• はてなブックマーク
  • テクノロジー
  • JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
  • Twitterでシェア
  • Facebookでシェア

JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
230users がブックマーク コメント 27

    記事へのコメント27

    • 注目コメント
    • 新着コメント
    pmint
    攻撃者に都合よく1行目に機密情報が書かれたJSONなら。長々書いてる割にそこをさらっと済ませちゃったり「反転」する辺りは脆弱性で食ってる職業だからなのかな。「JSON関係なくね?」とも思うけど実際JSONが多いからか

    その他
    warriorking
    JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記

    その他
    naga_sawa
    本来読めないはずのURLからのJSONをエラーハンドラ経由で取得できてしまう脆弱性について

    その他
    nnasaki
    CORS はとりあえず大丈夫そう。(他の脆弱性が無ければ)

    その他
    typista
    ぽけったー JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

    その他
    manhole
    『私はこれを見て、ある種の感動を覚えました。今までContent-Typeを散々無視してきたIEが、Content-Typeが違うとして読み込みをブロックするとは…』

    その他
    amayan
    わざとエラー起こして詳細からぶっこ抜くと。おっかねぇ

    その他
    khtokage
    基本と背景を含めたもの凄く丁寧な説明。「今までContent-Typeを散々無視してきたIEが、Content-Typeが違うとして読み込みをブロックするとは…」噴いたww

    その他
    wasai
    あとで読み直す

    その他
    itochan
    javascriptは必要。vbscriptいらない。 そういう設定をIEに設けて欲しい。(必要な人には/時には vbscriptもonできるように設定で)

    その他
    GARAPON
    後でちゃんと読む

    その他
    t_z
    おお……おおお! >今までContent-Typeを散々無視してきたIEが、Content-Typeが違うとして読み込みをブロック

    その他
    fafhrd
    説明の仕方が実にわかりやすい

    その他
    raimon49
    X-Requested-Withヘッダ付与とチェックついて。不完全なJSONや無限ループで読みだせなくするバッドノウハウ的な手法よりもXHRからのリクエストかどうか検証する。

    その他
    sakuragaoka
    きをつけよう(開発者がね)

    その他
    k-holy
    SymfonyのHttpFoundationにRequest::isXmlHttpRequest()があったのはこういう背景なのね

    その他
    burnworks
    vbscriptのエラーメッセージからJSONデータ内の秘密情報が漏洩するかどうかはJSONの構造に依存 / 配列以外の形式についても漏洩させるテクニックが出てくる可能性 / JSONの構造に関わらず対策を推奨

    その他
    tsupo
    vbscriptを指定したscript要素により呼び出す攻撃 / JSONはvbscriptとして実行するとエラーになるが、エラーハンドラに渡される引数としてJSONデータが入るため、通常は読み出せないJSON経由で秘密情報が漏洩する

    その他
    k_gobo
    大事なことだと思うんだけど、午後に読むには睡魔に負ける分量。

    その他
    ko-ya-ma
    例の件について、背景から詳しく解説

    その他
    JHashimoto
    "本当に影響があるかどうかは、JSONの構造にも依存しますが、他の攻撃による情報漏洩の可能性も考慮して以下の対策を推奨致します。"

    その他
    YaSuYuKi
    対策しなきゃ

    その他
    oppara
    JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意 | 徳丸浩の日記

    その他
    fukken
    nosniff ってそういう意味だったのか、納得

    その他
    asuka0801
    なにそれ楽しそう

    その他
    ya--mada
    まだjsonセキュリティ読んでないや

    その他
    ockeghem
    日記書いた(長文)

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意

    はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけ...

    ブックマークしたユーザー

    • sirataki2562019/04/01 sirataki256
    • qsona2019/03/31 qsona
    • yyamano2017/07/13 yyamano
    • haromitsu2016/11/04 haromitsu
    • tokkata2014/08/31 tokkata
    • nantan2013/12/09 nantan
    • akira_nishii012013/11/11 akira_nishii01
    • masakielastic22013/07/19 masakielastic2
    • lEDfm4UE2013/07/07 lEDfm4UE
    • hisasann2013/06/25 hisasann
    • comeonly2013/06/21 comeonly
    • ofsilvers2013/06/15 ofsilvers
    • FTTH2013/06/01 FTTH
    • hikobae2013/05/26 hikobae
    • pmint2013/05/24 pmint
    • warriorking2013/05/23 warriorking
    • hxmasaki2013/05/23 hxmasaki
    • blogger3232013/05/23 blogger323
    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    いま人気の記事 - 企業メディア

    企業メディアをもっと読む

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.