タグ

xssに関するmiyanamiのブックマーク (8)

  • サービス終了のお知らせ

    平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 件に関するお問い合わせはこちらよりお願いいたします。

  • Admintech.jp参加してきました | 日々是雑記

    内容はブラウザにフォーカスしたものだったので、自分の興味&仕事とかなりマッチしていて大変勉強になりました。

  • 第 13 回 Admintech.jp 勉強会 に行ってきた、懇親会付き « SawanoBlog.

    第 13 回 Admintech.jp 勉強会 というのに行ってきました。 皆様お疲れ様でしたー 参考リンク: Admintesch.jp トップ Admintech.jp 勉強会・セミナー情報 記事書くのは後日にしようかと思ったけど、先延ばし面倒くさいのでさっさと投げることに。 テーマはブラウザ、内容はあまり口外しちゃいかんので、自己に啓発的な感想だけ書いておく。 なんとなく隠しづらいところは丸々カットしてます。 文字コード指定は、影響が出ない範囲でWEBサーバの設定でヘッダに書くようにしておこうと思った。 Apache は text/plain あるいは text/html に限定してデフォルト対応、Content-Type別にも設定できるから、.php やら .cgi にもくっつけれなくもない。色々なコンテキストで有効なディレクティブなので助かる。 IISは…カスタム

  • Admintech.jp に行ってきた - Memo

    Admintech.jp が大阪で開催されるということで参加してきた。 お目当ては、 id:hasegawayosuke さんのセキュリティのお話。 以下勉強会中にとったメモ。 IE に依存した Web アプリケーションセキュリティ (はせがわ ようすけ さん) プレゼンツールは id:amachang の作ったツールを改造した XSS についてのおさらい 対策は HTML 生成時に正しくエスケープするのが基 エスケープしても脆弱な事がある IE の固有の問題点 UTF-7 による脆弱性 ASCII 文字だけで Unicode を表現できる charset が不明瞭なサイトに文字コードを UTF-7 と認識されるとほとんど攻撃が成功 IE が自動的に UTF-7と勝手に判断してくれる 日語が入っている場合、自動では判断されない でも攻撃者が UTF-7 の iframe を経由すると

    Admintech.jp に行ってきた - Memo
  • 第13回Admintech.jp勉強会 - 葉っぱ日記

    第13回Admintech.jp勉強会 を無事開催することができました。参加された皆様、当にありがとうございました。参加者のみなさんがいるからこそ勉強会が成り立っています! 次回も是非ご参加をお願いいたします。 いろいろ内容のメモを書こうと思ったのですが、おそらく各講師の方から発表資料(の抜粋)が後日公開されるのと、id:heavenshell さんが非常にすばらしいまとめを書いてくれていますので、それを見てくださいませ(id:heavenshell さん、ありがとうございます!!) というわけで、私の発表資料を http://utf-8.jp/public/20080927/h6.html?file=data.txt に置いておきます。id:amachang の s6 を改造して、プレゼンデータをHTMLの外に追い出して、テキストファイルにはてな記法に近い形で書けるようにしています(h

    第13回Admintech.jp勉強会 - 葉っぱ日記
  • 第13回Admintech.jp勉強会 - 葉っぱ日記(情報元のブックマーク数) - ripjyr's blog

    へぇーIE8 Beta2はIE6にインストールしちゃーだめなんだ。おぼえておこ。 てか、葉っぱ司会+講師乙! 現状のIE8 beta2は、IE6の環境にインストール可能だけど、それをするとJScriptのエラーが多発して使い物にならないのでインストールしてはいけない(IE7をインストールしてからIE8 beta2を。ってリリースノートに書いてる)。 加えて、XP SP2環境やVista SPなし環境に IE8 beta2 を入れた場合、その後に XP SP3 や Vista SP1 を入れると IE8 beta2 はアンインストールできなくなる(SP導入前の状態には戻せない)。 という2点があるので XP SP2 / IE6 という環境に IE8 beta2 を入れて、その状態で XP SP3 を当ててしまうと IE8 beta2 がアンインストールできなくなって、IE7 も入れられないの

    第13回Admintech.jp勉強会 - 葉っぱ日記(情報元のブックマーク数) - ripjyr's blog
  • Google Code Search のアレな活用法が続々と | 秋元@サイボウズラボ・プログラマー・ブログ

    Googleの一般検索でも、社外秘情報の入ったExcelを検索したらいろいろ出てきた(参考 、 公開Webサーバから機密情報を引き出す「Googleハッキング」の脅威と、その対策)といった話もあるし、つい最近はGoogle Calendarで明らかに公開情報じゃないいろんな人の予定が検索できるという指摘も話題になった。 ということで、昨日リリースされたGoogleコード検索でも、さっそく色々な「ヤバイ」指摘が。 kottke.org では以下のような検索例が 圧縮アプリケーションの暗号生成部分のソース パスワードを埋め込んだブログシステムのソース バッファーオーバーフロー脆弱性がありそうなソース 公開されるべきでない、と書いてあるソース 愚痴ったり、罵ったり、馬鹿にしたりというコメント 有名プログラマーの名前での検索 また、PHPセキュリティといえばこの人の Chris Shiflett

  • PHP と Web アプリケーションのセキュリティについてのメモ

    このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH

  • 1