UTF-8の動的コンテンツをShift_JISと誤認させることで成立するXSS - masa141421356’s blog
文字コード指定の無いUTF-8のコンテンツでは、ブラウザ側の文字コード自動認識でシフトJISと誤認させることで、HTMLの特殊文字を一切使わずにXSSが成立する場合があります。 原理 UTF-8 では1文字が3バイトマッピングされる場合があります。 そこで、これをShift_JISと誤認させると、3バイト目と次の1バイトをセットで1文字と誤認させることができます。これにより、HTMLの区切り文字の効力を失わせてスクリプトを注入することが可能です。 例:"あ" = E3 81 82 なので、シフトJISと誤認すると "縺" (E381) +余分な先行バイトの 0x82 具体例 例えば、動的なコンテンツ(UTF-8で応答を生成) <html> <head> <title>abcde</title> </head> <body> <form> <input type=text value="ユー
DRBD+heartbeat+LVM(on Fedora Core10)によるクラスタリング
こんにちは、亀本です。 今回は、PHPとかから少し離れて、サーバのクラスタリングのお話です。 ちょっと仕事で冗長化システムを組む必要があったので、せっかくなので記事にまとめました。 さて、ここで目指すのは、DRBDを使ったデータレプリケーションサーバ( Master / Slave 構成 )の自動フェイルオーバークラスタ( 非フェイルバック構成 )です。 ネットワーク構成としては、ルータから結ばれるLAN(eth0に接続)とは別に、eth1で1対1のLAN接続を行います。 また、heartbeatでのクラスタ構成後は、eth0に仮想IPとして192.168.1.100を割り振るようにします。 eth1の設定は、 # vi /etc/sysconfig/network-scripts/ifcfg-eth1 DEVICE=eth1 HWADDR=00:00:00:00:00:00 ONBOOT
VMwareでDRBDをテスト
おはようございます、牧野です。今週から朝型生活に切り替えました。できるだけがんばって続けていこうと思っています。 さて、今回はDRBDについてです。 DRBDについて簡単に説明すると、ハードディスクのRAID1(ミラーリング)を、ネットワークを介して離れた場所にあるマシンのハードディスクとできるようにするためのソフトです。 DRBDはオープンソースなので、高価な機器を買わなくてもよく、予めRAIDを組んでいなくてもミラーリングを実現できます。 さらにheartbeatと、データベースやNFSといった別サービスを組み合わせることにより、一方のマシンにトラブルが発生した場合に自動的にもう一方のマシンを使うようにする、というような冗長化システムを実現できます。 詳しくはこちらを見て下さい。英語のページの方が説明が充実しています。 http://www.drbd.jp/ ただ、いくつか制約がありま
iPhoneSDK他 開発メモのまとめと言うか目次 2009.08.17版 - 電子趣味の部屋
最新版はこちらです。 http://d.hatena.ne.jp/uosoft/20091231/1262186194 前回の目次からエントリーが17個増えてます。 アプリの作り方 HTMLとJavaScriptでiPhoneアプリを簡単に作る方法 Android SDK インストールからHello World実行まで iPhone/iPod touchのSafariやUIWebViewのJavaScriptで使えるタッチイベントのメモ センサー等ハードウェア関連 iPhoneSDKでスリープさせない方法 iPhoneの加速度センサの使い方 iPhoneで緯度経度を取得する簡単な方法 iPhoneのGPSとMapKitを使った地図を連動させる方法 iPhoneSDKで端末IDを取得する方法 ビュー操作関連 iPhoneSDKのUIViewアニメーション iPhoneSDKのiPhoneSD
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[観] Twitter API 仕様書 (勝手に日本語訳シリーズ)
