JavaScriptコードの安全を保つSAST(静的解析)ツール ~ npm-audit, NodeJsScan, LGTM~ - 好奇心の足跡
Python編や、SASTツールとは?についてはこちら kusuwada.hatenablog.com 今回はJavaScriptで使えるSASTツールを紹介します。 npm-audit npm-audit とは 実行 NodeJsScan NodeJsScan とは installと実行 LGTM LGTMとは 登録と実行 参考リンク npm-audit npm-audit とは npm@6で追加された機能。npm install を実行すると自動的に実行され、インストールした node_module に対し既知の脆弱製の有無の確認を実施し、レポートを出力します。レポートには、対処方法に関する情報も含まれています。 また、version-upなどで自動修正可能な場合は npm audit fix コマンドで自動的に脆弱性を修正させることも出来ます。 公式ドキュメントページ 実行 実行は簡
Service Worker スクリプトのインストールと更新処理
Service Worker の実装が主要ブラウザで揃い始めて盛り上がってきましたね。その流れに便乗して久しぶりに Service Worker の仕様や実装に関する記事を書いてみました。今回は Service Worker スクリプトのインストールと更新処理についてです。 この記事は Service Worker スクリプトを少しでも手書きして動かしたことがある人を想定読者にしています。Service Worker について全く知らない人はまず別の入門記事を参照してください。また、細かいことを気にせずに Service Worker を使いたい人は Workbox といったライブラリやフレームワークの利用をおすすめします。 更新履歴 2019/09/24: Chrome 78 から importScripts() も更新対象になりました。それについて加筆しました。 2018/06/07:
5文字で書くJavaScript/ Shibuya.XSS techtalk #10
Shibuya.XSS techtalk #10 の発表資料です。
JavaScript中級者への道【5. コールバック関数】 - Qiita
JavaScript中級者への道【5. コールバック関数】 JavaScriptのつまづきやすそうなところ 関数はオブジェクトの一種 4種類のthis 関数スコープ 非同期関数 コールバック関数 ← いまここ クロージャ プロトタイプ継承 コールバック関数とは 既に「関数の引数に関数が渡せる」ということを学びました。 これを利用して、「ある特定の処理が終わったら、引数に渡した関数の処理を実行する」といったように 処理のフローを制御することが出来ます。(というより、非同期の場合は制御する必要があります) その際、引数に渡される関数のことを「コールバック関数」といいます。 Wikipediaのコールバック (情報工学)を見る限り、同期/非同期関係無く、引数に関数を取る実装を指しているようです。 ですが、JavaScript界隈で「コールバック関数」といえば、非同期処理に関する記事が多く見受けら
引数をとるコールバック関数の実現の仕方 - わからん
以下では、「コールバック関数を引数で受け取る関数」と「引数を持たないコールバック関数」を定義し、呼び出しています。 function f1(callback){ console.log('f1'); callback(); } function f2() { console.log('f2'); } f1(f2); //=> f1 //=> f2 では、「コールバック関数を引数で受け取る関数」に、「引数のあるコールバック関数」を渡すにはどうすればよいでしょうか。 方法1 「コールバック関数を受け取る関数」の定義を、コールバック関数の引数も自身の引数として受け取るように変更します。 function f1(callback, arg1){ console.log('f1'); callback(arg1); } function f2(arg1) { console.log(arg1); }
どのようにして5,000ドルのGoogleマップXSSを発見したか | POSTD
数ヵ月前、私はGoogleマップを、もっと正確に言うとGoogleストリートビューを利用しました。Googleストリートビューは子供の頃に思い描いた未来的なテレポートみたいで、とても気に入っています。私は、普段そうするように、その時もアドレスバーを見ました。2014年のいつ頃からか、パラメータは単なるクエリの文字列ではなくなり、その代わりに感嘆符で区切られた英数字の奇妙な寄せ集めになったようです。 難解で、現在のところ公開されたドキュメンテーションもなく、多くの人々に毎日使用され、リバースエンジニアリングが可能なプロトコル。こういうコードを目の前にすると、私は解読したくてウズウズしてきます。 私はブラウザのWebコンソールも見てみました。AJAX APIへのリクエストが同じようにエンコードされていただけではなく、もしレスポンスの一部が画像だった場合、その他のレスポンスは暗号を用いたバイナリ
JavaScript,jQueryの爆速コーディング、デバッグ方法論の勧め~実践向け逆引き(windows,chrome向け)~ - Qiita
※2017/4/21にオンロード時のデバッグ方法8を追記しました! こんにちは!エイチーム引越し侍の加藤です! みなさんJavaScript書いてますか? console.logめっちゃ使うよねーって人は目からうろこのデバッグ方法を、 ケース毎に紹介していこうと思います。(僕はconsole.log使いません) サーバーにデバッグ用のコードをアップロードすること無いので、 消さずに意図に反してリリースしてしまう危険性がないのもお勧めです。 前提知識 F12で出てくるデベロッパーツール(Elements, Console, Source, Network)の知識 Ctrl+Shift+Fで外部ソース(js,css)に対して一括検索ができる HTML、CSSはElementsから直接修正⇒確認ができる jsはSourceから直接修正できる(Ctrl+Sで保存したらその状態で実行できる) jsは
