UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
Error Messageにおける最もシンプルなXSS回避法 : 404 Blog Not Found
2006年12月02日04:30 カテゴリLightweight Languages Error Messageにおける最もシンプルなXSS回避法 404 Blog Not Found:perl+javascript - はてブと短縮URLのMashupのバグフィックス。 技術メモ帳 - dankogaiさんのアプリのXSS エラーメッセージを出力するときに HTMLエスケープがされてなかった。 見落とすところだった。こういう場合は、TBないしCommentなど、元記事から直接見える形で報告して欲しい。 そもそもtext/htmlとして解釈されているのはおかしいと思ってheaderを見たら、 % HEAD 'http://u.dan.co.jp/r.cgi/<script>alert('easy%20xss');</script>' 500 Internal Server Error Co
XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
オープンソースのeラーニングシステムにXSSなどの脆弱性――IPA
オープンソースのeラーニングCMSアプリケーション「ATutor」および「ACollab」において、クロスサイトスクリプティング(XSS)やSQLインジェクションに関する脆弱性が発見された。 情報処理推進機構セキュリティセンター(IPA)およびJPCERTコーディネーションセンター(JPCERT/CC)は7月5日、脆弱性情報サイトJP Vendor Status Notes(JVN)において、オープンソースのeラーニングアプリケーション「ATutor」などに脆弱性があることを明らかにした。この脆弱性を突かれると、情報漏えいやなりすましを許してしまう危険性がある。 脆弱性が発見されたのは、eラーニング用のCMS(コンテンツ管理システム)ATutorおよびATutorのアドオンとして動作するコラボレーションソフト「ACollab」。 ATutorでは、1.5.2以前のバージョンにおいて、クロス
Yahoo!メールの脆弱性を突く“ゼロデイ”ウイルス出現,メールを開くだけで感染
セキュリティ組織の米SANS Instituteなどは現地時間6月12日,米Yahoo!が提供するWebメール・サービスの脆弱性(セキュリティ・ホール)を突いて感染を広げるウイルスが出回っているとして注意を呼びかけた。メール本文を読もうとするだけで感染し,アドレス・リストの情報を盗まれるとともにウイルス・メールを送信させられる。Yahoo!では現在対処中であるとしている。 Yahoo!のWebメール・サービス(Yahoo!メール)には,メールに細工が施されていると,メール本文を開くだけで,添付されたHTMLファイルを勝手に開いてしまう脆弱性が見つかった。HTMLファイルにスクリプト(JavaScript)が含まれている場合には,そのスクリプトも勝手に実行されてしまう。今回のウイルスはこの脆弱性を悪用するもので,HTMLファイルに含まれるスクリプトがウイルスの実体である。なお,今回の脆弱性は
「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』,サイト管理者は注意を」---専門家が警告
「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』,サイト管理者は注意を」---専門家が警告 「『Yahoo!メール』を狙ったウイルスは,同サイトのクロスサイト・スクリプティング(XSS)脆弱性を悪用した。同様の脆弱性は多くのWebサイトに存在する。このウイルスのソース・コードも出回っているので,今後,同様の攻撃が頻発する可能性は高い。Webサイトの管理者や開発者は十分に注意する必要がある」---。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は6月15日,ITproの取材に対して警告した。 Yahoo!メールのウイルスは“単純” 6月12日ごろに確認されて「Yamanner」などと名付けられたウイルスは,米Yahoo!が提供するメール・サービス「Yahoo! Mail(Yahoo!メール)」で感染を広げる(関連記事:Yahoo!メールの脆弱性を突
Cookie(クッキー)
Cookie(クッキー)とは,WebアクセスのときにWebサーバーがユーザーを識別するために使う比較的小さなテキスト・データのこと。米ネットスケープ・コミュニケーションズが自社のWebブラウザ/サーバー・ソフトに実装したのが始まりだ。Webサーバー側でユーザーを識別したいとき,Webページのデータを送受信するのといっしょにCookieもやりとりされる。また,Cookieをやりとりするしくみのことも「Cookie」と呼ぶ。 Cookieには,ネットスケープが作成した仕様のほかにRFC2965がある。ただし,RFC2965はあまり使われていない。ここでは,ネットスケープの仕様について紹介する。 まず,Cookieの使い方を見ていこう。例えば,AさんがあるWebサーバーにユーザー登録したとき,Webサーバーはその応答メッセージに相手がAさんだとわかるようなデータを含ませる。この識別データがCoo
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
日本ブログ協会からのメール関連 - ripjyr's blog
つっこみどころ満載みたいですねw>id:sonodamサメ http://d.hatena.ne.jp/yama_r/20060304/1141407252 脆弱性よりもさ… - 無題ドキュメント 日本ブログ協会の脆弱性について - よくきたはてダ 日本ブログ協会の失態 - 全脳自由帳 徒然"やわらか"Blog日記:日本ブログ協会のお粗末なスタート - livedoor Blog(ブログ) 日本ブログ協会 - 縁側でお茶 さっそくやってくれた。それにはてなブックマークによると、会員に配布していたIDとパスワードはどうやら全員に共通のものであったらしい。そういう人たちが「ブログの普及促進」をやるのか。早く「全部ネタでした」と言ってほしい。 てか、ぉぃぉぃ・・・!
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
