[B! security][JavaScript] [9ページ] efclのブックマーク

efcl id:efcl

securityとJavaScriptに関するefclのブックマーク (206)

Post by @0-9
Object.prototype.__defineSetter__を使ったAndroidでのJSON Hijackingに関してこないだShibuya.XSSで徳丸さんが紹介されてたObject.prototype.__defineSetter__を使ったJSON Hijackingに関して「Fx3系とAndroid 2系で動作する」とのことだったので検証してみた。
efcl 2012/04/23
json highjackについて

Android

JSON

JavaScript

security
リンク
Douglas Crockford: Principles of Security
In this talk from the March 5, 2012 BayJax event at Yahoo!, Douglas Crockford outlines the basic principles of designing secure software, with a focus on web applications. With his usual sardonic wit, he starts at the beginning (almost literally -- with the invention of language itself) and makes a strong case for designing secure software based on fundamental principles rather than specific techn
efcl 2012/04/11
ダグラスセキュリティ

JavaScript

security

video
リンク
Amon2とJSONとセキュリティ - tokuhirom's blog
Amon2とJSONとセキュリティ [1]http://d.hatena.ne.jp/ockeghem/20110907/p1 [2]http://www.atmarkit.co.jp/fcoding/articles/webapp/05/webapp05a.html [3] http://msdn.microsoft.com/ja-jp/asp.net/ff713315 [4] http://labs.cybozu.co.jp/blog/kazuho/archives/2007/01/cross-site_including.php あたりをよんで、JSON とセキュリティについてかんがえてみた。ここで、有効とされている対策のうち while(1); を先頭に付与する POST ですべて処理するといったあたりは、RESTful でないし、BK 感がひどいというか本質的ではないのででき
efcl 2012/03/27
JSONとセキュリティ JSON ハイジャックの回避

JavaScript

JSON

security

サーバー
リンク
XHR XSS の話． - ほむらちゃほむほむ
概要 CORS が「幾つかのブラウザの先行実装」の状況から「古いブラウザではサポートされない機能」に変わりつつある頃合いなので，XHR2 が XSS の起点になりますよってお話．そもそも XHR XSS って何よ簡単に言うとXHR2 による XSS のことのつもり．身近なところだと，jQuery Mobile がやらかしたり，大阪府警がやらかしたりした．具体例1 jQuery Mobile jQuery Mobile については，jQuery MobileのXSSについての解説で解説されるとおり．かいつまんで言うと，jQuery Mobile に location.hash の変更( hashchange イベント発火）時に，location.hash を URL とみなして読込んで，ページ内容を変更という機能があって，その読込先 URL にクロスドメインの制約がなかったので X
efcl 2012/03/15
XHR2のクロスドメインリクエストで起こり得るXSSについて。 jQuery Mobile、Ajax的な書き換えなど。 same originの判定コード

JavaScript

security

XHR
リンク
Internet Explorer 10 Consumer Preview のマイナーな変更点リスト
Internet Explorer 10 Consumer Preview Minor Changes List http://blogs.msdn.com/b/ieinternals/archive/2012/03/01/ie10-beta-consumer-preview-minor-changes-changelist.aspx Windows 8 Consumer Preview が公開されました。それに含まれる IE も Internet Explorer 10 Consumer Preview に更新されています。このバージョンでの変更点について解説している、EricLaw’s IEInternals の記事を私訳しました。記事中にも書かれていますが、ここに示されているのは他で取り上げられていないマイナーな(しかし開発者や管理者にとっては結構重要な) 変更点のみです。メジャーな
efcl 2012/03/04
10 Consumer Preview の変更点日本語訳

JavaScript

IE

security

ReleaseNote
リンク
[デブサミ2012]趣味と実益の脆弱性発見
デブサミ2012【16-D-7】「iOS, Android, Windows Phoneアプリを同時開発せよ！！！」（後半）
efcl 2012/02/19
ブラウザの脆弱性の見つける. yousuke hasegawa

