第1回外部サイトに貼り付けるJavaScriptの作法―ポリシー、速度、セキュリティ、プライバシー(3) mala 2012-07-04 第1回外部サイトに貼り付けるJavaScriptの作法―ポリシー、速度、セキュリティ、プライバシー(2) mala 2012-07-03
フロントエンドWeb戦略室 記事一覧 | gihyo.jp
第1回外部サイトに貼り付けるJavaScriptの作法―ポリシー、速度、セキュリティ、プライバシー(3) mala 2012-07-04 第1回外部サイトに貼り付けるJavaScriptの作法―ポリシー、速度、セキュリティ、プライバシー(2) mala 2012-07-03
オレ標準JavaScript勉強会 07/24/10 05:17AM, オレ標準JavaScript勉強会 07/24/10 05:17AM os0x on USTREAM. The Web
Not rated yet. You must be logged in to rate this video.
Google's Vulnerability Reward Program - ma<s>atokinugawa's blog
Googleは2010年11月からGoogleのウェブアプリケーションのセキュリティ脆弱性を報告した人に報酬を支払う制度をスタートしました。僕も早速いくつか報告し、以前TwitterでGoogleから$7337頂いたよとつぶやきましたが、あれから新たに$6337の入金があり、今のところこの制度で$13174($1337 × 2 + $1000 × 2 + $500 × 17)を頂いています!ありがとう! 追記 7337+6337=13674なので入金があったのは$13674($1337 × 2 + $1000 × 2 + $500 × 18)でした。合計を間違えてました。足し算難しい!><+$500! 修正されたものは情報を公開してもいいとのことなので、報告した中から多少変わったタイプの脆弱性を3つ紹介しようと思います。 <script>タグのsrcを細工することによるXSS こんなページ
JavascriptのMath.random()でユーザートラッキングができるという話 - kogelab::memo
表題の件について。 地味な話ですが、javascript(というかECMAの仕様)にあるMath.random()には、乱数のシードを与える方法が無いようです。 そんなわけで、われわれ一般市民は各ブラウザが独自に実装している、謎のシードで初期化された謎のアルゴリズムで作られた乱数を通常使うわけですが。 Mozillaからこんなの出てた。 曰く、Math.random()のシードによる初期化は、ブラウジングセッションごとに1度しか行われないと。 で、シードはまあ、かぶる率そんなに高くなさそうなので、そのシードをUSERの(擬似的な)ID代わりにしてしまえば、ユーザーのトラッキングができるよーん、とのこと。 はじめ読んだとき、「おおー、かっけー!」と思ったんですが、ちょっと待て。 シードって外から取れんのか。 というわけで、色々調べたところ、各ブラウザは(多分IEも)線形合同法による擬似乱数を
難読化JavaScriptで利用可能なテクニック
2011/01/18 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 難読化JavaScriptで利用可能なテクニック こんにちは。ネットエージェント株式会社、研究開発部の長谷川です。本年もよろしくお願い致します。今回は、昨年11月に行いました NetAgent Security Contest 2010 の Level7 JavaScript で使用した JavaScript の難読化に関連するトピックスについて書かせていただこうと思います。 ----- 今回の問題は、難読化されたJavaScriptコード中に埋め込まれた未使用変数に代入される文字列が解答となる、というものでした。 JavaScriptの難読化手法については、実際の攻撃コ
P-07AでもJavaScriptが再開され、あらたな制限がみつかった - ockeghem's blog
i-mode2.0は前途多難 - ockeghem(徳丸浩)の日記にて報告したように、ドコモのiモードブラウザ2.0のJavaScript機能が5/28に停止されていたが、本日ケータイアップデートが準備されたので、深夜3時まで待たずに即座にアップデートを実行した。そして、JavaScriptが復活していることを確認した。 iモードブラウザ2.0のJavaScript « mpw.jp管理人のBlogで報告されているように、alert関数や、setRequestHeaderメソッドが無効化されていることを確認した。関数自体は削除されていないのだが、実行しても何もおこらない状態になっている。alertを無効化した理由は理解に苦しむが、setRequestHeaderを無効化したのは、携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性で指摘したような危険性を
SHA256を利用したパスワード生成ブックマークレット
worris' ドメイン名でMD5なパスワードを作るBookmarklet 上記エントリーに触発されてパスワードを自動生成するブックマークレットを作成しました。 javascript: void(new function(){ var b=document.body,f=arguments.callee,s; if(!b)return setTimeout(f,100); s=document.createElement('script'); s.type='text/javascript'; s.charset='utf-8'; s.src='http://juce6ox.googlepages.com/pass.js?true,1,8'; b.appendChild(s) }); 上記コードをクリックすると、ブックマークレットが起動します。 右クリックで保存できます。 ■特徴 サイトの
【Black Hat Japan 2006】JavaScriptでイントラネット内の機器をハッキングするデモを紹介
「JavaScriptを使えば外部からイントラネットへの攻撃が可能になる」。東京で開催されたセキュリティ関連のイベント「Black Hat Japan 2006 Briefings」で2006年10月5日,米WhiteHat Securityの設立者であり,同社の最高技術責任者(CTO)であるJeremiah Grossman氏は,外部からイントラネット内の機器をハッキングするデモを行った。JavaScriptがオンになっていれば,イントラネット内といえどももはや安全ではないことを示すショッキングなデモとなった。 Grossman氏によると,攻撃者がWebページでJavaScriptを動作させるにはいくつかの方法があるという。「Webページのオーナーが意図的にJavaScriptを埋め込む」「クロスサイトスクリプティングのぜい弱性を利用する」「攻撃用のリンクを作成し,電子メールやインスタン
FirefoxのJavaScript実装に脆弱性--迅速な対応が困難な場合も
サンディエゴ発--オープンソースブラウザ「Firefox」について、2人のハッカーが米国時間9月30日午後、JavaScriptの扱いに関する重大な脆弱性があると指摘した。 Mischa Spiegelmock氏とAndrew Wbeelsoi氏は当地で開催されたToorConハッカーカンファレンスで、悪意あるJavaScriptを含むウェブページを作成するだけで、ブラウザを実行しているコンピュータを乗っ取ることができると説明した。この脆弱性は、Windows、Apple ComputerのMac OS X、Linux上のFirefoxに影響するという。 普段はブログ企業SixApartで勤務しているSpiegelmock氏は「Internet Explorerは、誰でも知っているように、あまりセキュアではない。しかしFirefoxも、かなり危険なのだ」と述べ、脆弱性の悪用に必要な攻撃コー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.memetodo.co.cc/2011/06/javascript.html
[whatwg] Cryptographically strong random numbers
TechTarget - Global Network of Information Technology Websites and Contributors
createElement と backgroundColor で IE をクラッシュさせる - IT戦記