属性値のXXE攻撃 - teracc’s blog
以前、属性値でのXXE(Xml eXternal Entity)攻撃を試したのですが、やり方がよく判りませんでした。 最近また試してみて、属性値での攻撃方法が判ったので日記に書いてみます。 Servletプログラム 以下のようなJava Servletプログラムをサーバに置きます。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class AttrTest1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRes
そのXHTML文書にXML宣言は本当に必要か? – ofujimiki.jp
最近「XHTML文書にはXML宣言を入れることが強く推奨されているので入れるべきだ」というような意見を何度か目にしました。しかし、その説明の中で、メディア・タイプ(「text/html」や「application/xhtml+xml」など)については触れられていませんでしたので、ちょっと補足しておきたいと思います。 XHTML1.0の仕様書では、確かにXML宣言をつけることが強く推奨されており、具体的には次のように書かれています。 An XML declaration is not required in all XML documents; however XHTML document authors are strongly encouraged to use XML declarations in all their documents. しかし、ここで言うXHTML文書とは、仕様書
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
オンラインマニュアル ページ移転のお知らせ:ミドルウェア:ソフトウェア:日立
日立オープンミドルウェアは、お客様の既存の財産を生かしながら、高い信頼性と柔軟性、自律性を備えたITシステムの実現を支えています。
struts2 共通エラー画面 - cowbell @ ウィキ
<!-- エラーアクション時の遷移先指定 --> <global-results> <result name="error" type="chain">ErrorAction</result> </global-results> <!-- 例外とエラーアクションをマッピング --> <global-exception-mapping> <exception-mapping result="error" exception="java.lang.Exception" /> </global-exception-mapping> <!-- エラー画面のアクション定義 --> <action name="ErrorAction" class="jp.co.hogehoge.ErrorInfoAction" method="doInit"> <result name="input">error.j
Apache Commons Lang – StringEscapeUtils(HTML / XML) | TK Factory
引き続き、StringEscapeUtilsクラスの説明です。 今回は、HTMLとXMLの文字列のエスケープ・アンエスケープについてです。 escapeHtml public static java.lang.String escapeHtml(java.lang.String str) HTML特殊文字にエスケープします。 日本語も「あいうえお」⇒「あいうえお」のようにエスケープされてしまいます。 パラメータ: str – エスケープする文字列 戻り値: エスケープされた文字列 StringEscapeUtils.escapeHtml("\"bread\" & \"butter\"") = ""bread" & "butter"" escapeHtml public static void escapeHtml(java.io.Writer
Struts2を使ってみる
ログイン編 WEB画面でよく必要となるのはログイン機能です。本章では、ログイン画面とログイン後のセッション管理を実現する方法について説明します。 struts.xmlの作成 struts.xmlに以下の記述をします。 <?xml version="1.0"?> <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN" "http://struts.apache.org/dtds/struts-2.0.dtd"> <struts> <constant name="struts.ui.theme" value="simple" /> <constant name="struts.configuration.xml.reload" value="true" /> <const
統合開発環境でWebサービスを作る
「Webサービス」という言葉は、ほとんどのIT技術者が知る単語になりました。しかし、「Webサービスって何?」と聞くとさまざまな答えが返ってきます。これはWebサービスが多くの技術要素で成り立ち、さまざまな使い方があり、適用範囲が広いためです。そこで、この連載では、この広大なWebサービスの世界すべてを知るのではなく、最も基本となる技術を実際にプログラムを作りながら身に付けていただこうと思います。「SOAPとは何か?」「WSDLとは何か?」など、実際に自分のPCで操作し、動かしながら理解していくことにしましょう。 樋口研究室とは? トレンドの追っかけから、技術検証まで、コンピュータに関するあらゆる分野でただ知的好奇心を満たすためだけに研究に没頭する技術集団。メンバーが運営するホームページ(以下のURL)もある。http://www.ibm.com/jp/software/websphere
XMLをParseするアプリのセキュリティ(補足編) - teracc’s blog
以前の日記では、外部からのXMLをサーバサイドでParseするアプリへの攻撃の概要について書きました。 今日の日記では、何点か補足する事項について書きます。 ファイルの内容を盗み出す他の方法 前の日記の中で、サーバ上のファイルの内容を外部から盗み出すにはいくつかの条件があると書きました。 その条件のひとつに「コーディングのスタイル」がある、具体的には「textContent」で要素の内容を取得するアプリ(下のPHPコードではAのスタイルのアプリ)でのみ、サーバ上のファイルの内容を盗まれる可能性がある、と書きました。 <?php ... $elm = $doc->getElementsByTagName('test')->item(0); // A: 外部実体参照が展開される $var = $elm->textContent; // B: 外部実体参照は展開されない $var = $elm-
Office + XML 操作手順
この解説文は、以前、XMLの入門書用に執筆したものの、ページ数等の関係でXSLTを優先せざるをえなかったため、机の引出しに眠っていたものです。現在でも、十分に役立つと思われますので、公開しました。 書籍用に執筆したものですので、図版は、グレースケールになっています。 Microsoft Office System2003(以下Office2003と略す)では,XML関連の機能が強化されています.各アプリケーションの文書をXML形式でやりとりすることで,アプリケーションごとにバラバラで管理されていた情報の一元管理を行うことができるようになりました.ここ数年,XMLはデータ交換手段として広く使われるようになってきましたが,バックエンドのサーバ間でのやりとりに使用されるのがメインで,デスクトップアプリケーションでXMLが利用される場面は,今なおまだ少ないように思われます. これらデスクトップアプ
XMLドキュメントコメントに関するメモ - 廻る技術の覗き穴
XMLドキュメントコメントを真面目に書こうと思って調査したので、メモとして残しておきます。 XMLドキュメントコメントの書き方 まず、基本的なXMLドキュメントコメントの書き方はMSDNで。 XML ドキュメント コメント (C# プログラミング ガイド) ドキュメント コメント用の推奨タグ (C# プログラミング ガイド) Sandcastle 生成されたXMLドキュメントからヘルプファイルを作るツールは、Sandcastleがメジャーですね。 【ハウツー】SandcastleでXMLドキュメントコメントからヘルプを生成する - ヘルプ生成編 (1) ヘルプの種類とヘルプコンパイラの入手 | エンタープライズ | マイナビニュース ツールを使ったドキュメント作成技法(前編) − @IT Sandcastleのローカライズ Sandcastleの日本語化は、現在のところ以下のものが最新でし
ITmedia エンタープライズ:第3回 XML::SimpleであらゆるXML文書を料理する (1/2)
第3回 XML::SimpleであらゆるXML文書を料理する:作って学ぶ、今どきのWebサービス(1/2 ページ) RSSにおけるXML::RSSのように、専用のモジュールがある場合にはそれを使えばよいのですが、そうでない場合は汎用のXMLパーサーモジュールを使ってパースすることになります。今回は、XML::Simpleを使ってあらゆるXML文書を料理できるようにしてみます。 前回まででXML::RSSによるRSSの料理方法は分かったとして、ではRSS以外のXML文書を料理する場合にはどうしたらよいのでしょう? RSSにおけるXML::RSSのように、専用のモジュールがある場合にはそれを使えばよいのですが、そうでない場合は汎用のXMLパーサーモジュール*を使ってパースすることになります。 XML文書からPerlのデータ構造を作るXML::Simple Perlの代表的なXMLパーサーである
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
トップページ
Vim-users.jp - Hack #96: あらゆる言語に対してキーワードの補完を有効にする