XSSの攻撃手法いろいろ - うなの日記
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。 1. CSS Expression IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。 <div style="color:expression(alert('XSS'));">a</div> 確認 @IT -[柔軟すぎる]IEのCSS解釈で起こるXSS で詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。 <div style="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div> 確認 <div s
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
第1回 まずは「クッキー」を理解すべし
Webアプリケーションのぜい弱性がなかなかなくならない。メディアなどでも盛んに取り上げられているにもかかわらず,である。特に,セッション管理がからむアプリケーションのぜい弱性には,気付かないことが多い。具体的には「クロスサイト・リクエスト・フォージェリ」(CSRF),「セッション・フィクセーション」などである。これらはクロスサイト・スクリプティング,SQLインジェクションといった比較的メジャーなぜい弱性に比べて認知度が低く,対策も進んでいない。 原因の一つは,アプリケーションの開発者が原因を正しく理解していないこと。CSRFやセッション・フィクセーションについて言えば,セッション管理に使うクッキー(cookie)の動作を理解していないと対策が難しい。ところが最近の開発環境では,セッション管理の仕組みが隠ぺいされているため,必ずしもこの知識は要求されない。こうした開発者は容易にはぜい弱性に気
USBメモリもCD-ROMもあらゆるドライブの自動再生をオフにする方法 - GIGAZINE
「Shift」キーを押しながらCDをCD-ROMドライブに挿入すると自動再生がオフにできるというのはよく知られた方法ですが、毎回Shiftキーを押すのは面倒です。一応、接続時のダイアログで「何もしない」という動作をあとで選ぶことはできるのですが、USBメモリやSDカード、外付けHDDなど、違うものを接続する度にこの作業をするのは何だかな~という感じもします。 というわけで、「自動再生なんて絶対に使わないので完全にオフにしたい」という人のための方法です。 手順は以下の通り。 CD-ROMの自動起動をOFFにする方法 自動起動をやめさせるには、まず「スタート」ボタンをクリックし、「ファイル名を指定して実行」をクリック 「gpedit.msc」と入力して「OK」をクリック グループポリシーを編集するツールが起動するので、「コンピュータの構成」→「管理用テンプレート」→「システム」と進み、「自動再
Web2.0的セキュリティ(RSSやスパム対策):Geekなぺーじ
RSSのセキュリティホール CodeRed、Nimda、SQL Slammerなどが猛威を振るった2000年前半ですが、最近はウィルス対策ソフトの進化やセキュリティ意識の向上により、大規模感染はあまり聞かなくなりました。 (*2006/10/02:大流行しなくなったウィルスとワーム) 歩いていてふと思ったのですが、最近流行のRSSは実は恐ろしいセキュリティホールになり得るのではないかと考え始めました。 RSSセキュリティに関してはかなり前から言われていますが、次にウィルスなどの大規模感染が発生するのであればRSS経由かもと勝手に妄想してしまいました。 アフィリエイトなどの影響もあり、最近ではRSSを受け取ってそのままHTMLを生成しているページなどが数多くあります。 そのため、非常に人気があるサイトのRSSにウィルスやブラウザクラッシャーURLなどが埋め込まれると、一瞬にして悪意あるURL
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
CLUB Pocket PC
すべての Microsoft 製品 Global Office Windows Surface Xbox セール サポート ソフトウェア Windows アプリ OneDrive Outlook Skype OneNote PC とデバイス アクセサリ エンタメ Xbox ゲーム (ダウンロード) Windows ゲーム 映画とテレビ番組 法人向け Azure Dynamics 365 Microsoft 365 データ プラットフォーム 法人向け Developer & IT .NET Visual Studio Windows Server デベロッパー センター ドキュメント その他 Microsoft Store Microsoft Rewards 無料ダウンロード & セキュリティ プリペイド カード サイトマップの表示
Poker88 | Bandar Resmi Poker Online Terbesar No.1 di Asia
🍭 Sweet Bonanza, 🌟 Starlight Princess, ⚡Gates of Olympus zeus Poker88: Bandar Resmi Poker dengan Bonus Besar dan Layanan 24 Jam Poker88 adalah destinasi terbaik bagi para pecinta poker online di Indonesia yang mencari pengalaman taruhan yang seru dan menguntungkan. Sebagai bandar resmi poker online yang terpercaya, Poker88 menawarkan berbagai fitur game terbaik dan berkualitas, layanan 24 jam, s
ITmedia D PC USER:最強はどれ? 2007年版セキュリティソフト徹底比較(後編) (1/3)
※1:シマンテックストア価格、※2:トレンドマイクロオンラインショップ価格/3ライセンス、※3:希望小売価格 記事初出時、NOD32の機能表と一部の内容に「スパイウェア機能を持たない」という記述がありましたが、正しくは「スパイウェア検知機能を搭載」しております。また、CA2007の機能表でrootkitの項目が「×」となっておりましたが、スパイウェア対策機能としてrootkitの検出に対応しております。読者ならびに関係者のみなさまにお詫びするとともに、訂正いたします。 リアルタイム検索時の負荷 もしウイルスがPC上にファイルの形で存在していたとしても、それが実行されたり、あるいはほかのプログラムのデータファイルとして読み込まれ、ぜい弱性を突いて誤動作させるなどのアクションが発生しなければ、ファイルそれ自体に危険はない。病気でいうところの感染と発症のようなものだ。感染者(キャリア)であっても
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