JavaScript

security

スライド
リンク
swfobject.js がアレな話 - ほむらちゃほむほむ
もばいる全盛感のある世間的には今更，FLASH なんてどうでもいいし，swfobject.js 自体 2009年から更新されてないから，こんな古いものをと言われかねないような話ではあるものの，日本語での言及をあまり見てないし，つい先日もさる通信キャリアがトップページでやらかしてて多分知られてないんだろうなと思ったので書こうと思った次第． swfobject.js とは何かこの記事の対象読者にとっては説明するまでもない話とはおもうけど一応前置きとして説明しておくと，swfobject.js は FLASH を web ページに埋め込むための JavaScript のライブラリ．クロスブラウザ対応してたり，面倒な HTML-tag のお作法を覚えなくても良くなったりとでデファクトスタンダードな感じのモノ．2007年とちょい古いがリクルートMTL の SWFObject v2.0 ドキュメント
efcl 2012/01/12
SWFObject とエスケープについての話。エスケープされた値が来ることが想定されてて、エスケープせずに渡すと死ぬ。

JavaScript

flash

XSS

security
リンク
2025 Deneme Bonusu Veren En İyi Bahis Siteleri - Güncel Liste
2025 Yılında En İyi Deneme Bonusu Veren Bahis Siteleri Deneme bonusu veren bahis siteleri, özellikle yeni kullanıcılar için cazip fırsatlar sunan platformlardır. 2025 yılı itibarıyla, deneme bonusu fırsatları daha da cazip hale gelerek, kullanıcıların farklı bahis sitelerinde risk almadan deneyim kazanmalarını sağlıyor. Bu tür bonuslar, kullanıcıların yeni bir sit eye kaydolmadan önce o platformun
efcl 2011/10/23
script origin facebookの人がbugzillaになげた話のやつ

JavaScript

security
リンク
ebook: JavaScript Web AppsとThird-party JavaScriptが50%オフ
JavaScript Web Applications - O’Reilly Media Third-Party JavaScript - The Book がそれぞれ半額になるクーポンが発行されています。 JavaScript Web Applicationsの方は4castというクーポンコードを購入時に入力することで半額の$14で購入が可能です。 via Hacker News | JavaScript Web Apps by O’Reilly このクーポンは電子書籍、紙版どちらも適応できます。ebookのみに適応されます。(O’Reilly(Japanも)が全ての電子書籍を半額で&売上を日本赤十字社に寄付 | JSer.infoとやり方は同じもう一つのThird-Party JavaScript - The Bookはまだ先行販売のMEAPですが、公式サイトに書かれているように、3
efcl 2011/09/01
両方共買うかな。

JavaScript

security

book
リンク
cryptico.js - An easy-to-use strong encryption system utilizing RSA and AES for javascript.
cryptico.js cryptico-min.js documentation Generating an RSA key pair & public key string Sam wants to send Matt an encrypted message. In order to do this, he first needs Matt's public key string. A public key pair can be generated for Matt like this: // The passphrase used to repeatably generate this RSA key. var PassPhrase = "The Moon is a Harsh Mistress."; // The length of the RSA key, in bits.
efcl 2011/08/28
RSA キーの生成ライブラリまたRSAキーを使った暗号化、復号化

JavaScript

node.js

security
リンク
LLPlanets - JavaScriptプログラマのための全方位的完全武装ガイド
TopicsPlaceHolder SectionTitlePlaceHolder TIME rest time current/total
efcl 2011/08/25
mala'sスライド。

JavaScript

security

UI
リンク
Client-side JavaScript Vulnerabilities
The document discusses the evolution of client-side JavaScript and its related security vulnerabilities, particularly focusing on techniques such as DOM-based cross-site scripting and client-side open redirects. A significant finding is that 14.5% of analyzed web pages in a Fortune 500 study were found to have vulnerabilities, highlighting the growing risk as application logic shifts to client-sid
efcl 2011/07/29
JavaScript Security AnalyzerというIBM製のDOM-based XSSなどの調査ツールについてのスライド

JavaScript

security

slide
リンク
New Chromium security features, June 2011
$200K 1 10th birthday 4 abusive ads 1 abusive notifications 2 accessibility 3 ad blockers 1 ad blocking 2 advanced capabilities 1 android 2 anti abuse 1 anti-deception 1 background periodic sync 1 badging 1 benchmarks 1 beta 83 better ads standards 1 billing 1 birthday 4 blink 2 browser 2 browser interoperability 1 bundles 1 capabilities 6 capable web 1 cds 1 cds18 2 cds2018 1 chrome 35 chrome 81
efcl 2011/06/17
Chrome13からjavascript:をアドレスバーにコピペすると、該当部分は削除される。ソーシャルエンジニアリング対策 IE9、Firefox 6も似たようなソーシャルエンジニアリング対策が取られている。

