A bug in the Sundown and Redcarpet markdown parsers may lead to XSS
Preface In early February 2015, I reported an XSS vulnerability in HackerOne itself. After some investigation, we determined that the vulnerability was due to a bug in version 3.2.2 of the Redcarpet markdown parser … which was due to a bug in the autolink feature in version 1.16.0 of the Sundown markdown parser that Redcarpet was based off of. In short, text like this: _danlec_@danlec.com … isn't
ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記
不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、markedやmarkdown-jsなどの既存の変換用のJSを持ってきてもそれらがXSSしないかを確認するのは結構大変だったりする。 そういった場合には、Markdownから生成されたHTMLをRickDOMを通すことで、万が一HTML内にJavaScriptが含まれていたとしてもそれらを除外し、許可された要素、許可された属性だけで構築された安全なHTMLに再構築することができる。さらに、そうやって生成
www\.google\.com に存在する文字エンコード切り替えによるSelf-XSS - A602
First published Sat Aug 23 23:57:12 2014 +0900 ; substantive revision Sat Feb 14 12:41:39 2015 +0900 Tags : Security XSS まとめ 密かに細工されたページやGoogleの検索結果画面で、文字化けを直すためにエンコーディングを切り替えるとログインしているGoogleアカウントから情報が漏れる脆弱性がある。 Googleのセキュリティチームは、ユーザーは手動でエンコーディングを切り替えるべきではないと考えているので、この脆弱性は修正されない。 概要 以下のページでエンコーディングをShift_JISに切り替えると www\.google\.co\..* 上でXSSが発動します。 PoC 1: Googleマップのiframe埋め込み http://www.tsg.ne.jp/n
Engadget | Technology News & Reviews
The best of CES 2025Presenting our 12 finalists, plus the winner of our best in show award.
mixiに報告した脆弱性2 - kusano-k’s blog
mixiの脆弱性報告制度(すでに終了している)で報告して、修正された脆弱性。 youbrideの有料機能を無料で使える問題 2014/03/12 報告 2014/03/18 修正完了 2014/03/24 75,000円のAmazonギフトが届いた youbrideはmixiの子会社の株式会社Diverseが運営する婚活サイト。一時、制度の対象だった。 youbrideでは無料ユーザーはプロフィールの公開条件は「全体に公開」しか選べない。 ChromeのDeveloper Toolで他の選択肢を有効にしたら、「全体に公開」以外の公開条件も選べてしまった。 mixiワードのXSS 2014/03/31 報告 2014/03/31 修正完了 2014/04/09 125,000円のAmazonギフトが届いた mixiワードにXSS可能な脆弱性があった。 「猫」には、キャットタワー、キャットフー
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
Masato Kinugawa Security Blog: accounts.google.comに存在したXSS
Googleの脆弱性報酬制度の報酬がアップされましたね! Google、脆弱性情報に支払う報奨金を大幅アップ - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1306/10/news027.html Googleアカウントページに存在するクロスサイトスクリプティング(XSS)の脆弱性情報については3133.7ドルから7500ドル accounts.google.comのXSSは$7,500 だそうです。みつけたいですね! みつけるのはかなり厳しいと思いますが、かつて2つみつけたことがあります。 今日はそのうち1つを紹介したいと思います。 oeパラメータを使ったXSS 2012年12月27日に報告し修正された問題です。 Googleは、一部のサービスで「oe」というクエリパラメータを付加することで、ページの表示に
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://blog.monoweb.info/article/2012021823.html