情報セキュリティ技術動向調査(2011 年上期):IPA 独立行政法人 情報処理推進機構
この何年かでWebアプリケーションは、サーバ上のみでプログラムが動作するものから、多くのJavaScriptコードがWebブラウザで動作し、背後でサーバと連携して、リッチかつスムーズな操作感を提供するものへと進化してきた。このことは、Webブラウザ上に悪意のスクリプトを送り込む「スクリプト注入(XSS)」攻撃を、より防止しづらく、悪用の懸念がより大きなものに変化させた。本稿は、WebアプリケーションにAjax等の進化をもたらした技術について振り返るとともに、スクリプト注入対策を考慮すべき新たな文脈について論じるものである。 Ajax(Asynchronous JavaScript and XML)[1]は、必要となるデータを非同期でWebサーバから取り寄せつつ、Webブラウザの画面上でなめらかな操作性を提供する形態のJavaScriptプログラムのことである。かつてのブラウザにおいてはこの
俺専用mxxi :: ぼくはまちちゃん!
はまちや2さんの日記 mixiがクローキングしちゃってる Googleで「mixi」を検索してみました! すると、上からいくつかのところに「mixi(ミクシィ)モバイル」の文字がでてくるよね! うんうん…え、あれれ! 検索結果の要約のところに、しっかりとコンテンツの一部がでちゃってるよ! なんで! 続きはこちら [コメント:11件 トラックバック:2件] 2007/01/07 [23:39] コンパクトデジカメを買うための自分用メモ 最近おみせでよく見かける、手ぶれ補正とか高感度とかの コンパクトデジカメが 3万円を切ってきたんだよ! だから買おうと思うんだけど! 候補は 4機種…! せっかくだから色々しらべて検討したときのメモを置いておきますね! 続きはこちら [コメント:2件 トラックバック:0件] 2006/11/15 [20:28] XSS - 表示系パラメータに存在する盲点 こ
私はいかにして様々なブラウザの脆弱性を発見したか - 葉っぱ日記
先日、Twitterでどのように脆弱性を見つけるかに興味あるんだろうかと書いたら、意外に色々な人から反応があったので、これまでに自分が見つけた脆弱性のいくつかについてどういう経緯で見つけたのかちょっと書いてみます。 JVN#89344424: 複数のメールクライアントソフトにおける、添付ファイルによりメールクライアントソフトが使用不能になる脆弱性 これは、添付ファイル名にUnicodeの円記号を含めておくと、メーラ側でShift_JISに変換する際にバックスラッシュに変換されてしまって想定外のディレクトリに添付ファイルが展開されてしまったり、あるいは「©on」のような名前のファイルを添付しておくことでShift_JISに変換してCONというファイルを開こうとしてメーラが固まってしまうという問題です。これは、私自身が文字コードの問題について調べ始めた初期段階で、Unicodeからの変換で問題
Google ChromeのXSSフィルタを無効にする方法 | MemeTodo
2011年5月22日日曜日 Google ChromeのXSSフィルタを無効にする方法 Chromeには4ぐらいからXSSフィルター(WebkitではXSS auditorというのが正式名称っぽい)があって、Chrome11で作り直されたのがデフォルトでオンになっているようです。 Google Chrome gets cranked to 11, improves XSS Auditor - InternetNews:The Blog - Sean Michael Kerner で、このXSSフィルターはコンソールに"Refused to execute a JavaScript script. Source code of script found within request."と吐いて、他に視覚的なメッセージを出さないで止めるので、XSSの検証とかだと逆に邪魔くさい感じになります。
グーグル、「DOM Snitch」をリリース--危険なサイトを検出
Googleは米国時間6月21日、ブラウザ内で実行すると危険なウェブサイトソフトウェアについて警告を発する「DOM Snitch」というオープンソースツールをリリースした。 同ソフトウェアはウェブサイトコードの実行方法を調べて、コマンドの実行がウェブブラウザ経由でマルウェアをコンピュータに配布するクロスサイトスクリプティングのような攻撃につながるかどうかを確認する、実験的な「Google Chrome」拡張だ。 GoogleのセキュリティテストエンジニアであるRadoslav Vasilev氏はブログ投稿で、DOM Snitchを利用することにより「開発者やテスターはクライアント側のコードによく見られる、危険な慣行を特定できるようになる」と述べた。同氏は次のように説明している。 われわれはこれを可能にするため、(例えば)document.writeやHTMLElement.innerHTM
Locking the Throne Room - How ES5+ might change views on XSS and Client Side Security
Locking the Throne Room - How ES5+ might change views on XSS and Client Side Security This document discusses using ES5 capabilities to help mitigate cross-site scripting (XSS) vulnerabilities. It summarizes the history of JavaScript and XSS, current approaches to mitigation, and limitations. It then proposes using ES5 features like Object.defineProperty to prohibit unauthorized access to DOM prop
setAttribute for obfuscating innerHTML - hoshikuzu | star_dust の書斎
<div id="i01"> Here comes window.name </div> <script> //where name == "\u003Cs\u003ETEST\u003C/s\u003E" i01.setAttribute("InNeRhTmL", name, 0); </script>... works on IE, except for IE8 standard mode ;-), and more ...var DOCUMENT = i01.getAttribute("OWNERdOCUMENT", 0); // == document ?-p
DOMXss Identification and Exploitation
DOM Xss Identification and Exploitation Stefano Di Paola CTO and Co-Founder Minded Security Swiss Cyber Storm 3 12-15 May 2011 $ whoami Stefano Di Paola @WisecWisec Research OWASP-Italy Senior Member Testing Guide Contributor OWASP SWFIntruder Bug Hunter & Sec Research (Pdf Uxss, Flash Security, HPP) Security Since '99 Work CTO @ Minded Security Application Security Consulting Director of
