[B! 参考資料][xss] jjgg8823のブックマーク

「Content Security Policy」でクロスサイト・スクリプティング攻撃を阻止

「Shutting Down XSS with Content Security Policy」より June 19，2009 posted by Brandon Sterne，Security Program Manager 人気Webサイトの多くは数年前からクロスサイト・スクリプティング（XSS）攻撃に悩まされ，アクセスしてきたユーザーに被害を及ぼしてきた。米モジラは2008年から，XSS攻撃の阻止を目的とする新技術「Content Security Policy」（CSP）の開発に取り組んでいる。当記事でこの技術の背景を簡単に紹介するとともに，これまでの進ちょく状況を説明しよう。 XSS攻撃が実行可能なのは，コンテンツ要求元のWebブラウザ上で，Webサーバーからの応答結果として得られるすべてのコンテンツが同じ権限で扱われるためである。Webページ内にあるJavaScriptとその他

jjgg8823 2010/01/14

リンク

第5回番外編：Black Hat USAレポート | gihyo.jp

世界最大のコンピュータセキュリティカンファレンス Black Hat 今回は少し脱線して、Black Hatというカンファレンスからおもしろいトピックをいくつか紹介したいと思います。 Black Hatはコンピュータセキュリティに関するカンファレンスとしては、世界最大クラスのカンファレンスです。2007年は8月1、2日にラスベガスで開催され、世界中から5,000人以上が参加したそうです。コンピュータセキュリティについて幅広く発表が行われ、その内容はカーネル、ネットワーク、フォレンジック、プライバシー等多岐に渡ります。そうは言ってもこの連載でWebと関係のない話をするわけではなく、Webのセキュリティに焦点を当てて紹介していきます。2004年ごろからWebアプリケーションの話題が多くなっており、今年もApplication Securityという分野で一部屋が取られていました（今年は全部で

jjgg8823 2010/01/11

リンク

T.Teradaの日記 - SessionSafe: Implementing XSS Immune Session Handling

SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、セッションIDが盗まれない当該ページ以外の情報が窃取・改竄されないことを目指しています。面白いなーと思ったので、内容について少し書きます。なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。セッションIDが盗まれない以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け

jjgg8823 2010/01/06

はっきりいって複雑すぎる。

リンク

Security Briefs: SDL Embraces The Web

The SDL also permits a small set of attributes for these elements, but before we get into this, it's more important to discuss validation techniques. One of the most effective techniques for validating user input is to use a regular expression, either through the RegularExpressionValidator control or the Regex class: // ensure the user input matches the form of a US ZIP code if (!Regex.IsMatch(Te

jjgg8823 2010/01/05

リンク

Paper: SessionSafe - Implementing XSS Immune Session Handling

Maddin, 5. März 2007 um 16:46:28 MEZ Paper: SessionSafe - Implementing XSS Immune Session Handling My SessionSafe-paper is online for quite a while now, but I never found the time to write about it. The paper describes three methods that, if used in combination, allow to protect web applications against session hijacking even in situations when a XSS attack already successfully injected malicious

jjgg8823 2009/12/29

リンク

IBM Developer

IBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant techno logies such as generative AI, data science, AI, and open source.

jjgg8823 2008/10/25

リンク

はてなブックマーク

タグ

関連タグで絞り込む (6)

参考資料とxssに関するjjgg8823のブックマーク (6)

お知らせ

今週のはてなブックマーク数ランキング（2024年11月第1週）

月間はてなブックマーク数ランキング（2024年10月）

今週のはてなブックマーク数ランキング（2024年10月第4週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス