[B! security][Atom] lockcoleのブックマーク

lockcole id:lockcole

securityとAtomに関するlockcoleのブックマーク (2)

Atom や RDF を利用したXSS - 葉っぱ日記
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
lockcole 2007/08/04
IE が認識できない Content-Type: 全般に当てはまる脆弱性の問題。UTF-7で記述した文字列を解釈してスクリプトを実行してしまう。

Atom

RSS

security

XML
リンク
Greasemonkey でセキュアな RSS Syndication を実現する Remix - naoyaのはてなダイアリー
What we're talking about is giving Bloglines a quick upgrade and doing it ourselves. That means we're talking Greasemonkey, a Firefox extension that allows you to write scripts that modify the pages you visit. In this case, the modification is going to be decryption. We'll write a Greasemonkey script, securesyndication.user.js that looks for encrypted content and, using the private key we provide,
lockcole 2006/07/24
Blowfishアルゴリズムでフィードの一部のみを暗号化しておき，Greasemonkey等のユーザサイドJavascript環境で復号することでセキュアなフィード配信が可能に。これ，今からでもやる価値ありそうな。フィード以外にブログでも。

Blog

security

Greasemonkey

Javascript

RSS

Atom
リンク
1