IE 8 XSS Filter Architecture / Implementation | MSRC Blog | Microsoft Security Response Center
This blog post is older than a year. The information provided below may be outdated. Recently we announced the Internet Explorer 8 XSS Filter and talked a bit about its design philosophy. This post will describe the filter’s architecture and implementation in more detail. Design Goals The Internet Explorer 8 XSS Filter is intended to mitigate reflected / “Type-1” XSS vulnerabilities in a way that
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
XSS例題(下書き中) - st4rdustの日記
課題草案(第四版) アリスのサーバにはtext/html(charsetはUTF-8)でサーブされるHTML4.01相当のHTML文書を吐き出すサービスがある。以下はそのHTMLの一部分なのだが、第三者であるイブは、一定の条件に従った文字を出力できることに気がついた。 <script type="text/javascript"> ここらへんにイブが何か書ける </script>文字について一文字ずつ投入して調べたところイブが出力できる文字は、以下の通りであった。 スペース 改行 セミコロン 三種類の括弧 ( ) [ ] { } ローマ字 数字イブは試みに、alert(1) 他、いろいろ出力したのだが、エラー表示となり駄目であった。つまり、( や ) については、書きだせる場合とそうではない場合があり、どうやらWAFによって、特定のケースではエラーとなりハネラレルことにイブは気がついた。ア
Cross Site Scripting Prevention - OWASP Cheat Sheet Series
Introduction Index Alphabetical Index ASVS Index MASVS Index Proactive Controls Index Top 10 Cheatsheets Cross Site Scripting Prevention Cheat Sheet¶ Introduction¶ This cheat sheet helps developers prevent XSS vulnerabilities. Cross-Site Scripting (XSS) is a misnomer. Originally this term was derived from early versions of the attack that were primarily focused on stealing data cross-site. Since t
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
各ブラウザのUTF-7の対応状況 - 葉っぱ日記
今時のブラウザがどれくらいUTF-7をまだサポートしているか調べてみたのでメモ。全てWin32上。 IE8 レスポンスヘッダでcharset=utf-7と指定したとき、およびコンテンツの先頭(<html>より前)にUTF-7のBOMである +/v8- を挿入しておいた場合にUTF-7となる。<meta>でcharset=utf-7と指定した場合はページを表示したときにはUTF-7とはならないが、リロードするとUTF-7となる。 IE9beta レスポンスヘッダでcharset=utf-7と指定したとき、およびコンテンツの先頭(<html>より前)にUTF-7のBOMである +/v8- を挿入しておいたとき、<meta>でcharset=utf-7と指定したときにそれぞれUTF-7となる。 Firefox 3.6.13 <meta> で charset=utf-7 と指定しておくと、ページを
Google's Vulnerability Reward Program - ma<s>atokinugawa's blog
Googleは2010年11月からGoogleのウェブアプリケーションのセキュリティ脆弱性を報告した人に報酬を支払う制度をスタートしました。僕も早速いくつか報告し、以前TwitterでGoogleから$7337頂いたよとつぶやきましたが、あれから新たに$6337の入金があり、今のところこの制度で$13174($1337 × 2 + $1000 × 2 + $500 × 17)を頂いています!ありがとう! 追記 7337+6337=13674なので入金があったのは$13674($1337 × 2 + $1000 × 2 + $500 × 18)でした。合計を間違えてました。足し算難しい!><+$500! 修正されたものは情報を公開してもいいとのことなので、報告した中から多少変わったタイプの脆弱性を3つ紹介しようと思います。 <script>タグのsrcを細工することによるXSS こんなページ
Javascript Security
2. Living in a powder keg and giving off sparksJavaScript security is a messThe security model is outdatedKey examplesAttacking DNS to attack JavaScriptWhat are we going to do? 3. The JavaScript SandboxJavaScript security dates to 1995Two key concerns:Stop a malicious web site from attacking your computerStop a malicious web site from interacting with another web site 4. The Death of the PCIf all
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Our Favorite XSS Filters and How to Attack Them
Google Code Archive - Long-term storage for Google Code Project Hosting.
http://heideri.ch/biscuit/results
Google Code Archive - Long-term storage for Google Code Project Hosting.