XSSを発見した。またはJSダブルクオートのススメ - NullPointer's
もう修正・対策済みなので喋ってしまいますが、自社のサービスにXSS脆弱性を見つけてしまったのです。 サーバサイドは node.js で、テンプレートエンジンは jade(pugjs)。問題のコードを簡略化して書くと以下のようになります。 head script var hoge = { a: '#{param}', b: 'fuga' }; 恐ろしい事に、このparam変数にはURLのクエリストリングの値が入るのです。はい、もう嫌な予感しかしないですね〜 jadeは < > % " をエスケープしますが、シングルクオートはエスケープせず出力されてしまいます。 ということは、以下のようなパラメータを渡すと ' がそのまま出力されてしまうため window.alert が実行されてしまうんじゃないですかねー。 http://localhost:3000/login?param=',x:wind
よみうりきのえね寄席@ホテル久喜 - 立川かしめの“志”
9/22 本日は埼玉県は久喜にて落語会の前座を。 年一回で行われ、数多の先輩方も参加した歴史ある会です。 今年はなんと第14回! 歴史のある会に出演できて光栄です。 本日は新聞社さんの冠もついていたので、目下絶賛稼働中の新聞記事を勉強させていただきました。 言葉は完全に腹に入ったのでセリフは問題ないのですが、どこか二人のキャラクターにまだ違和感が。まだまだ時間がかかりそうです。 落語会のあとはそのまま「割烹きのえね」さんにてお客様と一緒にお食事会。 これがなかなか変わってまして、 こんな感じの記者会見スタイル。 談慶師匠も志の八兄さんも何も悪いことはしていないのですが、なんだか釈明会見みたいです。 本日も勉強させていただきました! ありがとうございました!
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
万願寺唐辛子の鮪詰め焼き - はりねずみの調理室
