はてなブックマーク - まっくぶーく - xss

(閉じる)

nitoyon id:nitoyon

ブックマーク: 6,946

お気に入り: 76

お気に入られ: 597

関連タグで絞り込む (11)

xss

ブックマーク / xss (16)

私はいかにして様々なブラウザの脆弱性を発見したか - 葉っぱ日記 277 users
脆弱性ってよく「の部分が脆弱」とか「すれば防げる」とか「を使うと悪用できる」みたいな感じで扱われるけど、どうやって見つけたかってあまり聞かないのは気のせいだろうか。fuzzingとかIDAなどで地道に追ってるのかな 2011-07-29 21:23:57 via Tween @murach... 続きを読む
- d:id:hasegawayosuke
- テクノロジー
- nitoyon security, xss
  既存手法を別の場所や新機能に適用する。 2011/08/28
- somat security, charset
  2011/08/02
- すべて表示
Google's Vulnerability Reward Program - masatokinugawaの日記 187 users
Googleは2010年11月からGoogleのウェブアプリケーションのセキュリティ脆弱性を報告した人に報酬を支払う制度をスタートしました。僕も早速いくつか報告し、以前TwitterでGoogleから$7337頂いたよとつぶやきましたが、あれから新たに$6337の入金があり、今のと... 続きを読む
- d:id:masatokinugawa
- テクノロジー
- secondlife security, google
  2011/04/01
- nitoyon google, xss
  XSS 探しで小遣い稼ぎ。 2011/02/09
- すべて表示
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会 329 users
23:58 | 適当XSSがある=なんでもやり放題ではないブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってる... 続きを読む
- d:id:mala
- テクノロジー
- Hamachiya2 はてな
  レアスター欲しいんでちょっとXSS探してきます http://d.hatena.ne.jp/Hamachiya2/20100223/hatena_xss_report 2010/02/23
- nitoyon xss
  XSSがあったときのリスクを下げる方法、XSSを報告する方法 2010/02/23
- cho45
  2010/02/23
- すべて表示
第13回Admintech.jp勉強会 - 葉っぱ日記 13 users
第13回Admintech.jp勉強会を無事開催することができました。参加された皆様、本当にありがとうございました。参加者のみなさんがいるからこそ勉強会が成り立っています! 次回も是非ご参加をお願いいたします。いろいろ内容のメモを書こうと思ったのですが、お... 続きを読む
- d:id:hasegawayosuke
- テクノロジー
- miyanami browser, xss, event, security, ie
  2008/09/29
- TAKESAKO ie7, ie8, security, xss, ie
  2008/09/29
- nitoyon ie, security, xss
  「IEに依存した Webアプリケーションセキュリティ」の発表資料。UTF-7, US-ASCII, CSS, Content-Type による XSS。 2008/09/29
- すべて表示
IEBlog : IE8 Security Part IV: The XSS Filter - 葉っぱ日記 29 users
IEBlog : IE8 Security Part IV: The XSS Filter について、記事を書いた David Ross さんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこうと思います)。当然な... 続きを読む
- d:id:hasegawayosuke
- テクノロジー
- TAKESAKO ie, xss, security
  セカンドオーダーインジェクションとかっていうのがTYPE-2に相当するのかな？ 2008/07/22
- os0x
  2008/07/22
- nitoyon xss, ie
  IE8のXSS Filter機能の説明を日本語訳。リクエストの内容がそのままレスポンスに(scriptとして?)現れる場合にブロックする 2008/07/22
- すべて表示
葉っぱ日記 - そろそろ UTF-7 について一言いっとくか 105 users
UTF-7を利用したXSSは、charset が指定されていない場合に発生すると考えられていますが、少なくとも Internet Explorer においては、これは大きな間違いです。正しくは、Internet Explorer が認識できる charset が指定されていない場合であり、charsetが付加... 続きを読む
- d:id:hasegawayosuke
- テクノロジー
- nitoyon xss, security, ie, unicode
  UTF-7 関連の XSS。間違った文字コードと認識させることにより、JSが実行される。「+ADw-」が「<」、「+AD4-」が「>」。 2008/03/13
- yugui IE, security, encoding
  なんと。 2007/07/17
- TAKESAKO security, unicode, utf-7, windows, xss, ie
  「IE が正しく判別できる文字エンコーディング名の一覧は、レジストリの HKCR\MIME\Database\charset 以下に定義されています」 2007/07/17
