これからのWebセキュリティ フロントエンド編 #seccampなぜ自社でWebアプリケーション脆弱性診断を行うべきなのか。自動と手動の脆弱性診断のやり方、自社でやる意義、予算のかけ方などを紹介しています。 参考文献はこちら:Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術 http://www.shoeisha.co.jp/book/detail/9784798145624 2017年2月6日
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes, and everything else
ECMAScript 6 from an Attacker's Perspective - Breaking Frameworks, Sandboxes, and everything else ECMAScript 6, in short ES6, has been boiling in a copper pot for many years by now and step-by-step, browser vendors come forward to taste the first sips of this mystery soup. So, ES6 is no longer a theoretic language but already crawled across the doorstep and now lurks under your bed, ready for the
パスワードマスクの切り替え機能について考える
徳丸浩さんのブログ記事 COOKPADの「伏せ字にせず入力」ボタンは素晴らしい(blog.tokumaru.org) について。 通常、パスワードの入力欄はコントロール形式(type属性)が password で実装されており、ほとんどのブラウザは入力した値を ● や * などの文字に置換してレンダリングします。これはショルダーハッキング(覗き見)を防ぐためと言われていますが、一方で ひらがなや漢字が入力できず(別の場所からコピペすれば一応入力できますが)、使える文字種が制限される 入力している内容が分からず入力ミスしやすい といった理由から、長い文字列や特殊な記号を織り交ぜるなど安全なパスワードを設定しにくいという問題があり、必ずしもマスクすることが最善というわけでもなさそうです。 徳丸さんも著書体系的に学ぶ 安全なWebアプリケーションの作り方の中で利用者は簡単な(危険な)パスワードを
Permissions API for the Web | Blog | Chrome for Developers
If you've worked with the Geolocation API before, chances are you've wanted to check if you had permission to use Geolocation without causing a prompt. This simply wasn't possible. You had to request the current position and this would indicate the permission state or cause a prompt to be shown to the user. Not all APIs work this way. The Notifications API has its own way of allowing you to check
色んなXSS – nootropic.me
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
ES6時代におけるWeb開発者とセキュリティ業界の乖離
Developers Summit 2015講演資料 新世代「JavaScriptコントロール」が登場 ― 新「Wijmo(ウィジモ)」の実力 ― http://event.shoeisha.jp/devsumi/20150219/session/659/
Content-Security-Policy と nonce の話 - tokuhirom's blog
Content-Security-Policy と nonce の話 Content-Security-Policy の nonce を利用すると、XSS の脅威をかなり軽減できます。 そこで、Web Application Framework ではデフォルトで対応したほうがよいのではないか、という旨を @hasegawayosuke さんから教えて頂いたので、実装について考えてみました。 とりあえず CSP の nonce はどういうものなのかを考慮するために、コード例を探していたのですが、実際に動くサンプルというものが nonce 関連のもので見当たりませんでした。 そこで、実際に動くサンプルを用意しました。 https://github.com/tokuhirom/csp-nonce-sample 以下は Sinatra で書かれたサンプルコードです。 require 'sinatr
ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記
2014-09-27: 該当サイト上にXSSがなくても攻撃可能であることが id:mayuki さんのコメントで判明しましたので全面的に書き直しました。ファイアウォール内であっても攻撃者はファイアウォール内のShellshock攻撃が通用するCGIのURLがわかっているだけで攻撃可能ですので早急に対応が必要です!会社のブログにも書いてますが、ファイアウォール内に置いてあるサーバで攻撃者が直接アクセスできないからといってbashの更新を怠っていると、条件によっては攻撃が可能となります。 条件としては、 そのサーバにはシェルを経由して外部コマンドを起動するCGI等が動いている(通常のShellshockの攻撃と同条件) 攻撃者がそのURLを事前に知っている(あるいは推測可能) となります。 攻撃者は、ユーザーを罠URLへ誘導し、以下のようなJavaScriptを罠ページ上で動かし、攻撃対象のW
ブラウザ内で安全に文字列からDOMを組み立てるためのRickDOMというライブラリを書いた - 葉っぱ日記
