[B! xss] hide-Kのブックマーク

第1回　UTF-7によるクロスサイトスクリプティング攻撃［前編］ | gihyo.jp

みなさん、はじめまして。はせがわようすけと申します。最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「⁠危険な文字列の検出」「⁠安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか（このルールを符号化方式あるいは文字エンコーディングと言います）に注意しなければならないこともあるでしょう。攻撃者は巧みに文字

hide-K 2009/03/21

リンク

Perlを使って脆弱性を検証する：CodeZine

はじめに今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。必要な環境 Perl 5.8以上が動作する環境。基本動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。解説内容ソースコード解説まず最初にソースコードの解説をします。 xss.pl

hide-K 2007/09/21

リンク

「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』，サイト管理者は注意を」---専門家が警告

「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』，サイト管理者は注意を」---専門家が警告「『Yahoo!メール』を狙ったウイルスは，同サイトのクロスサイト・スクリプティング（XSS）脆弱性を悪用した。同様の脆弱性は多くのWebサイトに存在する。このウイルスのソース・コードも出回っているので，今後，同様の攻撃が頻発する可能性は高い。Webサイトの管理者や開発者は十分に注意する必要がある」---。京セラコミュニケーションシステムのセキュリティ事業部副事業部長である徳丸浩氏は6月15日，ITproの取材に対して警告した。 Yahoo!メールのウイルスは“単純” 6月12日ごろに確認されて「Yamanner」などと名付けられたウイルスは，米Yahoo!が提供するメール・サービス「Yahoo! Mail（Yahoo!メール）」で感染を広げる（関連記事：Yahoo!メールの脆弱性を突

hide-K 2006/06/16

リンク

http://lovemorgue.org/xss.html

hide-K 2006/03/07

XSS

リンク

スラッシュドットジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意

jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS（クロスサイトスクリプティング）脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出

hide-K 2005/12/23

security
xss

リンク

はてなブックマーク

タグ

関連タグで絞り込む (7)

xssに関するhide-Kのブックマーク (5)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

タグ

関連タグで絞り込む (7)

xssに関するhide-Kのブックマーク (5)

第1回 UTF-7によるクロスサイトスクリプティング攻撃［前編］ | gihyo.jp

Perlを使って脆弱性を検証する：CodeZine

「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』，サイト管理者は注意を」---専門家が警告

http://lovemorgue.org/xss.html

スラッシュドット ジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

今週のはてなブックマーク数ランキング（2024年7月第1週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス

第1回　UTF-7によるクロスサイトスクリプティング攻撃［前編］ | gihyo.jp

スラッシュドットジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意