ionisのブックマーク / 2018年8月6日 - はてなブックマーク

ionis id:ionis

2018年8月6日のブックマーク (3件)

Masato Kinugawa Security Blog: ユーザ入力を使った正規表現から生じるDOM based XSS
お久しぶりです＆あけましておめでとうございます。昨年はブログを書く時間をうまく作ることができず、あまり記事を書けませんでした。今年はできるだけ月に1回程度何か書いていきたいと思っています。今年もよろしくお願いします！さて、ブログを書かなかった間にXSSからSQLインジェクションへ興味が移った、なんてことはありませんでしたので、今日もいつも通り大好きなXSSの話をしたいと思います！最近、正規表現にユーザ入力を使っていることに起因するDOM based XSSに連続して遭遇しました。あまり見慣れていない注意が必要な問題だと思うので、この記事では、見つけたもの2つがどのように生じたか、また、問題を起こさないためにどうすればよいかを紹介します。そのうちの1つはLINEのBug Bounty Programを通じて報告した問題です。賞金と、"LINE SECURITY BUG BOUNTY"
ionis 2018/08/06
XSS

セキュリティ

脆弱性
リンク
［さらに気になる］JSONの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます（編集部）次は、JSONにおけるセキュリティ対策皆さんこんにちは、はせがわようすけです。第4回「［気になる］JSONPの守り方」はJSONPについて説明しましたので、今回は「JSON」についてもセキュリティ上注意すべき点について説明します。 JSONは、XMLHttpRequestで受け取り、JavaScript上でevalするという使い方が一般的です。まずはサーバ側から送られる情報と、クライアント側での処理、それぞれの内容を見ておきましょう。［サーバ側］ HTTP/1.1 200 OK Content-Type: application/json; charset=
ionis 2018/08/06
セキュリティ

JSON
リンク
例えばこんなSSI - nknskn ネタ置き場
概要資生堂の子会社「イプサ」が運営する「イプサ公式オンラインショップ」にて、SSIインジェクションによる情報漏えいが発生したことを受けて、改めて「SSI」および「SSIインジェクション」の概要、影響、およびその対策を調査・確認した．ここではその調査・確認内容を記載している．背景 2016年12月2日、資生堂の子会社「イプサ」が運営する「イプサ公式オンラインショップ」にて情報漏えいが発生したとのニュースがあった．魚拓この時点においてリリースPDF（魚拓）では「原因の解明と再発防止に向け社外の有識者を交えた調査を引き続き行い（以下省略）」とあり、はっきりした原因は解明できていなかったが、2017年1月31日、続報として以下の情報が報道された．魚拓 (公式PDF)株式会社イプサ公式オンラインショップへの不正アクセスに関する調査報告書 (魚拓) 調査報告書を確認したところ、SSI、およ
ionis 2018/08/06
SSI

セキュリティ
リンク
- 2018年8月7日
- 2018年8月6日
- 2018年8月2日