おさかなラボ - Perl -Tを持ち上げすぎたかも知れぬ
先日Perlの-Tオプションについて触れたが、誤解のないように補足しておく。taintperlおよび-Tオプション(以下-T)はWebプログラムの脆弱性においてはほとんどの場合無力である。また、-Tは、あんまりにも脆弱なコードに対し、何か悪いことが起きる前に死を以ってそれを訴えるだけの存在であり、普通にプログラムを書いていれば発動することはない。たとえば車でいうエアバッグのような存在だと考えるべきで、脆弱性対策というには程遠い存在だ。 重ねて書くが、-Tは「出自不明のデータによる致命的な動作(意図せぬコマンドの実行やファイルの書換え)をある程度防ぐことができる」だけで、Webにおいての一般的な脆弱性にはほとんど役に立たない。例えば。 #!/usr/bin/perl -T use strict; use CGI qw(:standard); print header, param(
dankogaiさんのアプリのXSS - 技術メモ帳
真のモヒカンの高木さんのブックマークで http://b.hatena.ne.jp/entry/http://blog.livedoor.jp/dankogai/archives/50689915.html HTTPレスポンス分割攻撃の疑いがあると書かれていた。 ためしにやって見ようとしたら、 エラーメッセージを出力するときに HTMLエスケープがされてなかった。副作用副作用。 http://blog.livedoor.jp/dankogai/archives/50689915.html IE / Safari で確認 http://u.dan.co.jp/r.cgi/<script>alert('easy%20xss');</script> Enjoy!! Dan the XSS programmer
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
