LINE Developer Meetup in Fukuoka #16 http://connpass.com/event/38413/
実例に学ぶXSS脆弱性の発見と修正方法/line_dm 16 20160916 how to find and fix xss
LINE Developer Meetup in Fukuoka #16 http://connpass.com/event/38413/
ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記
不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、markedやmarkdown-jsなどの既存の変換用のJSを持ってきてもそれらがXSSしないかを確認するのは結構大変だったりする。 そういった場合には、Markdownから生成されたHTMLをRickDOMを通すことで、万が一HTML内にJavaScriptが含まれていたとしてもそれらを除外し、許可された要素、許可された属性だけで構築された安全なHTMLに再構築することができる。さらに、そうやって生成
見習いバグハンターのセキュリティブログ: Amazon.co.jpにあったXSSの脆弱性が修正されました
2014年11月7日金曜日 Amazon.co.jpにあったXSSの脆弱性が修正されました Amazonの脆弱性を見つけてAmazonギフト券をゲットするという夢がある— らまっこ (@llamakko_cafe) 2014, 10月 17 早速夢を叶えるべくAmazon.co.jpの脆弱性を探すことに。 数分後…。 うける— らまっこ (@llamakko_cafe) 2014, 10月 17 見つけちゃいました。 この間4分。 見つけた脆弱性はXSSです。 以下そのXSSの脆弱性の解説です。 今回は例としてこのURLを使用します。 http://www.amazon.co.jp/%E3%83%A4%E3%82%AC%E3%82%A4-%E3%81%8A%E3%82%84%E3%81%A4%E3%82%AB%E3%83%AB%E3%83%91%E3%82%B9-50%E6%
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法
知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法:HTML5時代の「新しいセキュリティ・エチケット」(3)(1/2 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestによるXSSを解説します。 XHR Level 2によるリモートからのコード挿入によるXSS 従来、XMLHttpRequest(以下、XHR)は、表示しているドキュメントと同じオリジン(オリジンについては第1回を参照)としか通信できませんでしたが、現在の主要なブラウザーではXHR Level 2と呼ばれる実装により、オリジンを超えて通信することが可能になっています。 これは、Jav
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