RickDOM - ricking DOM elements safety from string https://github.com/hasegawayosuke/rickdom ブラウザ内のDOMParserあるいはcreatHTMLDocument APIを使って不活性なDOMを組み立てたのちに、必要な要素と属性、スタイルだけを切り出して複製しているので、原理的にDOM based XSSの発生を抑えることができます。 使いかたも簡単。 var rickdom = new RickDOM(); var container = document.getElementById( "container" ); var elements; var i; // read allowings property to show default rule // div.textContent =
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
クライアントサイドの巨大なクッキーとサーバーサイドのヘッダーサイズ制限の組み合わせによるDoSについて - デー
もう10年以上前のネタなのですが、いまだに有効だし、最近、セッションを扱っていないならXSSがあってもあまり問題ないという意見を見ることがあるので、サービス提供側として案外面倒なことになる場合がある、という話を書きました。 POCです。 http://www.udp.jp/misc/largecookiedos.html 内容としては、 JavaScriptから巨大なCookieをブラウザに設定できる HTTPサーバーは受け取れるHTTPヘッダーサイズの上限を持っていて、それを超えていた場合にBad Requestを返す 1によって2を超えるサイズのCookieが設定可能な場合がある(たぶんほとんどの場合可能) よってXSSなどによって巨大なCookieを設定されると以降サービスが利用できなくなる というものです。 Cookieの有効期限を何十年も設定されるとユーザー側で勝手に回復すること
そろそろ押さえておきたい AngularJSのセキュリティ
2019/10/16 初心者向けCTFのWeb分野の強化法 CTFのweb分野を勉強しているものの本番でなかなか解けないと悩んでいないでしょうか?そんな悩みを持った方を対象に、私の経験からweb分野の強化法を解説します。 How to strengthen the CTF Web field for beginners !! Although you are studying the CTF web field, are you worried that you can't solve it in production? For those who have such problems, I will explain how to strengthen the web field based on my experience. (study group) https://yahoo-osa
JUGEMブログの改ざんについてまとめてみた - piyolog
GMOペパボ株式会社のブログサービス JUGEMで発生したHP改ざんについてここではまとめます。 現在、 JUGEM閲覧時にウィルスソフトが作動するお問い合わせについて、調査対応を行っております。進捗状況はこちらのお知らせブログにて随時ご報告いたします。http://t.co/v1nAM0QYGf 恐れ入りますが、完了までしばらくお待ちいただきますようお願いいたします。— JUGEMくん (@jugemstaff) 2014, 5月 28 関連記事 不正アクセスを受けマルウェアを配布していたBuffaloダウンロードサイトのホスティング元を調べてみた。 オンラインゲームサイトが不正アクセスを受け、更新ファイルがマルウェアにすり替えられていた件をまとめてみた。 CDNetworksで発生したコンテンツ改ざんと一連のマルウェア感染インシデントを改めてまとめてみた 概要 2014年5月28日、G
Masato Kinugawa Security Blog: CVE-2014-0503: 0x00文字を使ったFlashのセキュリティ制限のバイパス
Flash Playerに存在した、 セキュリティ制限をバイパスすることができた問題について書きます。この問題は2013年11月10日にAdobeに報告し、2014年3月のアップデートで修正されました。 http://helpx.adobe.com/security/products/flash-player/apsb14-08.html These updates resolve a vulnerability that could be used to bypass the same origin policy (CVE-2014-0503). 早速どのような問題だったか書いていきます。 (なお、本問題はFirefoxにインストールしたFlash Playerでしか再現しませんでした。) loader.load() という関数があります。この関数は、画像やSWFなどをSWF上にロードす
テストとセキュリティの葉桜JSに参加してきた
#葉桜JS に参加してきたので記憶メモ。 #葉桜JS – Togetterまとめ (脳内記憶で書いたので、何かと解釈が間違ってる場合があります) #葉桜JS 会場の様子です pic.twitter.com/rIhgaxceHd — azu (@azu_re) April 14, 2014 葉桜JSとは 唐突にネタを持ち寄って食事とかする場所です。 @kyo_agoさんとかが適当に投げた、 それっぽいハッシュタグに反応した人を適当に呼んで開始しました。 kyo_ago Buster.JSはどうなってるのか dwittnerさんがメンテしてる ドキュメントよりの人なので、あんまり機能開発は進んでてない Buster.JSにみたいにSinon.JSが統合されてると、stubの開放処理をミスらない テストコードをASTパースして自動的に開放処理を入れられるか? 非同期処理の時に何時終わったのか分か
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - hasegawayosuke/rickdom: RickDOM is a javascript library to build DOM elements from string safety using DOMParser API or createHTMLDocument API of modern browsers.
http://blog.monoweb.info/blog/2014/07/13/greasemonkey-2-dot-0/
Node.js のセキュリティの話