AnC - vusec
Address Space Layout Randomization Address space layout randomization or ASLR in short is a first line of defense against attackers targeting Internet users. ASLR randomizes the location of an application’s code and data in the virtual address space in order to make it difficult for attackers to leak or manipulate the data or reuse the code in order to compromise the application. Combined with the
第7回 DOM-based XSS その2 | gihyo.jp
前回は、DOM-based XSSの原因と対策についての概略を解説し、DOM-based XSSを引き起こすシンクの事例としてinnerHTMLへのHTMLの代入やlocationオブジェクトへのURLの代入をとりあげました。今回は、innerHTMLやlocationオブジェクトほど頻繁ではないものの、実際にDOM-based XSSの原因として見かけるシンクの代表的なものについて説明します。 document.write/document.writeln~できるだけ使わず、代替手段を利用する DOMのレンダリングを遅延させるなどの理由から、以前に比べるとdocument.writeの使用される頻度は減っていますが、それでもなお広告用のJavaScriptなど一部では根強くdocument.writeが使われています。document.writeやdocument.writelnでは、引
JavaScriptセキュリティの基礎知識 記事一覧 | gihyo.jp
第3回Webセキュリティのおさらい その3 CSRF・オープンリダイレクト・クリックジャッキング はせがわようすけ 2016-07-13
安易なコピー&ペーストによりユーザーに任意のコードを実行させるPoC「Pastejacking」の危険性。
安易なコピー&ペーストによりクリップボードを介してユーザーに任意のコードを実行させるPoC「Pastejacking」が公開され話題になっています。詳細は以下から。 米セキュリティ企業Malwarebytesが「ターミナルへのコピー&ペーストを実行させることで、任意のコードを実行させることの出来る」概念実証「Pastejacking」の危険性を伝えています。 Browsers now allow developers to automatically add content to a user’s clipboard, following certain conditions. Namely, this can only be triggered on browser events. This post details how you can exploit this to trick a
target="_blank"は脆弱性!?【デモページあり】
ふとRedditのWebdev板を見ていたら、ウェブセキュリティについて少し興味深い記事があったのでシェアしたいと思います。 記事のタイトルは「Target=”_blank” — the most underestimated vulnerability ever」。 日本語でいうと「target="_blank" は最も過小評価されている脆弱性」というところでしょうか。 では、順を追って少しずつ見て行きましょう。 【まず target="_blank" とは?】 target="_blank" は他のページへのリンクに利用されるもので、簡単にいうと「新しいタブとかでページで開いてね」という命令です。 例: Yahoo! HTMLタグでいうとこうなっています。 <a href="http://yahoo.co.jp/" target="_blank">Yahoo!</a> つまり、tar
JavaScript初心者を一気に上級者へ導く海外の無料動画ベスト6を一挙公開! - paiza times
どうも、まさとらん(@0310lan)です。 みなさんは、「JavaScript」をどのような方法で学習されているでしょうか? お手軽な方法としては…、 ・書籍やブログ記事を読む ・勉強会・セミナーへ参加する ・友人や先輩に直接聞く ・学習向けのWebサービスを利用する ・etc... などが一般的でしょうか。 今回は、上記のリストに加えて、もう1つ有効な方法である「海外の無料動画」についてご紹介しようと思います! 「どうせ、英語だから…」と、つい敬遠しがちですが、海外ユーザーが作るプログラミング学習動画は、国内に比べて圧倒的に「質」が高いのが特徴です。 なかでも、特に解説が丁寧で理解しやすい動画だけを厳選しましたので、ぜひチェックしてみてください! ■「JavaScript」の基本を徹底的に学ぶ! まずは、JavaScriptを「どのように書いたら良いのか?」を丁寧に教えてくれる動画のご
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Frida入門 for Windows - 株式会社Ninjastars 技術系ブログ
図で理解するJavaScriptのプロトタイプチェーン - Qiita
Node.jsセキュリティ
AngularJS
Yahoo広告配信用 s.yimg.jp ドメインでのXSSの解説
既存のx86/ARM CPUほぼ全てに通用するJavaScript攻撃が発見される ~アドレス空間配置のランダム化を突破
正規表現を複数回実行する際の注意点 - Qiita
