はてなブックマーク

(2021/9/27追記: この記事の内容に色々追加した物をzennへ載せました Deserialization on Rails) この記事はRuby on Rails Advent Calendar 2019 - Qiitaの11日目です。 この記事を見ている方はRailsアプリケーションの開発をしている方が多いと思います。手元のRailsリポジトリでちょっとbin/rails routesを試してみてください。 出力結果に以下のURLは含まれていたでしょうか？ rails_service_blob GET /rails/active_storage/blobs/:signed_id/*filename(.:format) active_storage/blobs#show rails_blob_representation GET /rails/active_storage/repr

この記事はRuby Advent Calendar 2018 - Qiitaの23日目です。 今年はRubyやOSSの脆弱性をいろいろ探していたので、その感想を。 Ruby (Cruby) Tmpでのディレクトリトラバーサル DirでのNUL文字の扱いの問題 UNIX ドメインソケットでのNUL文字 Ruby 2.6での挙動変更 Dir[]でのNUL文字について Rubygems rubygems 65534倍効率的なブルートフォース minitarでのKernel.open*2 geminabox Discourse Heroku Rails pgでのNUL文字 Active StorageでのXSS 報奨金 感想 Rubyに詳しくなった 脆弱性としての判定 自分が使うものを安全にする まずはRubyから Ruby (Cruby) techlife.cookpad.com 昨年公開された

[追記]この記事は情報が古めです。Reactで起こるXSSパターンは他にも存在するので、CTFやbug bountyなどの言葉と一緒に検索してみてください。 この記事は脆弱性"&'<<>\ Advent Calendar 2016の13日目の記事です。 前日の記事はnullです。 この記事を見ている皆さんは仮想DOMに魂を震わせられているでしょうか*1、それともjavascriptに疲れてきた頃でしょうか。私はimagemagick関連を調べるのに疲れてきたところです。 React.jsで起こるXSS ここ数年のwebサービスではReact.jsのような仮想DOMを扱うライブラリを使ってhtmlがレンダリングされていることが多いので、典型的なDOM Based XSSなどは少なくなってきたように感じます*2。React.jsを例にすると、JSXがjsに変換されて仮想DOM経由でDOMを組み

この記事は脆弱性"&'<<>\ Advent Calendar 2016の4日目の記事です。 前日の記事はHack Patch!: CyVDB-1118関連です。 今回の記事は、eval(document.cookie)になるようなことは避けましょうという内容です。 cookie 経由でのXSSについて。 cookieに値を入れるにはサーバサイドからのレスポンスヘッダーかjavascriptからの操作になります。XSSなどがない限り攻撃者が値を入れることはできなそうですが、以下のような条件により可能です。 HTTP通信のMITM クエリパラメータをcookieに載せる実装 別サブドメインからの攻撃 ヘッダインジェクション 他 特にHTTP通信から攻撃する方法は徳丸先生の記事によるものが詳しく（HTTPSを使ってもCookieの改変は防げないことを実験で試してみた | 徳丸浩の日記）、これを

この記事は脆弱性"&'<<>\ Advent Calendar 2014の19日目の記事です。 前の記事はid:matsukawarさんのASPXのサイトのValidation機能からみるサイト攻撃ルート - matsukawarの日記です。 はてなブログの編集モードの一つに見たままモードというのが有り、そこにセルフXSSがあったので１年ほど前に報告しました。 はてなブログではyoutubeなどの別サイトの要素を読み込む場合iframeが使用されています。 そして、iframeのsrcはjavascript:で始まるuriを書くとXSSが起こります。当時その対策として先頭がjavascript:だったら置換する処理が書かれていたのですがそれが不十分でした。 html中に含まれる空白などはDOMが生成される際に無視されるためjava(空白)scirpt:などが入力されるとセルフXSSとなりま