HTML5 Security CheatsheetHTML5 Security CheatsheetWhat your browser does when you look away...
Node.js : Content Security Policyな応答ヘッダ : typeOf 'aki_mana'
動的に生成できるといいよね。 ってことで、JavaScriptコードを書いた。 文字列生成の結果を見るためにブラウザで動作するサンプル セキュリティに配慮したwebサイトは、レスポンスヘッダに Origin : domainだとかを加えたりして、サーバーの応答も細かく調整するんだけど、ブラウザ側でもサーバーの指定した制限事項に従って「コンテンツを保護しつつ表示したい」よね。ってことでContent Security Policy を適用する。 信頼できるドメインを指定したり、JavaScriptの挙動を許可したりすることで、外部からの攻撃を防ごうという機能。 取り敢えず、レスポンスヘッダをごにょごにょすると、「対応したブラウザの挙動」はサイトの指定した制限を受けることになる。 たとえば、最も単純な CSP用のレスポンスヘッダを返却するように指定すると、ブラウザのCSP制限で inline
Douglas Crockford: Principles of Security
In this talk from the March 5, 2012 BayJax event at Yahoo!, Douglas Crockford outlines the basic principles of designing secure software, with a focus on web applications. With his usual sardonic wit, he starts at the beginning (almost literally -- with the invention of language itself) and makes a strong case for designing secure software based on fundamental principles rather than specific techn
Amon2とJSONとセキュリティ - tokuhirom's blog
Amon2とJSONとセキュリティ [1]http://d.hatena.ne.jp/ockeghem/20110907/p1 [2]http://www.atmarkit.co.jp/fcoding/articles/webapp/05/webapp05a.html [3] http://msdn.microsoft.com/ja-jp/asp.net/ff713315 [4] http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross-site_including.php あたりをよんで、JSON とセキュリティについてかんがえてみた。 ここで、有効とされている対策のうち while(1); を先頭に付与する POST ですべて処理する といったあたりは、RESTful でないし、BK 感がひどいというか本質的ではないのででき
XHR XSS の話. - ほむらちゃほむほむ
概要 CORS が「幾つかのブラウザの先行実装」の状況から「古いブラウザではサポートされない機能」に変わりつつある頃合いなので,XHR2 が XSS の起点になりますよってお話. そもそも XHR XSS って何よ 簡単に言うとXHR2 による XSS のことのつもり.身近なところだと,jQuery Mobile がやらかしたり,大阪府警がやらかしたりした. 具体例1 jQuery Mobile jQuery Mobile については,jQuery MobileのXSSについての解説 で解説されるとおり. かいつまんで言うと,jQuery Mobile に location.hash の変更( hashchange イベント発火)時に,location.hash を URL とみなして読込んで,ページ内容を変更という機能があって,その読込先 URL にクロスドメインの制約がなかったので X
Internet Explorer 10 Consumer Preview のマイナーな変更点リスト
Internet Explorer 10 Consumer Preview Minor Changes List http://blogs.msdn.com/b/ieinternals/archive/2012/03/01/ie10-beta-consumer-preview-minor-changes-changelist.aspx Windows 8 Consumer Preview が公開されました。それに含まれる IE も Internet Explorer 10 Consumer Preview に更新されています。このバージョンでの変更点について解説している、EricLaw’s IEInternals の記事を私訳しました。記事中にも書かれていますが、ここに示されているのは他で取り上げられていないマイナーな(しかし開発者や管理者にとっては結構重要な) 変更点のみです。メジャーな
swfobject.js がアレな話 - ほむらちゃほむほむ
もばいる全盛感のある世間的には今更,FLASH なんてどうでもいいし,swfobject.js 自体 2009年から更新されてないから,こんな古いものをと言われかねないような話ではあるものの,日本語での言及をあまり見てないし,つい先日もさる通信キャリアがトップページでやらかしてて多分知られてないんだろうなと思ったので書こうと思った次第. swfobject.js とは何か この記事の対象読者にとっては説明するまでもない話とはおもうけど一応前置きとして説明しておくと,swfobject.js は FLASH を web ページに埋め込むための JavaScript のライブラリ.クロスブラウザ対応してたり,面倒な HTML-tag のお作法を覚えなくても良くなったりとでデファクトスタンダードな感じのモノ.2007年とちょい古いがリクルートMTL の SWFObject v2.0 ドキュメント
ebook: JavaScript Web AppsとThird-party JavaScriptが50%オフ
JavaScript Web Applications - O’Reilly Media Third-Party JavaScript - The Book がそれぞれ半額になるクーポンが発行されています。 JavaScript Web Applicationsの方は4castというクーポンコードを購入時に入力することで半額の$14で購入が可能です。 via Hacker News | JavaScript Web Apps by O’Reilly このクーポンは電子書籍、紙版どちらも適応できます。ebookのみに適応されます。(O’Reilly(Japanも)が全ての電子書籍を半額で&売上を日本赤十字社に寄付 | JSer.infoとやり方は同じ もう一つのThird-Party JavaScript - The Bookはまだ先行販売のMEAPですが、公式サイトに書かれているように、3
cryptico.js - An easy-to-use strong encryption system utilizing RSA and AES for javascript.
