IBM DeveloperIBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.
UTF-8.jp
- WinMirror - 任意のアプリケーションのウィンドウやデスクトップをミラーリングして表示できます。 解説: オンサイトでの登壇で返しのモニターがなくてもデモをやりやすくするツールを作った - SSTエンジニアブログ - 音声字幕機能付きのWebカメラ - Web Audio APIを使ってマイク入力をスピーカーから出力 - LTタイマー - JavaScriptセキュリティの基礎知識:連載|gihyo.jp … 技術評論社 - HTML5時代の「新しいセキュリティ・エチケット」- @IT - 教科書に載らないWebアプリケーションセキュリティ - @IT - 連載:本当は怖い文字コードの話|gihyo.jp … 技術評論社 - JSF*ck - encode JavaScript with only 6 letters - []()!+ (broken) JSF*ck demo
ホワイトリストとブラックリスト – Proactiveセキュリティ対策 vs. Reactiveセキュリティ対策
ホワイトリストとブラックリスト – Proactiveセキュリティ対策 vs. Reactiveセキュリティ対策 (Last Updated On: 2018年4月5日)「プログラミングはホワイトリスティングが基本」にブラックリストもホワイトリストもどちらも同じ事を言っていて違いが分からない、とコメントを頂きました。 追記:ブラックリストとホワイトリストの違いが解らない方は、恐らくホワイトリストの基本中の基本は”デフォルトで全て拒否する”であることを理解していないのだと思われます。全て拒否した上で、許可するモノ、を指定しないとホワイトリストになりません。 http://pfrb.blog114.fc2.com/blog-entry-5.html ホワイトリストとブラックリストは単純な場合は分かりやすいコンセプトですが、ちょっと複雑になると分かりやすいようで境界が分かり辛いコンセプトです。
JavaScript Hijack/JSON Hijackのぜい弱性
今回で,ratproxyで検出できる特徴的なぜい弱性の解説は終わりです。最終回となる今回は,JavaScript Hijackについてです。JavaScript Hijack,そしてJSON Hijackは,JavaScriptファイルやJSONデータ内に含まれる情報を盗む攻撃です。ratproxyは,この攻撃を成立させてしまうぜい弱性を見付けやすくなっています。 JavaScript Hijack まず最初にJavaScript Hijackについて説明しましょう。JavaScript Hijack攻撃にぜい弱になるのは,個人情報などの機密情報を内容として含むJavaScriptファイルを動的に生成しているアプリケーションです。筆者が過去の検査で実際に見たケースには,以下のようなものがありました。 (index.htmlの一部) <script src="greeting.cgi"></
そろそろWAFに関して一言いっとくか~三重苦を乗り越えてWAFが普及するための条件とは~
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
IE における "expression" の過剰検出による XSS の 誘因
IE における "expression" の過剰検出による XSS の 誘因 2006-08-31-1: [Security] http://archive.openmya.devnull.jp/2006.08/msg00369.html IE では expression(式) をスタイルシート内で記述することで JavaScript を記述することができるのは有名ですが, IE による expression の検出がやたら過剰で XSS を引き起こしやすいということらしい. 実態参照やコメントの挿入,Unicode 文字,全角文字で記述しても expression として検出される. 詳細は,上記サイトより引用. IE では、以下のようなスタイルを記述することで、JavaScript を動作させる ことが可能です。 1) <style>ブロック内での定義 <style>input { l
Category:OWASP WebScarab Project - OWASP
This historical page is now part of the OWASP archive. This page contains content that is outdated and is no longer being maintained. It is provided as a courtesy for individuals who are still using these technologies. This page may contain URLs that were once valid but may now link to sites or pages that no longer exist. Please use the newer Edition(s) like OWASP Zed Attack Proxy Project Welcome
SQL Injection Attacks by Example
A customer asked that we check out his intranet site, which was used by the company's employees and customers. This was part of a larger security review, and though we'd not actually used SQL injection to penetrate a network before, we were pretty familiar with the general concepts. We were completely successful in this engagement, and wanted to recount the steps taken as an illustration. "SQL Inj
リクエストをいじれば脆弱性の仕組みが見えるのだ!
telnetでリクエストを打つのは面倒…… クウ 「うーん。めんどくさい……」 ジュンさんにWebアプリエンジニアとして重要な基礎、HTTPのしくみを教えてもらったクウは、引き続きHTTPと格闘中だ。 クウはジュンさんに教わったとおりtelnetを使ってHTTPを勉強していた。しかし、telnetで静的ファイルの閲覧などは比較的簡単にできるのだが、肝心のWebアプリケーションの閲覧を行うには非常に面倒であった。 ユウヤ 「どうしたの?」 クウ 「HTTPの勉強しようと思ったんだけど、コマンドをいちいち打ち込むの大変なんだよね……」 ユウヤ 「なんかそういうの、簡単にできるツールあるんじゃないの?」 クウ 「ああ、そうか。よく考えたらそういうのありそうだね。ちょっと探してみよっと」 ユウヤ 「まあ、それはいいとしてだ。昨日頼んでおいた資料ってどうなった?」 クウ 「ああっ。ごめん! 共有サー
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
Part3 クロスサイト・リクエスト・フォージェリの手口
Part3では,ログイン中のエンドユーザーのパソコンをスクリプトで操る「クロスサイト・リクエスト・フォージェリ」という手口が,いったいどんな攻撃か,細かく見てみよう。 クラッカが正規ユーザーの意図に反してWebアプリを勝手に操作する攻撃がある。Webサイトはユーザーを,IDとパスワードの組や,セッションIDと呼ぶ情報で識別している。クラッカがWebアプリを勝手に操作するには,ユーザーのIDとパスワードやセッションIDを盗む必要があると思うかもしれないが,それは間違い。これらを盗まなくても,ログイン中のエンドユーザーのパソコンをスクリプトで操る「クロスサイト・リクエスト・フォージェリ」という手口を使えば,会員を偽って不正アクセスができる。 クロスサイト・リクエスト・フォージェリによる攻撃は,会員制サイト「mixi(ミクシィ)」で実際に発生した。書き込まれた内容が他愛もないもので,mixiの対
Brad Cable - Main
“ Everything developed during the last two centuries has come from a composite lab, where hundreds, even thousands of research workers work. There is no such thing as an inventor in this century. Maybe I just like to play private games with electronic components. Anyhow, I enjoy it. I get most if not all of my pleasure in this world from creating circuits that ultimately do nothing. ” — Philip K.
XSS (Cross Site Scripting) Cheatsheet: Esp: for filter evasion - by RSnake
By RSnake Note from the author: If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to mitigate these risks or how to write the actual cookie/credential stealing portion of the
OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Who is the OWASP® Foundation? The Open Worldwide Application Security Project® (OWASP) is a nonprofit foundation that works to improve the security of software. Through community-led open-source software projects, hundreds of local chapters worldwide, tens of thousands of members, a
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.xssed.com/article/15/Cross_Site_Scripting_-_Attack_and_Defense_guide/
http://www.st.ryukoku.ac.jp/~kjm/security/ml-archive/memo/2006.09/msg00004.html
安全なWebアプリ開発の鉄則2006
IPA セキュア・プログラミング講座
Abstracting application-level security policy for ubiquitous computing
Trickytools.com is acquired by BeingGeek.com.