タグ

XSSに関するbabydaemonsのブックマーク (3)

  • ASP.NET でも html エスケープは必要

    Landscape トップページ | < 前の日 2004-08-09 2004-08-10 次の日 2004-08-11 > Landscape - エンジニアのメモ 2004-08-10 ASP.NET でも html エスケープは必要 当サイト内を Google 検索できます * ASP.NET でも html エスケープは必要この記事の直リンクURL: Permlink | この記事が属するカテゴリ: [.net] [HTML] [C#] html では、& " < > を直接記述することはできない。文法上意味を持つ文字だからだ。この文字そのものを表現したい場合は、それぞれ &amp; &quot; &lt; &gt; にエスケープする必要がある。これを怠るとセキュリティホールの原因となったり、表示が崩れたりする。ウェブアプリケーション作成の基礎であり、欠かせないものだ。 私は今回

    babydaemons
    babydaemons 2012/07/11
    DataGridとかあんだけお手軽に見せておいて、実はサニタイズしてないとかそれは無いよー。
  • 2010 年 9 月 21 日現在のツイッターのバグ(脆弱性)について

    【お知らせ】 9 月 21 日午後 11 時頃、公式サイドから脆弱性が修正されたとの発表がありました。 はじめに 2010 年 9 月 21 日、ツイッターで深刻な脆弱性(ぜいじゃくせい)が発見され、被害が広がっています。これが何なのか、簡単に説明します。 JavaScript とマウスオーバーイベント まず、下のピンク色の枠内にマウスカーソルをすべらせてみてください。 この枠の中をマウスカーソルで触って! どうでしたか。「触ってくれてありがとう!」というメッセージが表示されましたね。 このように、ウェブページには簡単なプログラムを仕込むことができます。どのウェブブラウザー(皆さんがウェブを見る時に使うソフトウェア。インターネットエクスプローラーなど)でも共通で使える「JavaScript (ジャバスクリプト)」という言語が一般的に使われています。 今回は、ページ上のある部分にマウスカーソ

    babydaemons
    babydaemons 2010/09/21
    これって、デグレ? F様用語で言うところのレベルダウン?? まさか、XSSをテストするUnitTestコードを書いてなかったとか。
  • 【修正とお詫び】はてブ追加画面拡張GreasemonkeyのXSS脆弱性の修正 : akiyan.com

    【修正とお詫び】はてブ追加画面拡張GreasemonkeyのXSS脆弱性の修正 2007-02-23 2007-02-22に公開したはてブ追加画面にサイトを表示するGreasemonkey : akiyan.comにXSS脆弱性がありました。申し訳ありませんでした。現在は修正されておりますので、ダウンロードされた方は再インストールをお願いいたします。 目次 脆弱性の内容 XSS脆弱性。攻撃者は、はてブ追加画面にサイトを表示するGreasemonkey : akiyan.comを有効している状態のユーザーに対して、特定のURLにアクセスさせることで攻撃者の任意のスクリプトをb.hatena.ne.jpドメイン上で実行できてしまう。 脆弱性の修正の方法 http://www.akiyan.com/js/viewSiteAtHatenaBookmark.user.jsを再インストールしてください

  • 1