タグ

2013年11月29日のブックマーク (5件)

  • XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス

    メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、 稿では、「空前のメールアドレスのルールブーム(?)」に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。 まず、攻撃対象として、以下

    XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス
    tiadeen2
    tiadeen2 2013/11/29
    あぁ、XSSの箇所は「echo "ログイン成功です(id:$id)";」のとこか。$idがバリデーション通ったからといって裸でechoしたらアカンね。
  • 制約だらけの桃太郎 - ナナオクプリーズ

    制約:「桃」「おじいさん」「おばあさん」「犬」「猿」「キジ」「鬼」「きびだんご」「山」「柴刈り」「川」「洗濯」「どんぶらこ」「日一」「家来」「宝」の使用禁止 昔々、あるところに高齢の男性と高齢の女性が住んでいました。高齢の男性が周囲より標高の高い地形へ剪定作業に、高齢の女性が細長い地形に絶えず水が流れる場所で衣類の汚れを排除していると、上流から大きな学名Amygdalus persicaが大仰な擬音と共に流れてきました。 「こんなに大きなAmygdalus persicaは見たことないわ。これは良いみやげになるわね」 高齢の女性はその時折お尻の隠喩として使われる果物を持ち帰り高齢の男性と二人で割ってみると、中から元気のいい男の子の赤ん坊が飛び出して来ました。子供がいなかった高齢の男性と高齢の女性は大喜び。シロップ漬けの缶詰にすると美味しいそれから生まれた子供だったので、それらしい名前を付

    制約だらけの桃太郎 - ナナオクプリーズ
    tiadeen2
    tiadeen2 2013/11/29
    あとで音声合成ソフトに読み聞かせさせていただく。
  • https://jp.techcrunch.com/2013/11/25/20131123tonara-score-sync/

    https://jp.techcrunch.com/2013/11/25/20131123tonara-score-sync/
    tiadeen2
    tiadeen2 2013/11/29
    自動楽譜めくりの際に「コンピューターが生演奏あるいは録音された音楽を理解」して適切なタイミングでめくってくれるアプリらしい!すごいなー。
  • CORS(Cross-Origin Resource Sharing)によるクロスドメイン通信の傾向と対策 | DevelopersIO

    CORS(Cross-Origin Resource Sharing)って何? CORS(Cross-Origin Resource Sharing)は、その名の通り、ブラウザがオリジン(HTMLを読み込んだサーバのこと)以外のサーバからデータを取得する仕組みです。各社のブラウザには、クロスドメイン通信を拒否する仕組みが実装されています。これは、クロスサイトスクリプティングを防止するためです。Aというサイトに訪問したのに、Bというサイトに向けて個人情報を送っていたというのは困りますよね。例えば、オリジンから読み込んだHTML内のJavaScriptでJSONデータを読み込むとしましょう。JSONデータが同じサーバにあれば普通に読み込めますが、別のサーバにある場合は読み込めません。まぁ実際のところはJSONPという仕組みを使ってできちゃったりしますが、抜け道的なやり方で使われていました。CO

    tiadeen2
    tiadeen2 2013/11/29
    EC2とS3はクロスドメインになるので従来はJSONPを使う他なかったが、CORS設定があれば普通のJSON呼び出しをダイレクトにアクセスできるそうな。分かりやすい!
  • https://jp.techcrunch.com/2013/11/27/20131126okay-google-voice-search-chrome-extension/

    https://jp.techcrunch.com/2013/11/27/20131126okay-google-voice-search-chrome-extension/
    tiadeen2
    tiadeen2 2013/11/29
    「たとえば料理をしていて手が汚れている、あるいは手が離せないとき」検索窓に声で入力したとしてどうやって結果後のリンクを見るの?