Shibuya.XSS techtalk #11 の発表資料です。
JSでDoSる/ Shibuya.XSS techtalk #11
Shibuya.XSS techtalk #11 の発表資料です。
進化するWeb ~Progressive Web Appsの実装と応用~(de:code2018より)
2018年5月に開催された日本マイクロソフト主催のイベントde:code 2018で「進化するWeb ~Progressive Web Appsの実装と応用~」というセッションを担当しました。 イベントに参加できなかった方に向けてセッションの内容を記事にまとめましたので、ぜひご覧ください。 進化する Web ~ Progressive Web Apps の実装と応用 ~ from Osamu Monoe この記事では、昨今話題に上ることが多いPWAことProgressive Webアプリケーションについて、実際の作り方を解説しながら、それがいったいどういったものであるかを詳(つまび)らかに紹介することを目的としています。 Webでは、「ネイティブアプリと同じことができる」「ネイティブアプリを置き換える」など、期待に胸を膨らませずにいられない浪漫に満ちた噂がありますが、それが本当かどうか記事
Douglas Crockford氏「The Seif Project」~東京Node学園祭2016 基調講演 | gihyo.jp
2016年11月12日、13日の2日間に渡って、東京Node学園祭2016が開催されました。本稿では、13日に行われたDouglas Crockford氏による基調講演についてレポートします。 今回の発表は、彼が進めているオープンソースのプロジェクト「Seif Project」の紹介とその進捗についての話でした。 The Web Webは今や、公開されているアプリケーションの中で最も大切なものとなりました。重要で力のあるサービスはWebを通して全世界のみなさんに公開されています。しかし残念なことに、Webにはいくつかの問題があります。 The Problem その問題は以下のようなものです。 Webアプリケーションの開発は時間がかかり、安全でないアプリケーションも存在すること Webはもともとは文書を検索するシステムであり、アプリケーションを検索するシステムではなかったこと Webには向い
色んなXSS – nootropic.me
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
ActiveXコントロールは死んだ L'eclat des jours(2015-04-04)
_ ActiveXコントロールは死んだ 消費者市場ではフラッシュなどを除けばとっくの昔に死んでいるが、業務用としても死んでいる。 最近、やっとそれが動きが遅いところでも理解されはじめたようだ。と、とあるシステムのアーキテクチャを見て感慨深かった。 死んだ理由はいろいろあるが、一番重要なのは、結局のところマシンとそれを取り巻くパワーの向上によって、JavaScriptがまともな速度で動くようになったこと、ネットワークが速くそこそこ信頼性が向上したことだ。 それにともなって、各種の規格に対する知識が雰囲気として知れ渡って来た(正確に理解している層は最初から正確に理解しているわけだが、そうではなく、なんだかわけがわからないと考えている上に調べる気も知る気も無い層が、なんだかありふれていて普通に手が届くものだという曖昧模糊たるコンセンサスが生じたということ)ことが挙げられる。それが証拠に初心者です
文字コードの脆弱性はこの3年間でどの程度対策されたか?
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
JavaScript.Next Returns
JavaScript : What is it really? AND Some new features in ES6
JSON.stringify/parseは困ったもんだ。 - IT-Walker on hatena
JavaScriptのオブジェクトをJSONに変換する際、必ずと言っていいほど使われるのがjson2.js。 ECMAScript5(JavaScript2)では、json2.jsの実装をほぼ忠実に仕様として再現しており、Firefox3.5やSafari4ではネイティブの実装が利用できます。 例えば、JSオブジェクトをJSON文字列にしたい場合は、JSON.stringify(value, replacer, space)を利用できます。 valueはJSオブジェクト。 replacerは省略可能で、function(key, value)と言うシグネチャの関数オブジェクトを渡します。JS→文字列の変換ルーチンを独自に提供できます。 spaceは、結果の文字列を人間が読みやすくするための、インデントの数を指定します。 その逆に、JSON文字列をJSオブジェクトに復元したい場合は、JSON
String.toJSON(), JSON.stringify(), JSON.parse() の実装比較一覧 - latest log
"あa".toJSON() JSON.stringify("あa") JSON.stringify({"あa": null}) Google Chrome6(dev) "あa" ""\u3042a"" "{"\u3042a":null}" Safari5 not impl ""あa"" "{"あa":null}" Opera10.60β not impl '"あa"' '{"あa":null}' Firefox3.6.3 "あa" ""あa"" "{"あa":null}" IE8 "あa" ""\u3042a"" "{"\u3042a":null}" IE6, IE7 not impl not impl not impl JSON.parse('"あa"') JSON.parse('"\u3042a"') Google Chrome6(dev) "あa" "あa" Safari5 "あa"
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTML5 Security Cheatsheet