Engadget | Technology News & ReviewsMy iPhone 11 is perfectly fine, but the new buttons on the iPhone 16 are compelling
iPhone 向け Twitter アプリ Osfoora for Twitter に XSS 脆弱性 | CONTROL-AK
iPhone 向け Twitter アプリとして僕も常用している Osfoora for Twitter ですが、重大な XSS 脆弱性があることがわかりました。 脆弱性の内容は、「個別の投稿を表示する画面で、HTML 要素がそのまま解釈されて表示される」ということ。本来は HTML タグを投稿中に書いても、何ら意味のない「ただの文字列」として扱われるべき(&大半の Twitter クライアントではそう扱われているはず)なのですが、このアプリでは、個別投稿を表示する画面に限って、意味のある HTML 要素として取り扱われ、任意の JavaScript までもそのまま実行されるようです。 ※JavaScript についてはごく一部しか試していないため、iPhone の環境でどこまで実行されるのか把握はできていません。 実際に試してみました。 まずはこちらの投稿。
XSS (Cross Site Scripting) Cheat Sheet
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
t_komuraの日記 [セキュリティ]Web Application Security Reviews
PHP Everywhere に Web Application Security Reviews という、投稿がありました。 非常に興味深かったので、訳してみました。金融機関で受けた Web アプリケーションのセキュリティチェック項目をまとめたものだそうですが、結構厳しいです。 誤訳などがありましたら指摘していただけますと幸いです。 全ての重要な作業過程において、開発側と検査側を含めなければならない。言い換えると、もし私(開発側)が重要な案件を作成する場合、他の誰か(検査側)の検査と承認を受けなければならない。 取引の活発な団体の全ての取引において、ユニーク ID と(前後の)変更データ、タイムスタンプを保存しなければならない。 PHP または ASP で使用される全てのデータベースのパスワードは暗号化されていなければならない。 もし、Web アプリケーションがインターネットに公開される
![t_komuraの日記 [セキュリティ]Web Application Security Reviews](https://cdn-ak-scissors.b.st-hatena.com/image/square/ae7f4abb7e6442fab45fa96b182f48e5f0527f6b/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127090908787%2F17680117127090918273%2F1556506981)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
