携帯電話事業者に学ぶ「XSS対策」 - ockeghem's blog
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。 NTTドコモに学ぶ「XSS対策」まず、サンプルとして以下のようなXSS脆弱なスクリプトを用意します。 <?php session_start(); ?> <body> こんにちは<?php echo $_GET['p']; ?>さん </body>これを以下のURLで起動すると、IE7では下図のような表示になります。 []http://example.com/xss01.php?p=山田<scrip
XSS (Cross Site Scripting) Cheat Sheet
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
フィッシング詐欺に新手法,本物のSSLサイトから偽サイトへリダイレクト:ITpro
XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。 フィッシング対策ツールなどを提供している英Netcraftは現地時間6月16日,米PayPalをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。細工が施されたリンクをクリックすると,PayPalの本物のWebサイトが表示されてから,偽サイトへリダイレクトされる。このため,通常のフィッシングよりもだまされる可能性が高いとする。 今回のフィッシングは,PayPalのサイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を悪用する。Webページ(Webアプリケーション)にXSS脆弱性が存在する場合,攻撃者は細工を施したリンク(URL)をユーザーにクリックさ
■ - hoshikuzu | star_dust の書斎
■CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日本語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の本人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml
2006-04-03
なんかゲームかアニメのようなタイトルにしてみましたが。んっと…状況が見えない(苦笑 いや、発端は http://slashdot.jp/comments.pl?sid=309361&threshold=-1&mode=thread&commentsort=3&op_change=%E5%A4%89%E6%9B%B4 のURL付近をご覧頂きたいのですが。 どうも、CSRF対策の手法をめぐって、某人物が「おかしい」と騒いで引っ込めて…っていう顛末があったようです。…私が見たときにはすでに発端のサイト http://www.jumperz.net/texts/csrf.htm が閉じてしまっていたので状況がじぇんじぇん見えんのですが(苦笑 とりあえず噛み砕くと大変なので、まずはURLを丸呑みしてみませう。 http://www.oiwa.jp/~yutaka/tdiary/20060330.ht
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
秀逸なXSSの練習サイト | スラド セキュリティ
