T.Teradaの日記 - DeXSSを試した
DeXSSはJavaのアンチXSSライブラリです。掲示板やWebメールなどのアプリで、HTMLタグを許容しながら、JavaScriptを除去したい場面で使用します。 XSS攻撃対策用のライブラリ - DeXSS 1.0登場 | エンタープライズ | マイコミジャーナル DeXSS -- Java program for removing JavaScript from HTML(DeXSS開発者のページ) ちょっと触ってみました。 概要 以下のようなシンプルな処理をします。 ・TagSoupでParse ・正規表現でHTML要素/属性をフィルタ プログラムは実質数百行程度しかありません。 問題点 ソースを見たり、実際に使ってみると多くの欠陥が目に付きます。 ブラックリスト まず最大の問題は、ホワイトリスト方式ではないことです。要素/属性名/属性値は、定義された正規表現(ブラックリスト)でフ
情報セキュリティの目的 - teracc’s blog
情報セキュリティ大学院大学の辻井学長によれば、「情報セキュリティとは、情報技術によって拡大した自由を損なうことなく、”技術、管理運営手法、法律・社会制度、情報モラルを相互に深く連携させ、協調させて、利便性、効率性と安全性の向上、プライバシーの保護、および監視社会の最小化を同時に達成することを目的とする、一体性と完結性を持つ社会的基盤システムを構築するためのダイナミックなプロセス”である。」とのことである。http://www.duaxes.co.jp/pdf/112402.pdf より引用 http://www.mri-security.jp/wiki.cgi?page=2006.12.31+2006%C7%AF%A4%CE%A5%BB%A5%AD%A5%E5%A5%EA%A5%C6%A5%A3%BD%C5%C2%E7%BD%BD%C2%E7%A5%CB%A5%E5%A1%BC%A5%B9
T.Teradaの日記 - SessionSafe: Implementing XSS Immune Session Handling
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