- すべて表示
徳丸浩の日記 - イメージファイトのまとめ - 画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策 25 users
SQLインジェクション対策はおすみですか? 開発開始時点からのコンサルティングから、公開済みWebサイトの脆弱性検査、脆弱性発見後の適切な対策まで ●画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策最近、画像ファイルを用いたクロスサイ... 続きを読む
- www.tokumaru.org
- テクノロジー
- nitoyon image, security, xss
  画像埋め込み型XSSについてのまとめ。 2007/12/10
- TAKESAKO security, xss, イメージファイト
  別のアルゴリズムでBMP専用のイメージファイト作るかなぁ。。。 2007/12/10
- すべて表示
twitterにクロスサイトスクリプティング(XSS)脆弱性があればパスワードを変更できる - ockeghem(徳丸浩)の日記 66 users
秋のDK収穫祭などで騒がれている、いわゆるDK祭り。さすがの私も、今夜半の祭りにはmaitter。私のtwitterが荒らされていたのだ。http://blog.livedoor.jp/dankogai/archives/50959103.html現象から見てセッションハイジャックされたと思われるが、原因となる脆... 続きを読む
- d:id:ockeghem
- テクノロジー
- somat security
  2007/12/02
- nitoyon xss, security
  セッションからメールアドレス変更を介して、パスワード変更ができてしまう。 2007/12/02
- TAKESAKO security, twitter, xss
  2007/12/02
- os0x
  2007/12/01
- すべて表示
[security]「クロスサイトスクリプティング対策の落とし穴」へのツッコミ－猫と重金属？技術系 - 2007-08-30 10 users
はじめにクロスサイトスクリプティング対策の落とし穴この記事を数十人の人がブックマークしていたもののあまりに酷い内容なのでちょっと辛辣なコメントでのブックマークを残してみたのですが、その後もこの記事への（付けられているタグを見る限り肯定的な）... 続きを読む
- d:id:catandheavymetal
- テクノロジー
- nitoyon security, php, xss
  http://gihyo.jp/dev/serial/01/php-security/0008への反論。 2007/09/01
- TAKESAKO security, xss, netwatch
  2007/08/31
- すべて表示
葉っぱ日記 - Atom や RDF を利用したXSS 120 users
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在す... 続きを読む
- d:id:hasegawayosuke
- テクノロジー
- nitoyon security, xss, rss, ie
  IEが認識しない Content-type 、かつ、PATH_INFOで値をしていできる、かつ、(CDATA中に)<script> などの文字が含まれていると、JS が実行されてしまう。 2007/08/02
- yugui IE, bad know how
  2007/08/02
- miyagawa xss
  2007/08/02
- hiro_y security, feed, ie
  「Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。」 2007/08/01
- TAKESAKO security, ie, xss
  【攻撃者が自由にスクリプト文字列を挿入でき、なおかつ IE が認識できない Content-Type: を返すWebアプリケーションというと、JSONP や Atom/RSS/RDF 】 2007/08/01
- wacky セキュリティ, RSS, Atom, ブラウザ, 考察
  IEの「Content-Type:を無視する」仕様を利用したAtom/RSS/RDFによるXSSの可能性。 2007/08/01
- すべて表示
開発者のための正しいCSRF対策 1087 users
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめにウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサイトやコンピュータ書籍・雑誌などでCSRF対... 続きを読む
- www.jumperz.net
- テクノロジー
- cou929
  2011/11/27
- munegon security
  2008/05/13
- kensuu security
  2008/02/13
- yugui security
  正しい方は当たり前の話なのでどうでもいいが、間違った対策の例は面白い。 2007/07/11
- nitoyon security, xss
  ブックマークしてなかった。よくまとまってそう。 2007/07/08
- TAKESAKO security, xss, csrf
  メモメモ 2007/07/08
- nyaxt security
  2006/08/27
- f-shin Security
  2006/04/01
- Hamachiya2 security, よみもの
  2006/04/01
- hiro_y security
  webアプリから見たCSRF対策。ワンタイムトークン。 2006/03/31
