p6.isThis domain may be for sale!
Safely reviving shared memory – Mozilla Hacks - the Web developer blog
At Mozilla, we want the web to be capable of running high-performance applications so that users and content authors can choose the safety, agency, and openness of the web platform. One essential low-level building block for many high-performance applications is shared-memory multi-threading. That’s why it was so exciting to deliver shared memory to JavaScript and WebAssembly in 2016. This provide
JavaScriptのプロトタイプ汚染攻撃対策は難しい - Qiita
先日、私のプロジェクトで脆弱性関連のissueが投稿されたので対策を行いました。 指摘内容は主に「プロトタイプ汚染攻撃」でした。自分では対策を行っていたつもりだったのですが、様々な穴がありました。 プロトタイプ汚染攻撃可能な脆弱性は成功すると他の機能や脆弱性との組み合わせによって、任意のコード実行を可能にする危険度の高いものですが、XSSやCSRFに比べて、初学者が触れられる纏まった対策方法の情報が少ないと感じたので、ここに記そうと思います。 プロトタイプ汚染攻撃とは 日本語の情報としては Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記 が詳しいですが、まず、前提として、JavaScriptは「プロトタイプベースのオブジェクト指向」を採用しており、原則、すべてのプリミティブ型およびオブジェクトのインスタンスは「プロトタイプ」オブジェクトを参照しています1。 また、プロ
SES support for ECMAScript modules
SES v0.8.0Up to this point, SES has supported evaluating scripts in the SES runtime. Since every non-trivial application has many modules, running an application previously required creating a script bundle with a tool like Browserify. We’re excited to announce the first release of SES that directly supports loading ECMAScript modules. This is the first in a series of milestones toward delivering
GitHub - endojs/endo: Endo is a distributed secure JavaScript sandbox, based on SES
Endo is a framework for powerful JavaScript plugin systems and supply chain attack resistance. Endo includes tools for confinement, communication, and concurrency. These include a shim for Hardened JavaScript, an ECMA TC-39 standards track proposal to make JavaScript a safer and more suitable platform for plugin systems. Agoric and MetaMask rely on Hardened JavaScript and the SES shim as part of s
[クライアントサイド〜サーバーサイド] テンプレートエンジンでのセキュリティ的な問題や考え方
この記事は次のスライドの文字起こし的な内容です。 スライド: クライアントサイドからサーバサイドまで破壊するテンプレートエンジンを利用した攻撃と対策 スライドの画像 + 喋った内容のNote的なものをそれぞれのページごとに書き込んでいます。 リンクとかはスライド版ならクリックできるので、そっちを見るといいのかもしれません。 画像だらけなので、画像が読み込み終わるのを待つといい気がします。 クライアントサイドからサーバサイドまで破壊するテンプレートエンジンを利用した攻撃と対策 テンプレートエンジンに関するセキュリティ的な問題についてのお話です。 テンプレートだからエンドユーザー(サービスの利用者)に書かせて安全だと思っていても、選んだテンプレートエンジンの性質によっては安全ではない場合があります。 また、JavaScriptのテンプレートエンジンはクライアントサイド(Browser)とサーバ
![[クライアントサイド〜サーバーサイド] テンプレートエンジンでのセキュリティ的な問題や考え方](https://cdn-ak-scissors.b.st-hatena.com/image/square/b26f7dc8f9e783316f720174980e93c627438d74/height=288;version=1;width=512/https%3A%2F%2Fefcl.info%2Fpublic%2Ffavicon.png)
JavaScriptマルウェアの解析テクニック | IIJ Engineers Blog
Twitterフォロー&条件付きツイートで「バリーくんぬいぐるみ」を抽選で20名にプレゼント! 応募期間は2019/11/29~2019/12/31まで。詳細はこちらをご覧ください。 今すぐツイートするならこちら→ フォローもお忘れなく! 【IIJ 2019 TECHアドベントカレンダー 12/8(日)の記事です】 はじめに JavaScriptは、Webページに対して動的な処理を実行するプログラミング言語ですが、近年マルウェアのダウンローダなど悪意ある様々な用途に利用されるケースが多く見受けられます。PE(Portable Executable)のマルウェアに関する解析記事はインターネット上に多く存在しますが、特に日本語で書かれたJavaScriptに焦点を当てた記事はとても少ないのが現状です。そこで本記事では、JavaScriptマルウェアを解析する際に便利なテクニック(暗黙の内に使っ
