タグ

関連タグで絞り込む (2)

タグの絞り込みを解除

Securityとperlに関するpoppenのブックマーク (5)

  • Perlを使って脆弱性を検証する:CodeZine

    はじめに 今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。 対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。 必要な環境 Perl 5.8以上が動作する環境。基動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。 解説内容 ソースコード解説 まず最初にソースコードの解説をします。 xss.pl

  • HTML::StripScriptsでXSS対策をする - Kentaro Kuribayashi's blog

    先日公開した「はて☆すたアンケート」にて、アンケートの説明文をはてな記法で書けるよう、機能追加を行った。その際、Template::Plugin::Hatenaを用いた。これは、はてな記法パーサであるText::Hatena(正確には、そのヴァージョン0.16以下)を、Template::Toolkitのプラグインとして使えるようにしたものである。 はてな記法は、それ自体で全ての文書構造を表現できる、あるいは、はてなダイアリのシステム自体は、はてな記法のみしか許容しないというものではなく、たとえば画像を貼る際には、普通にimg要素を書く必要があるし、また、その他の要素についても、記法が用意されていないものについては、「はてなダイアリーのヘルプ - はてなダイアリー利用可能タグ」に掲載されているものに限り、自分でタグを書くことができる。これは自由度を高める反面で、XSSを誘発し得る潜在的なリ

    HTML::StripScriptsでXSS対策をする - Kentaro Kuribayashi's blog

  • 勝手に添削 - 日経ソフトウェア2007.03 : 404 Blog Not Found

    2007年01月27日16:30 カテゴリLightweight Languages書評/画評/品評 勝手に添削 - 日経ソフトウェア2007.03 以下につられて買ってみた。 日経ソフトウエア 2007年 03月号 TAKESAKO @ Yet another Cybozu Labs: KENTさんとの対談写真が見れるのは日経ソフトウエアだけそして、去年の11月に:: KENT WEB - CGIスクリプト :: で有名な KENT さんと対談させていただいたときの記事が写真つきで載っています。 KENTさんの写真が見れるのは日経ソフトウエア2007.03(1月24日発売)だけです。 404 Blog Not Found:日経ソフトウェア2007年1月号 - perlはどこだ!? - おおもりさんのコメント申し訳ないです。とりあえず3月号をお楽しみに、という感じです。詳しくは竹迫さんに聞

    勝手に添削 - 日経ソフトウェア2007.03 : 404 Blog Not Found
    poppen
    poppen 2007/01/28
    -TでTaint ModeをOnにして、さらに厳しいセキュリティチェック
    リンク

  • dankogaiさんのアプリのXSS - 技術メモ帳

    真のモヒカンの高木さんのブックマークで http://b.hatena.ne.jp/entry/http://blog.livedoor.jp/dankogai/archives/50689915.html HTTPレスポンス分割攻撃の疑いがあると書かれていた。 ためしにやって見ようとしたら、 エラーメッセージを出力するときに HTMLエスケープがされてなかった。副作用副作用。 http://blog.livedoor.jp/dankogai/archives/50689915.html IE / Safari で確認 http://u.dan.co.jp/r.cgi/<script>alert('easy%20xss');</script> Enjoy!! Dan the XSS programmer

  • perl - qq(@{[ Interpolate->any->given('expression') ]}) : 404 Blog Not Found

    2006年05月30日18:05 カテゴリLightweight Languages perl - qq(@{[ Interpolate->any->given('expression') ]}) ミッカッチャッタ:) spiritlooseのはてなダイアリー - 文字列中で式を実行 結果は print "@{[$foo->bar]}"; print "${\$foo->bar}"; こんな感じ。 ただ、このレヴェルのInterpolationは、Securityのことを考えると避けたいのが当のところ。 たとえば、以下のscriptを考えてみる。 danger.cgi #!/usr/local/bin/perl use strict; use warnings; use CGI; $ENV{PATH} = '/bin:/usr/bin:/usr/local/bin'; my $q = C

    perl - qq(@{[ Interpolate->any->given('expression') ]}) : 404 Blog Not Found
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.