-out of date- ブログ版:セブンネットショッピング、今度はXSS脆弱性が発覚!
■[不具合・バグ] セブンネットショッピング、今度はXSS脆弱性が発覚! セブンネットショッピングで、価格誤表記の次はXSS(クロスサイトスクリプティング)が発覚しました。どんだけー 情報元 512 名前:以下、名無しにかわりましてVIPがお送りします[] 投稿日:2009/12/14(月) 17:30:00.51 ID:5bnunGe/0 またみつけた ログインしてないときに有効 ttps://www.7netshopping.jp/esi.svl?start&CID=ESI997&pg_from=%22%3E%3Cscript%3Ealert%28%27XSS%27%29;%3C/script%3E 531 名前:以下、名無しにかわりましてVIPがお送りします[sage] 投稿日:2009/12/14(月) 17:38:40.92 ID:RnnSe6630 >>512 確認した。アウト
PHPについて質問です。 はじめてのプログラミングとしてPHPを勉強しはじめ、 セキュリティ、データベース、PEARについて 本に書かれてることは理解できるように…
PHPについて質問です。 はじめてのプログラミングとしてPHPを勉強しはじめ、 セキュリティ、データベース、PEARについて 本に書かれてることは理解できるようになりましたが、 簡単なカウンターのようなものでさえ思うように作ることができません。 サンプルスクリプトを読んだりして理解はできるのですが、 いざ自分でスクリプトを作ろうとするとそこでばったり手が止まってしまいます。 英語にたとえると、英単語を知っていて、和訳を読むことはできるけど、 英作文は書けないというかんじです。 どうしたら良いのでしょうか? 「自分のしたいことをおおざっぱに分けて、それをさらに分けてみる」とか 「まずHTMLから作ってみる」とか教えていただいたのですが、それらは大変参考になりました。 あるいはZendやSmartyなど不足していることを教えていただいたり、 ほしいスクリプトはこうやって探すと良いなどを教えてい
DNS Rebinding Video ha.ckers.org web application security lab
I decided to throw together a video for those of you who are still having trouble wrapping your heads around DNS Rebinding. It’s my first attempt at making a video so there are zero frills, but if and when I make future videos, I may improve that. Most importantly, hopefully this will help explain the details for those of you who aren’t super clear on the problem: And yes, Raf and JJ - I wore the
年末に向け新たなウイルス「ガンプラー」が猛威─おかあさんは注意を - bogusnews
クリスマスや正月の声も聞こえはじめた昨今、新たに悪質なコンピューターウイルスが流行をはじめた。ウイルス対策ソフトベンダー各社は 「奥さんやおかあさんは、財布のひもをしっかりしめておくように」 と注意を呼びかけている。 急速に流行拡大しているのは、新種ウイルスの 「ガンプラー」 だ。同ウイルスは、大手玩具メーカーやEC企業のウェブサイトを介し、閲覧した利用者のこころのセキュリティホールを衝いて感染する新型。ひとたび感染すると、 「ガンプラをショッピングカートに入れて買いまくってしまう」 というから恐ろしい。 被害事例は多数報告されており、 小学生が母親のクレジットカードを使ってマスターグレードを大人買いしてしまう 会社員男性が奥さんのクリスマスプレゼントにあてるはずだった金でジムスナイパーを買ってしまう など枚挙に事欠かない。 ガンプラーに詳しいカトキスキーラボの主任研究員であるケロロ・グン
第10回 文字コードが引き起こす表示上の問題点[後編] | gihyo.jp
前回は、文字コードの引き起こす問題がソフトウェアの処理上だけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがある、という点について説明しました。今回も前回に引き続き、そのような文字コードが引き起こす視覚的な問題点について説明します。 拡張子の偽装 Unicodeを利用したWindowsにおける拡張子の偽装は、文字コードを利用した視覚的な攻撃の中でも特にインパクトの大きいものだと思います。 Unicodeには多数の文字に加え、さまざまな制御も収録されています。そのような制御コードのうち、U+202E「RIGHT-TO-LEFT OVERRIDE」(RLO)と呼ばれる文字をファイル名に含めることで、見かけ上の拡張子を簡単に偽装することができます。 たとえば、copy-txt.exeという名前の実行可能ファイルがあったとします。 図1 copy
![第10回 文字コードが引き起こす表示上の問題点[後編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
かんたんログインのDNS Rebinding攻撃
iモードブラウザ2.0とかんたんログインの組み合わせに対するDNS Rebinding攻撃のシナリオ説明ですRead less
N906iL ホームU網はどうなっているのか - こぁびぃるぅだぁ うぇぶろぐ
NTT docomoという会社はネットワークに関する技術的な資料を公開しないようだ。 かなり探したが、まるで見つからない...iアプリなどの仕様は公開されているのだが。 NTT東西がフレッツなどに関してかなりコアな技術資料を公開しているのとは雲泥の違いだ。 ホントに同じグループ会社なんだろうか。 で、どのように繋がっているのか気になったのでWAN側をキャプチャしてみた。 宅内のRouterからは単純にmoperaに対してPPPoE接続している事が分かる。 宅内のRouterはいわゆるホームU対応ルータではなく、ひかり電話対応のRT-200NEなので、宅内Routerが特殊な事をしているわけも無く、当然のキャプチャ内容であった。 で、網としては以下のようになっていると考えられる。 WLAN端末(N906iL) --- Router(AP) --- ONU --- (NTT地域IP網
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/11/djbdns_and_anti-dns_pinning.php