GitHub - Agoric/SES: MOVED to @agoric/ses-shim. SES (Secure EcmaScript) is a secure runtime for running third-party code safely
This repository contains the code for "Old SES": the one whose default export is a single object named SES, which has a property named SES.makeSESRootRealm(). This code was used to make all NPM releases of the SES package up through the '0.6.x' series. Modern SES development is now happening in the SES-shim repository. This "New SES" has a named export named lockdown(), which introduces the Compar
GitHub - Agoric/realms-shim: Spec-compliant shim for Realms TC39 Proposal
This repository contains a legacy shim implementation of an outdated Realm API Proposal. The Realms proposal has been superceded by the ShadowRealm Proposal. This shim does not implement ShadowRealm, which (as of this writing) is a proposal at Stage 3 of the TC39 standardization process, so common JS engines should have support soon. We do not recommend the use of this shim or the original Realms
How to build a plugin system on the web and also sleep well at night | Figma Blog
How do you run plugins with security, stability, and performance? Our pursuit for the perfect plugin solution, and how our approach helps us run Figma plugins in a safe way. Since we published this blog post, we decided to change our sandbox implementation to an alternative approach: compiling a JavaScript VM written in C to WebAssembly. As you'll see in the blog post below, it was one of several
クライアントサイドからサーバサイドまで破壊するテンプレートエンジンを利用した攻撃と対策
ユーザー入力として受け取ったテンプレートをコンパイル テンプレートレベルがProgramming Language Templateは安全にコンパイルするのが難しい 高度なテンプレートはプログラミング言語そのもの コンパイル時に任意のコードが実行できてしまう => ⚠Danger Programming Language Templateをコンパイルする危険例: ローカル メールでマクロ付きのWordファイルを開いて、ローカルで任意のプログラムが実行されてしまうケース マクロはプログラムそのもの 偽装メールが再び拡散、不正マクロを仕込んだ添付ファイルでマルウエア感染:マクロウイルスの再来? - @IT デフォルトではマクロは無効化されており、オプトインで有効化になっている Office ドキュメントのマクロを有効または無効にする - Office サポート Programming Lang
ヌーラボアカウントのWebAuthn/FIDO対応をチラ見する - r-weblife
こんにちは、ritouです。 不正ログインが起こらない平和な世界を目指す 開発者です(意識高い)。 ちょっと前に「決定!」というプレスリリースに「決定!お、おぅ...」となったことから全てが始まりました。 【#ヌーラボプレスリリース📣】#ヌーラボ が提供する #Backlog などのサービスへのログインが、2019年7月1日より、指紋認証などの生体認証に対応することが決定しました🔐利便性やセキュリティ面の安心も向上🎉現在、先んじてベータ利用を希望する企業を募集しています! https://t.co/aj85ymKUja— Nulab,inc. | (株)ヌーラボ (@nulabjp) May 30, 2019 その後、βテストというものに参加させていただきました。 そして宣言通り、7月1日にリリースされたようです。 【#ヌーラボプレスリリース📣】#ヌーラボ は、指紋や顔などでサービ
Snyk research team discovers severe prototype pollution security vulnerabilities affecting all versions of lodash | Snyk
ProductsProducts What is Snyk? Developer-first security in action
JSでDoSる/ Shibuya.XSS techtalk #11
Shibuya.XSS techtalk #11 の発表資料です。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
disconnect-tracking-protection/descriptions.md at master · disconnectme/disconnect-tracking-protection
Prototype Pollution in Kibana
GitHub - lirantal/is-website-vulnerable: finds publicly known security vulnerabilities in a website's frontend JavaScript libraries
Query SQL Databases using Node.js and TypeScript
Release 0.7.0 · markedjs/marked
https://bugs.chromium.org/p/chromium/issues/detail?id=789163