クロスサイトスクリプティング(XSS)とCSRFの違い早分かり - ockeghem(徳丸浩)の日記
昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく なりすましのようなことが結果としてできる どちらも受動型攻撃である それに対して、もちろん違う点もある。専門家から見れば「似てるも何も、そもそも全然違うものですよ」となるのだろうが、現に混同している人がいるのだから紛らわしい点もあるのだろう。 私思うに、XSSとCSRFの決定的な違いは、以下の点ではないだろうか。 XSSは攻撃スクリプトがブラウザ上で動くが、CSRFはサーバー上で動く このため、XSSでできる悪いことは、すなわちJavaScriptでできることであって、攻撃対象のCookieを盗み出すことが典型例となる。一方、CS
画像ファイルによるクロスサイト・スクリプティング(XSS)傾向と対策
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2007年12月6日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。
クイズ:XSSとCSRFはどこにありますか? - ockeghem's blog
先の日記(XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記)は、仕込んだネタがあたって多くの方に読んでいただいた。細かい内容については、頂戴した批判や反省もあるが、このテーマに対して多くの関心を集めることができたのは良かったと思う。今回も、手を変え品を変えて、XSSとCSRFの違いを説明しよう。ということで、今回はクイズ仕立てにしてみた。 といっても、非常に簡単なクイズだ。 認証を必要とする会員制サイトmaitter.comで、個人情報を入力する画面がある。典型的な、入力(A)-確認(B)-登録(C)という画面遷移(下図)を想定した場合、 XSSが発生しやすい画面を一つあげよ CSRFが発生しやすい画面を一つあげよ というものだ(入力画面は初期入力のみ想定)。エラー時の挙動などは指定されていないので想定しないものとする。 解
一応SIerと呼ばれる会社に就職してるわけだから言及してみようと思う - 404 じゃばてないわー Not Found(一部X-RATED)
http://d.hatena.ne.jp/Yoshiori/20071104/1194171954まず断っておきたいのは、この文章は私の体験に基づいて書いてますので、ひょっとしたら単に私が不幸なだけかもしれません。でもひょっとしたら、業界の中では幸運なほうかもしれません。それくらいによくわからない業界と思ってください。他のあちこちの言及で、こういう職場にきたらさっさと仕事を変えてしまうのも手である、といわれていますが、あえて、「仕事をしていく」という観点で書いていると自分では思っています。下書きとかしないでそのままかいてますから当初の目的とは違っても許してくださいえへへ。あーこわいこわいと思いながら投稿してみます。コンピュータ好きだからIT業界入りたいと思ったとはいえ、どの会社もやることなんてそうそう変わらないだろう、違うとしたら顧客から仕事を請けてカスタムメイドなソフトを設計して実装し
MORI LOG ACADEMY: 再び「すぎ」について
WEB Davinci Last update 20 Jun,2004. WuƂɂ͏cDɊ҂BvԊO WuguKN̍hɕqȕ|͂ǂꂾHvԊO eWB fڎ҂ɂ͒IŐ}v[gI ̃v`i{ 6/5UP cȐ̖{oł�Â錻݁A ̒{ɂ낢{ɏô͂ȂȂނB vĂǎ҂݂̂ȂɁA_EB`ҏW Acホテル東京銀座 東京都 Anaインターコンチネンタルホテル東京 東京都 Bulgari Hotel 東京都 The Aoyama Grand Hotel 東京都 THE GATE HOTEL 東京 by HULIC 東京都 ウェスティンホテル東京 東京都 キンプトン 新宿東京 東京都 グランドプリンスホテル新高輪 東京都 ザ・キタノホテル東京 東京都 ザ・キャピトルホテル東急 東京都 ザ・プリンスギャラリー 東京紀尾井町, ラグジュアリーコレクションホテル 東京都 シェラトン・グランデ・トーキョーベイ・ホ
特集:基礎から理解するデータベースのしくみ - 特集:基礎から理解するデータベースのしくみ:ITpro
「データベースはブラックボックス。どんなSQL文を投げたらどんな結果が返ってくるかさえ知っていればよい」---そう思っている人も多いかもしれません。 しかし,本物のソフトウエア・エンジニアを目指すのであれば,データベースが動く仕組みを学ぶことは避けて通れません。パフォーマンスなどに問題が生じたときどこから手を付けていいのか皆目見当がつかない,といった事態に陥りかねません。 市販のRDBMSの内部はかなり複雑ですが,基本的な部分を理解するのはそれほど難しくありません。この特集でデータベースの動く仕組みを理解してください。 イントロ ●ブラックボックスのままでいいの? 基礎から理解するデータベースのしくみ(1) Part1 ●SQL文はどのように実行されるのか 基礎から理解するデータベースのしくみ(2) 基礎から理解するデータベースのしくみ(3) 基礎から理解するデータベースのしくみ(4) 基
tDiary.org
tDiary 2.2.0(安定版)をリリースしました。 このリリースは約3年半ぶりの新しい安定版系列のリリースになります。これまで、2.1系列として開発を続けて来たものの、正式リリースです。いくつもの新しい機能が含まれています。お楽しみください。 また、旧バージョン(2.0系・2.1系とも)には、新しい脆弱性が発見されています。脆弱性の内容については脆弱性に関する報告(2007-12-16)をご覧下さい。速やかに2.2.0へのアップデートをしてください。 →ダウンロード 2.0から2.2への更新方法と、主な変更内容は以下の通りです。 2.0から2.2への更新方法 本体のパッケージにはdoc/UPGRADEというファイルが含まれています。これを参照してください。いくつかのプラグインファイルの名称変更に伴う非互換に、あらかじめ対応しておく必要があります。 その他は、基本的に上書きするだけで動作
高木浩光@自宅の日記 - 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている, オレオレ警告を無視せよと指示する金融機関が他にも
■ 日立の銀行用ソフトウェアキーボードが利用者の危険を増大させている Internet Explorerの独自機能である「スクリプトによる貼り付け処理」が危険なものであることは、いろいろな場面で何度も言い続けてきた。 Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する, 2001年11月5日 この問題は、Internet Explorer 7 と Windows Vista においてようやくそれなりに一応の解決がなされた。2006年5月13日の日記に書いていたように、「スクリプトによる貼り付け処理の許可」のデフォルト設定は、「ダイアログを表示する」に変更されているのである。 当時、「こんな解決方法じゃ、設定を元に戻させる糞サイトが登場して元の木阿弥にされてしまう」との心配が頭をよぎったが、その懸念が早くも現実のものとなっていた。それも、よりによって、銀
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
100% エアーマンが倒せない Full ver.
【初音ミク】melody...3D PV ver1.50‐ニコニコ動画(SP1)
名前にまつわるライフハックいろいろ
“惨敗”PCメーカーに残された道 / SAFETY JAPAN [大前 研一氏] / 日経BP社
我が家に401Kがやって来た! / SAFETY JAPAN [暮らしに潜むリスクを考える会] / 日経BP社
テキスト変換(笑)