noonworksのブックマーク - はてなブックマーク

noonworks id:noonworks

ブックマーク / hasegawa.hatenablog.com (5)

Windowsのエクスプローラーからさくっとファイルのハッシュ値を調べる - 葉っぱ日記
以下の内容を test.reg などのファイル名で保存し、regファイルをダブルクリックしてレジストリに結合する。 Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\*\shell\MD5] @="MD&5をコピー" [HKEY_CLASSES_ROOT\*\shell\MD5\command] @="cmd /c certutil -hashfile \"%1\" MD5|findstr -v \":\"|clip" [HKEY_CLASSES_ROOT\*\shell\SHA1] @="SHA&1をコピー" [HKEY_CLASSES_ROOT\*\shell\SHA1\command] @="cmd /c certutil -hashfile \"%1\" SHA1|findstr -v \":\"|clip"これで、ファ
noonworks 2017/04/07
Windows

tool
リンク
Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記
そのうちもう少しきちんと書きますが、とりあえず時間がないので結論だけ書くと、タイトルが全てでElectronでアプリを書く場合は気合いと根性でXSSを発生させないようにしなければならない。これまでWebアプリケーション上でXSSが存在したとしても、影響範囲はそのWebアプリケーションの中に留まるので、Webアプリケーションの提供側がそれを許容するのであればXSSの存在に目をつむることもできた。しかし、ElectronアプリでDOM-based XSSが一か所でも発生すると、(おそらく)確実に任意コード実行へとつながり、利用者のPCの(そのユーザー権限での)全機能が攻撃者によって利用できる。そのため、Electronでアプリケーションを作成する開発者は気合いと根性でXSSを完全につぶさなければならない。 nodeIntegration:falseやContent-Security-Pol
noonworks 2016/03/08
Electron

セキュリティ
リンク
脆弱性"&'\ Advent Calendar 2014 (17日目) - 葉っぱ日記
この記事は脆弱性"&'<<>\ Advent Calendar 2014の17日目の記事です。今日は少し昔話をしようと思います。がはは。かつて、日本製TwitterのようなWassrというサービスがありました。当時、Twitterは数日に一度くらいはサービスが落ちていて、Twitterユーザーも「またか」と思いながら我慢して使うようなサービスであり、Twitterが落ちるたびにWassrはユーザーを増やすとともに、画像の添付のように当時Twitterにはまだなかった機能をどんどんアグレッシブに取り入れていく、使っていて楽しいサービスでした。さて、そんなWassrがある日絵文字機能を導入しました。当時はUnicode絵文字もなくスマートフォンも普及しておらず、主にレガシーな携帯電話で使える絵文字をなんとかWeb上でも使えるようにしたという感じのものでした。絵文字をパレットから選択すると
$脆弱性"&'\ Advent Calendar 2014 (17日目) - 葉っぱ日記$
noonworks 2014/12/17
何も知らず「{emoji:sushi}実装まだ？」と投稿しただけで"攻撃"なのか、影響を知った2回目以降からが"攻撃"なのか、攻撃の意図の有無が問題なのか。これはサービス側の瑕疵に見えるけどなぁ。

セキュリティ
リンク
私はいかにして様々なブラウザの脆弱性を発見したか - 葉っぱ日記
先日、Twitterでどのように脆弱性を見つけるかに興味あるんだろうかと書いたら、意外に色々な人から反応があったので、これまでに自分が見つけた脆弱性のいくつかについてどういう経緯で見つけたのかちょっと書いてみます。 JVN#89344424: 複数のメールクライアントソフトにおける、添付ファイルによりメールクライアントソフトが使用不能になる脆弱性これは、添付ファイル名にUnicodeの円記号を含めておくと、メーラ側でShift_JISに変換する際にバックスラッシュに変換されてしまって想定外のディレクトリに添付ファイルが展開されてしまったり、あるいは「©on」のような名前のファイルを添付しておくことでShift_JISに変換してCONというファイルを開こうとしてメーラが固まってしまうという問題です。これは、私自身が文字コードの問題について調べ始めた初期段階で、Unicodeからの変換で問題
noonworks 2011/08/01
やっぱり知識が重要なんですよね "すでに存在する様々な脆弱性について原理や攻撃手法をたくさん集めておき、別のソフトウェアに対してそれらを組み合わせることで何か問題を発生させることができないか"

セキュリティ
リンク
ブラウザでJavaScriptが動く時代がやってきた！ - 葉っぱ日記
というわけで、昨日から話題沸騰の Javascript PC Emulator すごいですね。JavaScript で書かれた x86 PC エミュレータ上で Linux 動かして、入ってる tcc 使えばそこそこのソースもコンパイルして動いたり。もとのディスク容量が少ないので、適当な母艦を用意して、こんな感じで新しいディスクイメージ作って、CocProxy や Fiddler の AutoResponder を使って root.bin へのリクエストをローカルのファイルに差し替えてやれば、好きなファイルも入れられますね。というわけで、SpiderMonkey を入れて動かしてみました。ブラウザ内でJavaScriptが動くなんてムネアツですね！手順としては、コンパイルの簡単な SpiderMonkey 1.7 を x86 の32ビットマシンで -static 付きでビルドして、r
noonworks 2011/05/19
タイトル…ww

ネタ

javascript

プログラミング
リンク
1