Error Messageにおける最もシンプルなXSS回避法 : 404 Blog Not Found
2006年12月02日04:30 カテゴリLightweight Languages Error Messageにおける最もシンプルなXSS回避法 404 Blog Not Found:perl+javascript - はてブと短縮URLのMashupのバグフィックス。 技術メモ帳 - dankogaiさんのアプリのXSS エラーメッセージを出力するときに HTMLエスケープがされてなかった。 見落とすところだった。こういう場合は、TBないしCommentなど、元記事から直接見える形で報告して欲しい。 そもそもtext/htmlとして解釈されているのはおかしいと思ってheaderを見たら、 % HEAD 'http://u.dan.co.jp/r.cgi/<script>alert('easy%20xss');</script>' 500 Internal Server Error Co
「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』,サイト管理者は注意を」---専門家が警告
「Yahoo!メールのウイルスが悪用したのは『XSS脆弱性』,サイト管理者は注意を」---専門家が警告 「『Yahoo!メール』を狙ったウイルスは,同サイトのクロスサイト・スクリプティング(XSS)脆弱性を悪用した。同様の脆弱性は多くのWebサイトに存在する。このウイルスのソース・コードも出回っているので,今後,同様の攻撃が頻発する可能性は高い。Webサイトの管理者や開発者は十分に注意する必要がある」---。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は6月15日,ITproの取材に対して警告した。 Yahoo!メールのウイルスは“単純” 6月12日ごろに確認されて「Yamanner」などと名付けられたウイルスは,米Yahoo!が提供するメール・サービス「Yahoo! Mail(Yahoo!メール)」で感染を広げる(関連記事:Yahoo!メールの脆弱性を突
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
