タグ

ブックマーク / bakera.jp (4)

  • 徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記

    更新: 2011年7月9日23時0分頃 とあるシステムで徳丸のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基的には徳丸 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸327ページにあるコード例を参考にして実装。アプリケーションごと

  • 漢は黙ってXSSフィルタ | 水無月ばけらのえび日記

    公開: 2010年2月28日1時10分頃 とあるサイトでXSS脆弱性らしきものを発見。いつもはこんな感じの3段階で脆弱性を確認しています。 「"><s>test」を入れて打ち消し線が出ることを確認する「"><script>alert(document.cookie)</script>」を入れてみる。IE8ではXSSフィルタで蹴られるが、ソース上に<script>が出ていることを確認する (「<script>」という文字列だけ消す、というような処理があるかどうか確認するため)実際にスクリプトが動作することを確認最後に実際にスクリプトの動作を確認するわけですが、IE8ではXSSフィルタを無効にしなければならず、それが非常に面倒くさいです。Firefoxの場合、NoScriptを入れているとやっぱりXSSフィルタが効いてしまいます。というわけで、XSSフィルタのないGoogle Chromeを使

  • CSRF対策は基本? | 水無月ばけらのえび日記

    コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや

  • 7&Yネットショッピングのソースコード、ディレクトリトラバーサルで流出? | 水無月ばけらのえび日記

    公開: 2024年3月2日17時30分頃 「7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出? (slashdot.jp)」だそうで。また丸見え系か……と思って読んでいたら、どうも単なる丸見えではなくて、ディレクトリトラバーサルで抜かれてしまったようですね。 URLに含まれる%c0%aeが'.'の冗長なUTF8表現で、/../と解釈される。 bks.svlとesi.svlに脆弱性があり、来読むべきディレクトリより上の階層のファイルが参照された結果こうなったと思われる。 以上、冗長なUTF8によるディレクトリトラバーサル より 問題の発端は.svnとかのディレクトリ残してた事じゃなくてTomcatのディレクトリトラバーサルの脆弱性じゃないの? それで見えるファイル一覧の中に.svnディレクトリとかが有ったって話だと思う。 以上、なんか誰も書い

  • 1