 hikobae
    • pmint2013/05/24 pmint
    • warriorking2013/05/23 warriorking
    • hxmasaki2013/05/23 hxmasaki
    • blogger3232013/05/23 blogger323
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2024 Hatena. All Rights Reserved.