Clickjacking Details ha.ckers.org web applicati...
Today is the day we can finally start talking about clickjacking. This is just meant to be a quick post that you can use as a reference sheet. It is not a thorough advisory of every site/vendor/plugin that is vulnerable - there are far too many to count. Jeremiah and I got the final word today that it was fine to start talking about this due to the click jacking PoC against Flash that was released
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
カテゴリ: ルート [2] - セキュアコーディング勉強会 - OSDN
オープンソース・ソフトウェアの開発とダウンロード ログインアカウント作成ヘルプ MY OSDNソフトウェアを探すMagazine開発コピペ OSDN > ソフトウェアを探す > セキュアコーディング勉強会 > 文書セキュアコーディング勉強会 カテゴリ: ルート [2] カテゴリ(タグ)ツリー ルート ルートカテゴリの文書一覧presentationルートには日本語の文書がありません サイト情報 サイトアナウンスOSDNについて人材採用プライバシー広告事業者のポリシーサイトスポンサー ソフトウェアを探す 検索カテゴリで探すダウンロードランキングプロジェクトランキング ライセンス購入 ソフトウェアを作る プロジェクト作成最新動向新規登録プロジェクト作業部屋マップAPI コミュニティ OSDN Magazine on Twitter OSDN Magazine on Facebook OSDN
![カテゴリ: ルート [2] - セキュアコーディング勉強会 - OSDN](https://cdn-ak-scissors.b.st-hatena.com/image/square/9c2ebf173a14936bee9f11563486ea37251c92c3/height=288;version=1;width=512/https%3A%2F%2Fstatic-cdn.osdn.net%2FOSDN_icon_125x125.png){kind=icon}
http://wizardbible.org/40/40.txt
[-]=======================================================================[-] Wizard Bible vol.40 (2008,4,17) [-]=======================================================================[-] x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ---- 第0章:目次 --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
http://wizardbible.org/38/38.txt
[-]=======================================================================[-] Wizard Bible vol.38 (2008,1,14) [-]=======================================================================[-] x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ---- 第0章:目次 --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx
ヌルい勉強会に参加してきた - 葉っぱ日記
ヌルい勉強会(仮称)に参加してきました。参加したみなさま、電車が遅延してるなかお疲れ様でした。首謀者の mincemaker さん、大赤字でご苦労様でした。次回は特定個人に負担がかかりすぎないようにもうちょっと考えましょう。 セキュリティホール memo につながらない件がすかさずネタになっていたり、ドキドキするのに合わせて初音ミクがネギを振り回したりと、非常に楽しかったです。 とりあえず、私のプレゼンをあげときます。 http://openmya.hacker.jp/hasegawa/public/20071107/s6/h6.html?file=data.txt なんだか攻撃者指向なプレゼンで申し訳ないです…。あと、最後のページは SEO(Sekoi Ego Optimize)してますので、検索結果は適当です。 id:amachang さんのS6 を初めてつかってみたんですけど、あまり
外部から渡されたエスケープ済みテキストを安全に表示する方法 - WebOS Goodies
WebOS Goodies へようこそ! WebOS はインターネットの未来形。あらゆる Web サイトが繋がり、共有し、協力して創り上げる、ひとつの巨大な情報システムです。そこでは、あらゆる情報がネットワーク上に蓄積され、我々はいつでも、どこからでも、多彩なデバイスを使ってそれらにアクセスできます。 WebOS Goodies は、さまざまな情報提供やツール開発を通して、そんな世界の実現に少しでも貢献するべく活動していきます。 本日は、codeなにがしウィジェットを作る過程で思いついた、ちょっとしたネタをご紹介。外部から API などで取得したテキストを安全に自サイトで表示するための Tips です。 codeなにがし API のレスポンスに含まれるデータは、ほとんどが HTML エスケープされた状態で渡されます。ですので、基本的にはそのまま HTML に挿入できます。これはこれで便利な
http://wizardbible.org/36/36.txt
[-]=======================================================================[-] Wizard Bible vol.36 (2007,9,19) [-]=======================================================================[-] x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ---- 第0章:目次 --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx
hoshikuzu | star_dust の書斎 - 2007-09-18 IEではHTMLのコメントにスタイルを付加できるらしい
バージョン Firefoxの1.508ぐらいの古いもので考えてみました。 background:url("javascript:ほえほえ") background:url("javascript:ほえほえ");Firefoxでは上記のようなスタイル記述をほどこしたbody要素内の各要素で、ほえほえを安易に書いたときに、documentオブジェクトには手が出せません。つまりcookieを単純に盗み出すことが出来ないのかもしれません。権限がないというエラーメッセージが出るのです。また、JavaScriptの組み込み関数も利用できません。alert()とか。XSSされにくい感じです。windowオブジェクトにも制限がかかっているかもしれません。 でもでもでも locationオブジェクトそのものに値を設定はできます。 location="attacker.example.com";これでURLの
