第8回 DOM-based XSS その3 | gihyo.jp
# 第8回 DOM-based XSS その3 前回および前々回で、DOM-based XSSに関する基本的な内容および対策方法の原則について説明しました。今回も引き続きDOM-baed XSSに関する話題を続けますが、これまでに説明した内容より応用的な話題を取り上げます。 一部のタグを許容してHTMLを組み立てる3つの場面 JavaScriptを使用して複雑なHTMLの操作を行うようなWebアプリケーションにおいては、「一部のタグを許容してHTMLを生成する処理をJavaScript上で行う」という場合もあるかもしれません。タグを許容しつつHTMLを生成するという場面は、たいていは以下のいずれかのような状況でしょう。 サーバ側でHTML断片となる文字列を生成し、ブラウザ上でHTML内に流し込む あらかじめ定まった構造のHTMLをJavaScriptにて生成し、その一部にデータを当てはめ
第402回 SystembackでUbuntuをホットバックアップする | gihyo.jp
今回はSystembackというUbuntuで動作するホットバックアップやライブイメージ作成を行うツールを紹介します。 バックアップは大事です 第399回執筆後に筆者のメインPCのHDDが故障しました。その前からHDDの読み書きに異常に時間がかかるようになり、それでも無理して使用していたのですが、突然リードオンリーになってしまいました。いよいよダメだということで新しいHDDを購入し、データをコピーしました。 どうしても読み出せないセクタがあり、いくつかのファイルはコピーできませんでしたが、そのうち甚大な被害となるところだったVirtualBoxのゲストOSになっているWindows 10のスナップショットファイルは、辛くもバックアップがあったのでなんとかなりました。ご存知のとおり、Windows環境の再構築には多大な時間がかかるため、大変助かりました。バックアップは大事です。 図1は、読み
第1回 AWS CLIをインストール | gihyo.jp
はじめに 今インフラエンジニアをやっているんだけど、どうもクラウドとかって最近流行っているらしい。やってはみたいが、ブラウザでいろいろ操作するとなると、覚えなきゃいけないことがたくさんありそうだ。 そもそも、ブラウザでインフラを管理することに対してどうしても違和感を感じている。コマンドラインでの操作のほうがプロっぽくてかっこいいし、何より速い。クラウドに触れていかなきゃいけないのはわかっているけど、何から初めていいかわからない。 けど、ふとこんなものを見つけたんだ。AWS Command Line Interface(CLI)。 AWSをコマンドラインで操作するというなんとも俺好みのツール。 今から俺はこのAWS CLIでクラウドを使いこなしてやるんだという気持ちを忘れないために、やったことを書いて残していくことにした。 AWS CLIのインストール AWS CLIをインストールにはPyt
2014年9月26日号 14.10の開発・“shellshock”とその対応・UWN#384 | gihyo.jp
Ubuntu Weekly Topics 2014年9月26日号14.10の開発・“shellshock”とその対応・UWN#384 14.10のFinal Betaとそれに伴うテスト 14.10の開発は無事にFinal Betaに達し[1]、恒例のテスト要請が行われています。14.10のリリースイメージに何らかのバグがあっては困る場合はテストを、あるいはすでにバグを見つけている場合は速やかな報告が必要なフェーズです。近年はこの時期のリリースであっても一部の例外を除いて比較的安定しているため[2]、「次リリースを体験してみる」意味でも良いタイミングです。 ただし、あくまで開発版であり、リリース版に比べると実施されたQAの分量は少ないため、バックアップや予備機の準備は必須です。 なお、多言語入力回りについてはFcitxのMIRが現状でまだ完了しておらず、Unityへの組み込みが現在もま
第19回 Javaプログラムから外部プロセスを起動するための「Apache Commons Exec」 | gihyo.jp
Apache Commons Execとは Javaプログラムから外部プロセスを実行する一般的な方法としては、標準ライブラリに用意されているjava.lang.ProcessBuilderクラスや、java.lang.Runtime.exec()メソッドがあります。しかしこれらのクラス/メソッドによるサポートは限定的であり、あまり使い勝手が良くないことでも知られています。「Apache Commons Exec」(以下、Commons Exec)は、そのような標準的な方法に変わる外部プロセスの起動手段を提供してくれるオープンソースのライブラリです。特にプロセスに対する適切な入出力処理が、比較的簡単に記述できるようになっている点が大きなメリットです。 Commons Execはこのページよりダウンロードできます。本稿執筆時点での最新版はバージョン1.1です。ダウンロードしたファイルを解凍
第46回 PPAの活用 | gihyo.jp