- secondlife CSRF, security
  2006/03/31
- cho45 csrf, security, web
  2006/03/31
- akiyan security, dev
  わかりやすくまとまっています。 2006/03/31
- wacky セキュリティ, Web, 開発
  Webアプリケーション開発者が知っておくべき「正しい」CSRF対策。かなり詳しい。 2006/03/31
- すべて表示
#6　IT戦士天野仁史／こんにちはこんにちは！ Hamachiya2（中編）　はまちちゃんはいかにしてXSS/CSRFを見つけるか｜gihyo.jp 143 users
小飼弾のアルファギークに逢いたい♥ #6　IT戦士天野仁史／こんにちはこんにちは！ Hamachiya2（中編）　はまちちゃんはいかにしてXSS/CSRFを見つけるか 2007年5月22日初出：WEB+DB PRESS Vol.38（2007年4月24日発売）小飼弾 JavaScript 天野仁史さん，Ham... 続きを読む
- gihyo.jp
- テクノロジー
- emergent column, hatena, internet, javascript, security
  2007/05/23
- lomo_lomo 2007-05-23, people, interview
  天野仁史さん，Hamachiya2さん（はまちちゃん）との対談の中編 2007/05/23
- pha XSS脆弱性
  "はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの？" 2007/05/22
- nitoyon interview, security, xss
  はまちちゃんの脆弱性発見手法。 2007/05/22
- TAKESAKO gihyo.jp
  2007/05/22
- すべて表示
被はてなブックマーク画像表示ページにXSS攻撃してみる。 - ぎじゅっやさん 82 users
続きを読む
- hain.jp
- テクノロジー
- Hamachiya2 neta
  「自分のサイトに<b>タグ出したら、なんと太字で表示されちゃったよ！そんなことはさておき、はてな超ヤバイよ納豆だよ食べたら死ぬよ！」というはなし。 2007/05/08
- TAKESAKO netwatch
  2007/05/08
- nitoyon security, xss
  URLでXSSするという発想。 via: b:id:trickstar_os / このページは自爆の例。 2007/05/07
- すべて表示
情報処理推進機構：重要なお知らせ：頁 83 users
１．概要　今般、次の2.a)のIPAセミナー受付フォームにおいて、クロスサイト・スクリプティング(注)のぜい弱性が発見されました。このぜい弱性を悪用された場合、当該フォームにて申し込みをしようとした方のブラウザ上で不正なスクリプトが実行されてしまう可... 続きを読む
- www.ipa.go.jp
- テクノロジー
- nitoyon security, xss
  http://d.hatena.ne.jp/Hamachiya2/20070131/ipa3 の対策についてIPAからの発表。 2007/02/02
- Hamachiya2 security
  ちなみにメールの返事とかはまだきてないよ！ 2007/02/01
- すべて表示
XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん！ 228 users
こんにちはこんにちは！！クロスサイトスクリプティングの時間です！ XSSというと…！まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね！たとえばこんな感じのフォームから受け取ったパラメータを、確認として表示するペー... 続きを読む
- mxxi.hamachiya.com
- テクノロジー
- nitoyon security, web, dev, xss, hatena
  はてなですらこんなに存在する。全部サニタイズすれば解決する問題。 2006/08/05
- wacky セキュリティ, はてな
  見落としやすい（？）GETリクエストパラメータのXSS脆弱性。はてなの例。 2006/08/02
- nyaxt security, hatena
  2006/08/02
- Hamachiya2 security, xss, hatena
  ずざー。 2006/08/02
- すべて表示
XSS (Cross Site Scripting) Cheat Sheet 686 users
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who... 続きを読む
- ha.ckers.org
- テクノロジー
- h2u documentation, xss
  XSSテクニック。 2012/02/14
- somat security
  2011/12/15
- keim_at_Si セキュリティ
  2010/05/11
- lyokato security
  2010/05/10
- secondlife xss, security
  2010/05/10
- amachang
  XSS ちーとしーと。セキュリティ業界では有名らしい。 2010/05/10
- wacky CheatSheet, セキュリティ, 開発
  クロスサイトスクリプティング（XSS）の様々な手法をサンプルとして集めたページ。（英語） 2008/08/22
- hiro_y security
  XSSの具体的なコード例を列挙。 2008/02/07
- nitoyon security, xss
  XSSのコード例を列挙。教訓に。 2005/12/16
- すべて表示

「xss」に関する情報

xss の新着エントリー