snippets from shinichitomita’s journal - AOL WebAIM APIを注目すべき5つの理由
AOL OpenAuthがすごいとか、JSONPによる認証だとか騒いでたけど、もう去年の11月にAOL Web AIM APIが公開されていたということについて、なんで気づいてなかったのか。一年近くもこれを正当に評価してこなかったことは、恥ずべきことだ。 Web AIM APIは、以下の理由で画期的、あるいはちょっとネガティブな側から見れば問題児なAPIである。そして、これからWebサービスAPIを設計/開発する人、およびWebのセキュリティを考える人にとっては、少なくとも現在こういったWebサービスの実装が存在していることについては、ちゃんと注視しておかなければならない。 1. サーバレスでメッセンジャーアプリを構築できる これがとりあず一番目に重要なポイント。これはAPIリクエストとしてJSONP形式のバインディング(運搬方法)を採用していることによる。サーバレスでアプリが作れることの
RestTest(post,getのテスト)
Kris Zyp now works for SitePen , an extremely forward-thinking company who has enabled Kris to continue developing next generation web technologies. Kris Zyp blogs on JSON here , Comet here , Open Web and SitePen backed development here , and various other topics here . Xucia is an software development company that encompasses a number Kris Zyp's open source software projects including Persevere ,
SHA-1 Cracking On A Budget - Slashdot
Posted by Zonk on Saturday September 01, 2007 @06:27AM from the putting-the-pieces-together dept. cloude-pottier writes "An enterprising individual went on eBay and found boards with more than half a dozen Virtex II Pro FPGAs, nursed them back to life and build a SHA-1 cracker with two of the boards. This is an excellent example of recycling, as these were originally a part of a Thompson Grass Val
ハッカージャパンブログ BlackHat・DEFCONの日本語レポート まとめ
ども編集Sです。暑くて溶けそうな日が続いていますが、みなさんいかがお過ごしでしょうか? 編集0がセキュリティ・キャンプの取材に行っていることもあり、ここ数日は、ネタ集めと称してネット徘徊に勤しんでおります。 7月末~8月初旬にかけて米国ラスベガスで開催されたBlack Hat・DEFCONの情報もあがってきているようなので、ここでまとめておきます。 ●BlackHat ・Black Hat USA 2007:閉幕レポート(Open Tech Press 原文:Linux.com) ・Black Hat USA 2007 - 過去最大規模でBriefings開幕、話題の講演が目白押し(マイコミジャーナル) ・Black Hat USA 2007 - 外部からイントラネット内を攻撃 - JavaScriptなしで再現(マイコミジャーナル) ・Black Hat USA 2007 - ホットスポ
http://wizardbible.org/35/35.txt
[-]=======================================================================[-] Wizard Bible vol.35 (2007,8,14) [-]=======================================================================[-] x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0x ---- 第0章:目次 --- x0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx0xx0xXx
DNS Rebinding
Protecting Browsers from DNS Rebinding Attacks DNS rebinding attacks subvert the same-origin policy and convert browsers into open network proxies. These attacks can circumvent firewalls to access internal documents and services require less than $100 to temporarily hijack 100,000 IP addresses for sending spam and defrauding pay-per-click advertisers For information about defenses, please read our
TAKESAKO @ Yet another Cybozu Labs: LL魂お疲れ様でした[LLSpirit]
LL魂、参加されたみなさんお疲れ様でした。みなさんのお陰で無事イベントを終了することができました。ありがとうございました。 前半の20枚だけですが、Flickrに写真をアップロードしました。 詳しい感想はのちほど。いろいろ新しい刺激を受けました。 とりいそぎ、Lightning Talksの発表資料(※画像はイメージでしたバージョン)を公開します。 イメージファイト! - 画像に埋め込まれたPHP・XSS攻撃コードと戦う5つの方法 - 11 竹迫良範(Shibuya Perl Mongers) http://wafful.org/mod_imagefight/ImageFight-LL2007.ppt 先日、PHPの攻撃コードが隠された画像ファイルが、大手ホスティングサイトで発見されたとの報道がなされました。GIF,PNG,JPEG,BMP形式の画像ファイルには、PHPのRFI攻撃で使用さ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
maxkiesler.com
Purchase Intent Data for Enterprise Tech Sales and Marketing | TechTarget
Checksecurity Configuration