Ubuntuの開発の中心的サイトであるLaunchpadには、Personal Package Archive(以下PPA)という機能があります。今回はPPAを利用したパッケージの導入と、自作のカスタムパッケージの提供の仕方を紹介します。 PPAとは Ubuntuをはじめ、多くのディストリビューションでは「パッケージ」という単位でソフトウェアを管理しています。Ubuntuの場合はdeb形式のパッケージをaptというツールで管理していますが、こういったパッケージ管理システムが動作しているシステムへソフトウェアを追加する場合は、手動でソースからインストールするのではなくパッケージを利用することが推奨されています。 Ubuntuの開発チームがパッケージを提供しているソフトウェアならばリポジトリからapt-getやSynapticでパッケージをインストールすることができます。ですが独自にパッチを当
第196回 ubuntu-defaults-builderでRemix CDを作る | gihyo.jp
2011年11月16日、Ubuntu Japanese TeamはUbuntu 11.10 日本語Remixをリリースしました。従来の日本語Remixは、本家のUbuntuをベースにJapanese Teamリーダーである小林さんが温もりあふれる手作業で「リミックス」していましたが、11.10の日本語Remixはubuntu-defaults-builderという仕組みを用いて1からビルドされています[1]。ubuntu-defaults-builderとはUbuntu 11.10から提供された、自分好みにカスタマイズしたLive CDを構築するためのスクリプトと、その雛形を提供するパッケージです。 今週のレシピはこのubuntu-defaults-builderを使って、自分好みのRemix CDを作る手順を紹介します。 自分用のRemix CDを作るメリット Ubuntuをインストー
第2回 完全版:ブラウザとデバッグ環境 | gihyo.jp
こんにちは、太田です。前回はクロスブラウザの入口として、各ブラウザの特徴をまとめつつ、実際にクロスブラウザなコードを紹介しました。今回はクロスブラウザ対策における基本である、各ブラウザ環境の構築について解説したいと思います。 前回紹介した通りブラウザにはたくさんの種類・バージョンがあります。それぞれが動作する環境を用意するだけでも、一苦労ではすみません。なるべく少ないマシンで、各バージョンをインストールして、さらにデバッグするための環境作りについて紹介します。なお、Safari以外はWindows環境を想定しています。さらに、特に断りがない限りはWindows XP SP3をベースに解説させていただきます。ご了承ください。 各ブラウザのデバッグ環境は近年目覚しいほどの進化を遂げています。統合デバッグ環境の草分けであるFirebugを筆頭に、Safari/Chrome(WebKit)のWeb
第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp
文字コードが引き起こす問題点は、これまで説明したような比較の一致・不一致といったソフトウェアの処理上のものだけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがあります。 今回および次回で、そのような文字コードが引き起こす視覚的な問題点を紹介します。 視覚的に似た文字 見かけのよく似た文字は、フィッシングなどによく利用されます。典型的な例としては、アルファベット小文字のl(エル)と数字の1などがあります。たとえば、http://bank1.example.jp/ というURLのオンラインバンクがあったとすると、攻撃者は http://bankl.example.jp/ というURLを使ってフィッシングを企むということは容易に想像できると思います。 もちろん、収録している文字数が増えれば増えるだけ、このように見かけのよく似た文字が存在する率も高
![第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
第2回 UTF-7によるクロスサイトスクリプティング攻撃[後編] | gihyo.jp
前回に引き続き、UTF-7によるクロスサイトスクリプティング(XSS)について説明していきます。 UTF-7によるXSSは、攻撃対象のコンテンツの文字エンコーディングが不明瞭な場合に、そのコンテンツを被害者のブラウザ(Internet Explorer)で開いたときに、そのコンテンツの文字エンコーディングがUTF-7であるとIEに誤認させ、「+ADw-script+AD4-」のようなUTF-7の文字列が有効なHTML要素として認識されるために発生します。 そして、「文字エンコーディングが不明瞭」な具体的な状況として、以下のような条件のいずれかに該当するということを前回説明しました。 レスポンスヘッダ、meta要素のどちらでもcharsetが指定されていない charsetにIEが解釈できないエンコーディング名が指定されている meta要素でcharsetを指定しているときに、meta要
第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp
みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「危険な文字列の検出」「安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか(このルールを符号化方式あるいは文字エンコーディングと言います)に注意しなければならないこともあるでしょう。攻撃者は巧みに文字
BK通信 ―Bad Knowhow Tsushin― 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Python 3.0 Hacks | gihyo.jp