うごメモはてなのXSS - 素人がプログラミングを勉強していたブログうごメモはてな はてなのXSS脆弱性を発見したのでメモ。 http://ugomemo.hatena.ne.jp/movies?sort="><script>alert("XSS")</script>XSSは、クエリの値に xxx>\"'%0Aと入れて、Firefoxのソース表示でxxxで検索して壊れてる部分を探すとすぐ見つかる。 参考文献: http://d.hatena.ne.jp/xor0x35/20090327/p1
第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp
みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「危険な文字列の検出」「安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか(このルールを符号化方式あるいは文字エンコーディングと言います)に注意しなければならないこともあるでしょう。攻撃者は巧みに文字
![第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
クロスサイトスクリプティングについて - Do You PHP?
以前から多くのWebサイトの「クロスサイトスクリプティング脆弱性」が指摘されていますが、ここではWebサイトや書籍の情報を元に「PHPではどうすりゃいいの?」をまとめてみました。 間違いやご意見がありましたら、ご指摘下さい。また、一部クロスサイトスクリプティングとは違う話になってるかも知れません。。。 クロスサイトスクリプティングとは Webページに入力データをおうむ返しに表示している部分があると,ページ内に悪意のスクリプトが埋め込まれ,それを見たユーザとサーバ自身の両方に被害を及ぼす「クロスサイトスクリプティング」という不正の手口に利用されてしまう(IPAセキュリティセンター(IPA/ISEC)のセキュア・プログラミング講座から引用)こと。 ざっくりな説明をすると、「入力・確認・トランザクションのような画面フローで入力された文字を確認画面でそのまま表示していたりすると、入力画面からJav
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
