5/11の日記XSS対策:JavaScriptなどのエスケープ - ockeghem(徳丸浩)の日記に対する金床さんのコメントに触発されて、JavaScriptのエスケープについて検討してみよう。ただし、現実のアプリケーション開発においては、私はJavaScriptの動的生成を推奨していないが、これはエスケープ処理をどのように考えるかと言うレッスンのつもりで検討することにする。 金床さんのコメントで紹介されたリンクには、以下のようなガイドライン案が提案されている。 JavaScriptの文字列でのエスケープ手順としては、以下が今のところ正解っぽい感じです。 1. 「\」を「\\」に置換する 2. 「"」を「\"」に置換する 3. 「'」を「\'」に置換する 4. 「/」を「\/」に置換する 5. 「<」を「\x3c」に置換する 6. 「>」を「\x3e」に置換する 7. 「0x0D(CR)
米XeroxのLeigh L. Klotz, Jr.氏は26日(米国時間)、DeXSSの最新版となるDeXSS 1.0.0を公開した。DeXSSはJavaで実装されたSAX2パーサ。XSS攻撃対策を実施するためのライブラリとして開発されている。成果物はAcademic Free License ("AFL") v. 3.0のもと、オープンソースソフトウェアとして公開されている。 ユーザからのテキスト入力を受け付けるダイナミックなサイトでは、XSS(Cross Site Scripting)のような攻撃を受ける可能性がでてくる。DeXSSはHTMLパーサであるTagSoupを活用することでHTMLを読み込んでSAX2イベントを生成。スクリプトや属性を削除するための機能を提供する。 同ライブラリではフィルタの形式でイベントに対する処理を記述。また同梱されている機能を使って文字列変換などを実施で
第6回 Webアプリケーション開発にチャレンジ【前編】:作って学ぶ、今どきのWebサービス(1/3 ページ) 本連載ではこれまで、PerlによるWebプログラミングの基礎から応用まで解説してきました。今回は、これまで学んだことを踏まえた上で、Webサービスを使ったWebアプリケーション開発にチャレンジします。 本連載ではこれまで、PerlによるWebプログラミングの基礎としてHTTPクライアントの作り方、XMLモジュールの使い方、そしてその応用として、Yahoo!やAmazonなどのWebサービスを使ってみました。今回と次回では、これまで学んだことを踏まえた上で、Webサービスを使ったWebアプリケーション開発にチャレンジします。 Webサービスを利用するWebアプリケーション Webサービスを使うと、検索システムや商品データベースを自分で持つことなしに、それらの機能を搭載したアプリケーシ
The PHP coder's top 10 mistakes and problems @ SourceRally.net PHP Community 「PHPプログラマがおかしがちなミスTOP10」、という記事があったので紹介。 PHP初心者だとこういうミスがよくありますね。ということで今年からPHPをはじめようと思っている人には気をつけてほしいリストです。 生でクエリを出力しない echo $_GET['username']; ↓ echo htmlspecialchars($_GET['username'], ENT_QUOTES); やらないとクロスサイトスクリプティングされます。 SQLクエリに$_GET,$_POST,$_REQUESTの値を直接含めない $sql = "select * from table where id=".$_GET["id"]; ↓ $sql =
「(PHPで書かれたアプリケーションには)アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は,2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で,PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では,実際に存在するアプリケーションの名前を出し,そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず,「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは,データベース,メール・システム,ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション,出力時にきちんとエスケープ処理(フィルタリング)を行えば,か
JavaScriptの開発環境、要するにJavaScript用IDEという位置づけなのですが、HTML、CSSの構造をアウトラインで示してくれたり、文法の間違いを指摘してくれたり、やっていることはほとんどDreamweaverの持っている機能と同じです。 特に面白いのはJavaScriptやCSSなどがInternetExplorerとFirefoxに対応しているかどうかが一発で分かる点。JavaScriptのエラーについても細かい部分まで指摘してくれます。つまり、実行しなくてもエラーがドコにあるのか分かる「静的解析」が可能というわけ。 Windows、Macintosh、Linux版があり、Eclipseプラグインとして動作するバージョンもあります。 スクリーンショットや実際に動かして機能を解説しているムービー、ダウンロードは以下から。 Aptana: The Web IDE http:
ITMediaの記事が抽象的すぎて原理がわからなかったので、 BlackHat のやつのソースを斜め読みしてみた。 僕はいつも適当なので、間違いがあるかもしれません。 http://www.spidynamics.com/spilabs/js-port-scan/ http://japan.cnet.com/news/sec/story/0,2000056024,20185667,00.htm 簡単にまとめさせていただくと、 IFrame と Image#src により 任意のIPアドレスにアクセスさせ、 特定のタイムアウト時間(ハードコーディング/マジックナンバー) が 過ぎたらそのホストは生きていない判定をしている。 これは、Firebug で試してみたらなんとなく体感。 (new Image()).src = "http://IPアドレス"; としたときに、本当に存在すると 一瞬だが
JavaScriptを使って家庭や企業におけるネットワークの構成を把握し、接続されたサーバやプリンタ、ルータなどのデバイスを攻撃する方法を、セキュリティ研究者らが発見した。 こうした悪質なJavaScriptが埋め込まれたウェブページを一般のブラウザ上に表示すると、スクリプトが何の警告も表示しないまま実行されてしまうと、研究者らは述べる。また、これはユーザーのブラウザ上で動作するため、ファイアウォールなどのセキュリティ対策も回避するという。 ウェブセキュリティを専門にするSPI DynamicsのリードエンジニアBilly Hoffman氏は「われわれは、ネットワークをスキャンして見つかったすべてのウェブ対応デバイスを識別し、これらのデバイスに攻撃を仕掛けたり、コマンドを送信したりする技術を発見した。このテクニックを使えば、ファイアウォールで守られた企業のネットワークもスキャンできるように
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く