Chrome

JavaScript

security
リンク
setAttribute for obfuscating innerHTML - hoshikuzu | star_dust の書斎
<div id="i01"> Here comes window.name </div> <script> //where name == "\u003Cs\u003ETEST\u003C/s\u003E" i01.setAttribute("InNeRhTmL", name, 0); </script>... works on IE, except for IE8 standard mode ;-), and more ...var DOCUMENT = i01.getAttribute("OWNERdOCUMENT", 0); // == document ?-p
efcl 2011/06/17
window.nameとsetAttribute("InNeRhTmL"で実行

XSS

security

JavaScript
リンク
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28
efcl 2011/05/11
ソーシャルボタンのXSS locationの扱い、エンコード

xss

security

JavaScript
リンク
XSS例題（下書き中） - st4rdustの日記
課題草案（第四版）アリスのサーバにはtext/html（charsetはUTF-8）でサーブされるHTML4.01相当のHTML文書を吐き出すサービスがある。以下はそのHTMLの一部分なのだが、第三者であるイブは、一定の条件に従った文字を出力できることに気がついた。 <script type="text/javascript"> ここらへんにイブが何か書ける </script>文字について一文字ずつ投入して調べたところイブが出力できる文字は、以下の通りであった。スペース改行セミコロン三種類の括弧　( ) [ ] { } ローマ字数字イブは試みに、alert(1) 他、いろいろ出力したのだが、エラー表示となり駄目であった。つまり、( や ) については、書きだせる場合とそうではない場合があり、どうやらWAFによって、特定のケースではエラーとなりハネラレルことにイブは気がついた。ア
efcl 2011/05/09
window.nameにスクリプトの断片を仕込んでlocationで実行。同様の手法でeval(name)で最短の実行 http://twitter.com/hasegawayosuke/statuses/67479170933997568

JavaScript

XSS

security

資料
リンク
window.name - Enjoy*Study
このままだとwindow.nameが可愛そうな気がしたので、出来る限りのフォローを。(コメントだと書ききれないので、エントリにさせていただきました) これは脆弱性かな？ - でっていうぶろぐ@hatena window.name(グローバルなスコープだとthis.nameも同じ)は、名前のとおりそのままウインドウの名前を表すものであり、ページ遷移したとしてもウインドウ自体が変わるものではないので、クリアされないことに(今は)違和感はありません。(初めて知ったときはびっくりしました) 逆にクリアされてしまったら、何かと弊害がありそうな気がしてます。まず、、window.nameは、どういったときに設定されるかっていうと、アンカーやフォームでtargetを指定してURLを開くと、開いたウインドウのwindow.nameはtargetで指定した名前が設定されます。(ただし、_blank を指定
efcl 2011/05/09
"window.nameは、どういったときに設定されるかっていうと、アンカーやフォームでtargetを指定してURLを開くと、開いたウインドウのwindow.nameはtargetで指定した名前が設定されます。(ただし、_blank を指定するとwindow.nameは空とな

HTML

JavaScript

security
リンク
JavaScript: The Definitive Guide Sixth Edition pdf download ebook - davidflanagan.com
JavaScript: The Definitive Guide Sixth Edition pdf download ebook Every time a new book of mine comes out, I get myself worked up about piracy. I've been tweeting about it this time, but there are nuances that require a longer form. The title of this post is a reference to Google's suggestions to people searching for my book: Maybe if enough people link to this post, then those search suggestions
efcl 2011/04/27
サイ本著者の海賊版電子書籍のダウンロードについての内容 "well, it is better than obscurity" or "its going to be pirated anyway, so you might as well just make it free" Google検索のフィルター

JavaScript

book

電子書籍

security
リンク
DOM sandboxing talk - The Spanner
efcl 2011/03/27
JavaScriptによるJavaScriptパーサー正規表現でsandbox的なevalを持っている

JavaScript

DOM

security
リンク
An interesting way to determine if you are logged into social web sites ✩ Mozilla Hacks – the Web developer blog
Thanks! Please check your inbox to confirm your subscription. If you haven’t previously confirmed a subscription to a Mozilla-related newsletter you may have to do so. Please check your inbox or your spam filter for an em ail from us. Jan! You could upload an image to a security-sensitive bug in Bugzilla to check if a user is logged in as a member of the security group, but this would change over t
efcl 2011/02/04
ログインしていない時だけ404を返す画像や場所を探してimgやscriptタグでチェックする。 http://jsbin.com/uriwi6/6

security

画像

JavaScript
リンク
前のページ 2 3 4 5 6 7 8 9 10 11 次のページ