Content security policy Stay organized with collections Save and categorize content based on your preferences. Content Security Policy can significantly reduce the risk and impact of cross-site scripting attacks in modern browsers. The web's security model is based on a same-origin policy. For example, code from https://mybank.com must have access to only https://mybank.com's data, and https://evi
Collections Accessibility & Inclusion Design Developer Tools Swift SwiftUI & UI Frameworks System Services Platforms iOS macOS tvOS visionOS watchOS Accessibility & Inclusion 40:30 Deliver an Exceptional Accessibility Experience iOS, macOS, tvOS, watchOS Go beyond the basics and create apps with an exceptional accessibility experience. Learn how to design elements that appear in your app for maxim
こんにちは。Cy-PSIRT(Cybozu Product Security Incident Response Team)の福永です。 本エントリでは 2018年に実施した報奨金制度の結果 参加者からのご意見 について、ご紹介いたします。 2018年に実施した報奨金制度の結果 定量情報 2018年の脆弱性認定数は155件、報奨金支払金額は21,055,000円でした。*1 着信数認定数(暫定)報奨金支払金額(暫定) 362件155件21,055,000 円 前年度と比較して、着信数、認定数ともに約1.5倍に増加し、報奨金支払金額の合計も倍近くに増えました。2017年7月7日から開始した「報奨金最大5倍キャンペーン」を、2018年には、通年化したことが主な要因です。 2018年度報奨金獲得ランキング 総額ランキング 獲得した報奨金額の合計が最も多かったのは、西谷完太(@no1zy_sec)
The OWASP Cheat Sheet Series was created to provide a concise collection of high value information on specific application security topics. These cheat sheets were created by various application security professionals who have expertise in specific topics. We hope that this project provides you with excellent security guidance in an easy to read format. You can download this site here. An ATOM fee
Cookies are typically sent to third parties in cross origin requests. This can be abused to do CSRF attacks. Recently a new cookie attribute was proposed to disable third-party usage for some cookies, to prevent CSRF attacks. This post will describe the same-site cookie attribute and how it helps against CSRF. Third party cookies When requesting a web page, the web page may load images, scripts an
解説 解説要約 この脆弱性の存在するソフトウェアは、ユーザからの入力に対する無害化を適切に行わないまま、他のユーザに提供する Web ページの出力に含めます。 詳細な解説 クロスサイトスクリプティング (XSS) の脆弱性は、以下の様に発生します。 1. 信頼できないデータが(一般的に Web リクエストから)Web アプリケーションに入力され、 2. Web アプリケーションが、この信頼できないデータを含む Web ページを動的に生成します。 3. その際 Web アプリケーションは、信頼できないデータに含まれる Web ブラウザで実行可能なコンテンツ (JavaScript、HTML タグ、HTML アトリビュート、マウスイベント、Flash、 ActiveX 等) を排除しません。 4. 一般ユーザが、Web ブラウザを介して生成されたページにアクセスします。この Web ページには
Security XSS Auditor が有効になっているかチェックするためのページを作りました※当サイトにはプロモーションが含まれています。 1. XSS とは?XSS (Cross-site Scripting) とは、Webサイト上で行われる攻撃の1つです。 いろいろな種類があるのですが、単純な例をあげると以下のシナリオで任意の JavaScriptコードを実行させる攻撃が XSS です。 掲示板サイトがあるとします。投稿欄に JavaScriptコードを入力して投稿します。投稿した内容は Webページ上に表示されますが、HTML として出力される中に JavaScriptコードが含まれていると、そのままこのコードが実行されてしまいます(本来は適切なエスケープ処理が必要です)。Webサイトによって違いますが、JavaScript を使うと個人情報やそれに紐づく情報を別のサーバーに送
The security of Twitter users and their data is important to us. One aspect is securing your Twitter identity from other websites you may visit. A user may accidentally visit a malicious website via a link from an email or Tweet, from an advertisement on another website, or from a hacked version of a familiar site. The malicious nature of a site may not be apparent, because the site may perform ac
When reading material on XSS subject we usually see the classical <script>alert(1)</script> as an demonstration of such vulnerability (PoC – Proof of Concept). While very true, it doesn’t go much beyond this, making the novice in this field to look for more in order to deal with real world scenarios. So here are the 7 cases everyone should know to be able to exploit the vast majority of XSS flaws
ブラウザがリソースをFetchするさいに、そのFetchに関するメタ情報をリクエストヘッダに付与するというのがFetch Metadataという仕様です。 この情報を用いれば、画像の読み込みのFetchで銀行用のAPIが叩かれるはずがないといった、明らかな不正なリクエストを検知することができるようになる。 毎度おなじみGoogleのMike West氏によって仕様「Fetch Metadata Request Headers」が書かれている。 以前「Sec-Metadataヘッダについて」で紹介したSec-Metadataをより改良したものです。 ヘッダを分けることでヘッダ圧縮の仕組みとも相性が良くなっています。 Example 以下のような、そのフェッチに関する情報を示すSec-Fetch-*ヘッダが付与される。 Sec-Fetch-Dest: image Sec-Fetch-Mode:
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
あらゆる規模で機能する Angularなら見通しのいい道から小さくスタート。 チームやアプリの成長に合わせてサポートします。
I recently started playing around with the idea of threat modeling packages on the npm ecosystem. Can an event-stream incident happen again? How about other supply chain attacks? What will be the next vector of attack that we haven’t seen yet and might it be entirely preventable? And then, one day I had a eureka! ? Let me show you how easy it is to introduce back doors that are easily missed by pr
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く