cryptico.js cryptico-min.js documentation Generating an RSA key pair & public key string Sam wants to send Matt an encrypted message. In order to do this, he first needs Matt's public key string. A public key pair can be generated for Matt like this: // The passphrase used to repeatably generate this RSA key. var PassPhrase = "The Moon is a Harsh Mistress."; // The length of the RSA key, in bits.
Client-side JavaScript Vulnerabilities
Client-side JavaScript VulnerabilitiesAI-enhanced description The document discusses the evolution of client-side JavaScript and its related security vulnerabilities, particularly focusing on techniques such as DOM-based cross-site scripting and client-side open redirects. A significant finding is that 14.5% of analyzed web pages in a Fortune 500 study were found to have vulnerabilities, highlight
New Chromium security features, June 2011
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
setAttribute for obfuscating innerHTML - hoshikuzu | star_dust の書斎
<div id="i01"> Here comes window.name </div> <script> //where name == "\u003Cs\u003ETEST\u003C/s\u003E" i01.setAttribute("InNeRhTmL", name, 0); </script>... works on IE, except for IE8 standard mode ;-), and more ...var DOCUMENT = i01.getAttribute("OWNERdOCUMENT", 0); // == document ?-p
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
XSS例題(下書き中) - st4rdustの日記
課題草案(第四版) アリスのサーバにはtext/html(charsetはUTF-8)でサーブされるHTML4.01相当のHTML文書を吐き出すサービスがある。以下はそのHTMLの一部分なのだが、第三者であるイブは、一定の条件に従った文字を出力できることに気がついた。 <script type="text/javascript"> ここらへんにイブが何か書ける </script>文字について一文字ずつ投入して調べたところイブが出力できる文字は、以下の通りであった。 スペース 改行 セミコロン 三種類の括弧 ( ) [ ] { } ローマ字 数字イブは試みに、alert(1) 他、いろいろ出力したのだが、エラー表示となり駄目であった。つまり、( や ) については、書きだせる場合とそうではない場合があり、どうやらWAFによって、特定のケースではエラーとなりハネラレルことにイブは気がついた。ア
window.name - Enjoy*Study
このままだとwindow.nameが可愛そうな気がしたので、出来る限りのフォローを。(コメントだと書ききれないので、エントリにさせていただきました) これは脆弱性かな? - でっていうぶろぐ@hatena window.name(グローバルなスコープだとthis.nameも同じ)は、名前のとおりそのままウインドウの名前を表すものであり、ページ遷移したとしてもウインドウ自体が変わるものではないので、クリアされないことに(今は)違和感はありません。(初めて知ったときはびっくりしました) 逆にクリアされてしまったら、何かと弊害がありそうな気がしてます。 まず、、window.nameは、どういったときに設定されるかっていうと、アンカーやフォームでtargetを指定してURLを開くと、開いたウインドウのwindow.nameはtargetで指定した名前が設定されます。(ただし、_blank を指定
JavaScript: The Definitive Guide Sixth Edition pdf download ebook - davidflanagan.com
JavaScript: The Definitive Guide Sixth Edition pdf download ebook Every time a new book of mine comes out, I get myself worked up about piracy. I've been tweeting about it this time, but there are nuances that require a longer form. The title of this post is a reference to Google's suggestions to people searching for my book: Maybe if enough people link to this post, then those search suggestions
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Post by @0-9
[デブサミ2012]趣味と実益の脆弱性発見![[デブサミ2012]趣味と実益の脆弱性発見](https://cdn-ak-scissors.b.st-hatena.com/image/square/f923c4b18dff10a372ba0116b8c3d09339536bea/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fdevsumi-hasegawa-120216203637-phpapp01-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
http://www.schemehostport.com/2011/10/x-script-origin-we-hardly-knew-ye.html
LLPlanets - JavaScriptプログラマのための 全方位的完全武装ガイド