Shibuya.XSS techtalk #7 の資料です。
![明日から使える?! PATHでXSSする技術/ Shibuya.XSS techtalk #7](https://cdn-ak-scissors.b.st-hatena.com/image/square/a7c40c35fe0d0d2fc06d4caa90dbf7ad46b8e116/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2Fd6d5cd3379a2458d90f8ac5b98c7d202%2Fslide_0.jpg%3F6053193)
Shibuya.XSS techtalk #7 の資料です。
米Googleは11月18日、Webアプリケーション向けのセキュリティスキャンツール「Firing Range」をオープンソースで公開した。さまざまなXSS攻撃やWeb脆弱性を大規模にテストでき、社内でも継続的テストなどに用いているという。 Firing Rangeは、社内で開発したWebアプリケーションのセキュリティスキャンツール「Inquisition」をオープンソースプロジェクトにしたもの。ライセンスはApache License 2。 Google App Engine上に構築したJavaアプリケーションで、Chrome、Google Cloud PlatformなどのGoogleが持つ技術で構築されている。XSSの解析技術「XSS Peeker」など、一部ミラノ工科大学の研究者の支援を受けた。低い誤検知率、使い勝手の良さなどを特徴とする。 ほかのXSSスキャナなどの脆弱性テストと
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 EC-CUBEで脆弱性を見つけたり、mixiの脆弱性報告制度で成果を挙げたりしたせいか、「どうやって脆弱性を見つけてるんですか?」という質問をされることが時折あり、一応手順は説明するのですが、いつも口頭で細かくは説明できなくて申し訳ないので、自分のやり方をまとめてこのブログにアップしておきます。 標準的な脆弱性検査のやり方しか説明していないので、脆弱性検査のやり方を既に把握している人が読んでも得るものは少ないのではないかと思います。今回は脆弱性検査に興味があるが何をどうしたらいいか分からないような初心者向けコンテンツで
近年では多くの分野でWebアプリケーションが使われるようになり、大量の個人情報や重要な秘密情報を扱うようなアプリケーションも少なくない。そのため、Webアプリケーションも攻撃対象として狙われやすくなっている。今回はWebアプリケーションのセキュリティ対策として、Googleが公開しているセキュリティ調査ツール「skipfish」を使ったセキュリティスキャンを紹介する。 Webアプリケーションに特化したセキュリティ調査ツール「skipfish」 今日では、Webブラウザ経由でさまざまな操作を行えるWebアプリケーションが広く浸透している。Webブラウザは最近のほぼすべてのPCにインストールされており、専用のクライアントを用意せずにアプリケーションを操作できるというのがその浸透の理由の1つだ。しかし、Webアプリケーションでは簡単にその一部(HTMLやJavaScript)のソースコードを閲覧
筑波大学での研究として VPN Gate プロジェクト http://www.vpngate.net/ を開始してから、間もなく半年になる。現在 VPN Gate は国ごとのユーザー数リアルタイムランキング http://www.vpngate.net/ja/region.aspx で公開されているように、全世界 198 カ国 (特別行政区等の地域を含む) から利用されており、これまでに 1,226 テラバイトのデータ転送があった。ユーザー登録は不要であるが、ユニークユーザー数をユニーク IP アドレス数から推測すると本日時点で 281 万 9,313 人となっており、世界で最も使用されている VPN 中継システムの 1 つとなりつつある。 VPN Gate プロジェクトは、「検閲用ファイアウォール」がある国からの利用が盛んである。検閲用ファイアウォールといえば、アジアのある国が有名である
前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ,HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は,HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と,その対策について解説する。 HTMLエンコードで対処できない攻撃には,次のようなものがある。 タグ文字の入力を許容している場合(Webメール,ブログなど) CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど) 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注) 以下では,HTMLタグやCSSの入力を許容している場合と,文字コードを明
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く