XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス
メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 本稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下
制約だらけの桃太郎 - ナナオクプリーズ
制約:「桃」「おじいさん」「おばあさん」「犬」「猿」「キジ」「鬼」「きびだんご」「山」「柴刈り」「川」「洗濯」「どんぶらこ」「日本一」「家来」「宝」の使用禁止 昔々、あるところに高齢の男性と高齢の女性が住んでいました。高齢の男性が周囲より標高の高い地形へ剪定作業に、高齢の女性が細長い地形に絶えず水が流れる場所で衣類の汚れを排除していると、上流から大きな学名Amygdalus persicaが大仰な擬音と共に流れてきました。 「こんなに大きなAmygdalus persicaは見たことないわ。これは良いみやげになるわね」 高齢の女性はその時折お尻の隠喩として使われる果物を持ち帰り高齢の男性と二人で割ってみると、中から元気のいい男の子の赤ん坊が飛び出して来ました。子供がいなかった高齢の男性と高齢の女性は大喜び。シロップ漬けの缶詰にすると美味しいそれから生まれた子供だったので、それらしい名前を付
CORS(Cross-Origin Resource Sharing)によるクロスドメイン通信の傾向と対策 | DevelopersIO
CORS(Cross-Origin Resource Sharing)って何? CORS(Cross-Origin Resource Sharing)は、その名の通り、ブラウザがオリジン(HTMLを読み込んだサーバのこと)以外のサーバからデータを取得する仕組みです。各社のブラウザには、クロスドメイン通信を拒否する仕組みが実装されています。これは、クロスサイトスクリプティングを防止するためです。Aというサイトに訪問したのに、Bというサイトに向けて個人情報を送っていたというのは困りますよね。例えば、オリジンから読み込んだHTML内のJavaScriptでJSONデータを読み込むとしましょう。JSONデータが同じサーバにあれば普通に読み込めますが、別のサーバにある場合は読み込めません。まぁ実際のところはJSONPという仕組みを使ってできちゃったりしますが、抜け道的なやり方で使われていました。CO
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2013/11/25/20131123tonara-score-sync/
https://jp.techcrunch.com/2013/11/27/20131126okay-google-voice-search-chrome-extension/
