JavaScript:unescapeHTMLの妥当な実装
JavaScriptにはHTMLを実体参照化する関数、PHPで言うところのhtmlspecialchars()にあたる関数が存在しません。 正式な理由はよく知りませんが、教科書的な回答としては、「DOMを使えばエスケープなんて気にしなくていいよ」が挙げられるでしょう。うだうだ言わず黙ってDOMを使うべし。 …まあでも、必要なケースもあるでしょう。特にinnerHTMLの高速性は魅力的です。T.jsを作ったときにベンチマークを取ったのですが、エスケープ関数をはさんでもinnerHTMLの方が高速に動作することが確かにありました。 そんなわけで、世の中にはHTMLをエスケープする自前実装の関数があふれています。さんざん語り尽くされている気もしますが、prototype.jsの実装を見ていて少し気になったので取り上げてみます。 escapeHTMLの場合 escapeHTML 文字列中の特定の文
setAttribute for obfuscating innerHTML - hoshikuzu | star_dust の書斎
<div id="i01"> Here comes window.name </div> <script> //where name == "\u003Cs\u003ETEST\u003C/s\u003E" i01.setAttribute("InNeRhTmL", name, 0); </script>... works on IE, except for IE8 standard mode ;-), and more ...var DOCUMENT = i01.getAttribute("OWNERdOCUMENT", 0); // == document ?-p
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
XSS例題(下書き中) - st4rdustの日記
課題草案(第四版) アリスのサーバにはtext/html(charsetはUTF-8)でサーブされるHTML4.01相当のHTML文書を吐き出すサービスがある。以下はそのHTMLの一部分なのだが、第三者であるイブは、一定の条件に従った文字を出力できることに気がついた。 <script type="text/javascript"> ここらへんにイブが何か書ける </script>文字について一文字ずつ投入して調べたところイブが出力できる文字は、以下の通りであった。 スペース 改行 セミコロン 三種類の括弧 ( ) [ ] { } ローマ字 数字イブは試みに、alert(1) 他、いろいろ出力したのだが、エラー表示となり駄目であった。つまり、( や ) については、書きだせる場合とそうではない場合があり、どうやらWAFによって、特定のケースではエラーとなりハネラレルことにイブは気がついた。ア
Javascript Security
The document examines the outdated security model of JavaScript, highlighting its vulnerability to various attacks such as cross-site scripting (XSS) and cross-site request forgery (CSRF). It emphasizes the lack of security awareness in JavaScript and critiques the existing protections that fail to address modern threats, particularly in a cloud-based computing environment. The author suggests sev
XSSを回避しつつ、テンプレートからJavaScriptにJSONで値を渡す方法 - blog.nomadscafe.jp
「HTMLのscriptタグ内にデータを埋め込む際のエスケープ処理モジュール書いた」に引き続いて、XSSを避けつつ複数の値をJSONで渡す方法。 答えはmalaさんが書いてます テンプレートエンジンでJSONを生成する(多くの場合間違えるので、推奨しない) scriptタグの中でJSONを使わない 可能であればJSONライブラリのオプションで<>/いずれかをエスケープする。 生成されたJSON文字列の<>/いずれかを正規表現などを使って置換する。 JSONのvalueに当たる部分には「HTMLエスケープ済みの文字列を入れる」という規約を設けて事前にエスケープする。 の3番目以降。 ということで実装してみる。目標としてはXslateのfilterとして実装 [% hashref | json %] の様な形をとり、JSONのvalueにあたる部分はすべてHTML Escapeし、HTML中に
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
FizzBuzzより実用的なプログラマ向け面接問題考えた - <s>gnarl,</s>技術メモ”’<marquee><textarea>¥
仕様 TwitterのURL自動リンクみたいな機能を実現する関数expandString(String):Stringを実装しなさい(言語自由) 入力: 文字列 出力: HTML断片文字列 以下の文字列をリンクに展開すること URL: http,httpsのURLを、そのURLへリンクする @: @(ユーザid)を、http://twitter.com/(ユーザid)へリンクする ハッシュタグ: #(ハッシュタグ名)を、http://twitter.com/#search&q=%23(ハッシュタグ名)へリンクする ただし、上記の仕様は曖昧である。詳細についてはセキュリティと利便性に配慮し決定すること。 サンプル入出力 expandString('hoge') => hoge expandString('リンク http://example.com/') => リンク <a href="ht
XSSメモ書き | チャゲってる日々
注意書き この記事を見た90%の人が意味不明だと答えています。 9%の人が、記事を書いた人間の文章力を疑っています。 1%の人がニヤニヤしながら見ています。 記事を書いたのは19日で、そこから公開をためらっていたのですが、少し需要があるようなので公開します。 以下ネタバレ注意です! 自分で問題を解きたい方は閲覧注意!! 違う解き方があれば是非教えてください。 はせがわ王子の鬼畜素晴らしいXSS問題について 問題一覧はこちら セキュリティ&プログラミングキャンプのCTFで出題したXSS問題 まじめに答えようとすると時間を食いつぶされます。 ですが、チャレンジする価値は大いにあります。 ブラウザの仕様(バグ??)に関する知識、マルチバイトに関する知識などが求められます。 答えを得るだけであれば、 問題ファイルをローカルにダウンロード→ css、jsファイルの参照先をhttp:
sla.ckers.org web application security forum :: XSS Info :: PHP header location (open redirect)
this isnt really xss, or code injection, so i wasnt sure where to put it. my question is i have an open redirect header("Location: $_GET[url]"); other than using it for phishing, what can i use it for? are there ways to set other header info? xss? (there is no xss on the site, i would know i use to code for them) [www.xssed.com]
XSSの攻撃手法いろいろ - うなの日記
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。 <div style="color:expression(alert('XSS'));">a</div> 確認 @IT -[柔軟すぎる]IEのCSS解釈で起こるXSS で詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。 <div style="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div> 確認 <div s
XSS (Cross Site Scripting) Cheat Sheet
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
JavaScript変態文法最速マスター - 葉っぱ日記
Java変態文法最速マスター - プログラマーの脳みそをリスペクト。 JavaScriptの変態文法・技法一覧です。あんまり使わないけど、知ってるとXSSとか攻撃したいのにWAFに妨害されるなど、いろいろ制約があるという場合に便利。 文字列の生成 引用符を使わずにさくっと文字列を作る。fromCharCode とか使ってもいいけどめんどくさいので、正規表現やE4Xを利用。 alert( /string/.source ); alert( <>string</> ) 空白文字を使わず記述 文脈上、スペースを書きたいけれどいろいろ制約があって書けない場合にはコメントで代替。実行するコードを作り上げてevalしてもいいけど大袈裟なので。 var/**/x=1; */ を含むコードブロックをコメントアウト コードの塊りをコメントアウトしようと思って /* */ で囲むと、コード内に string.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CoreyMedia.com is for sale | HugeDomains
a threadless kite - 糸の切れた凧
はてなブログ | 無料ブログを作成しよう
sla.ckers.org web application security forum :: XSS Info