タグ

関連タグで絞り込む (9)

タグの絞り込みを解除

securityとieに関するtsukkeeのブックマーク (15)

  • 教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT

    XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用

    教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT

  • [柔軟すぎる]IEのCSS解釈で起こるXSS

    [柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、

    [柔軟すぎる]IEのCSS解釈で起こるXSS

  • [無視できない]IEのContent-Type無視

    [無視できない]IEのContent-Type無視:教科書に載らないWebアプリケーションセキュリティ(2)(1/2 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 無視できないIEの「Content-Type無視」問題 皆さんこんにちは、はせがわようすけです。 第2回では、Internet Explorer(以下、IE)の仕様でも特に悪名高い「Content-Type無視」について説明します。 IEのContent-Type無視問題は非常に複雑で、私自身も完全に説明できる自信はないのですが、それでもセキュアなWebアプリケーションを開発するうえで避けては通れない問題ですので、取り上げることにしました。

    [無視できない]IEのContent-Type無視

  • Amigomr の徒然日記 : Secunia の 2007 年版レポート

    ソフトウェアセキュリティ研究会社の Secunia が、昨年のソフトウェアのセキュリティ状況の要約を発表した(レポート - PDF [1.66 MB])。このレポートについては Mozilla Links (日語版。1/19 夜追記)にまとめられているが、訳すのは他の方にお任せし、私は自由にレポートを見て紹介してみたい。 Secunia のレポートでブラウザについて述べられているのは 20 ページ目(PDF ファイル全体のページ数で、それぞれのページに付されたページ数ではない。以下、同様)からである。「Web Browser Vulnerabilities」と題された章がそれである。ここでは、広く使われている IE、Safari、Opera、Firefox が対象とされている。 Figure 5 を見て分かるとおり、Secunia が最も多く脆弱性を報告したブラウザは、Firefox (

  • Mozilla Links 日本語版: Secunia 2007レポートに見るウェブブラウザのセキュリティ

    原文:Secunia 2007 report on web browsers security by Percy Cabello -- January 17, 2008 ソフトウェアセキュリティ調査会社 Secunia が先日、過去1年間のソフトウェアセキュリティの状況をまとめた2007年版の報告書を発行しました。しかしながら、報告書はセキュリティ会社の常であり要領を得ません。 ウェブブラウザセクションで報告されている統計によると、Firefox は最も多い64個の脆弱性が報告されており、次が Internet Explorer の43個、Opera と Safari がそれぞれ14個です。 より詳細に見ると、Secunia はまた、Firefox は公開済みの8件のセキュリティバグに対して3件が未修正であるのに対して、Internet Explorer は公開済みの10件の脆弱性に対して

  • HDDをフォーマットするブラクラ まとめwiki

    パソコンに詳しくない方は、スレッドに書かれる対応策を鵜呑みにせず 冷静な行動を取りましょう。報告にも偽のものがあるようなので注意。 感染した恐れのある場合は再起動やシャットダウンをしてはいけません。 各スレで人柱による対策が検討されています。 とにかくPCをそのままの状態にしておきましょう。 普段からセキュリティに気を付けている方であればまず大丈夫です。 概要まとめ 2007/12/28(金)、gigigi(アップローダー)にてエロ画像がUPされる。 (初出は http://sakura01.bbspink.com/test/read.cgi/ascii/1198102303/701 の模様。) 2007/12/30(日)Download板にて報告、ニュース速報板にスレが立ち拡大中。AV監督(愛媛県) 画像は拡張子はjpgだが、中身はHTMLJavaScriptであり、これをクリックする

    HDDをフォーマットするブラクラ まとめwiki

  • はてなブログ | 無料ブログを作成しよう

    【自分語り】1推しの卒業によせて . 私の1推し、ゆきりんこと柏木由紀ちゃんが、17年に渡り在籍したAKB48を卒業することになった。 この機会に、ゆきりん推し(48ファン)としての自分自身のことをすべては不可能であるものの振り返ろうと思う。 内容からして世代がわかることも仕方ないし、限りなくゼ…

    はてなブログ | 無料ブログを作成しよう
    tsukkee
    tsukkee 2008/10/13
    IEは最良のブラウザだ。IE以外のすべてのブラウザを除けばの話だが。
    リンク

  • opera

    「脆弱性の件数はIEよりFirefoxの方が多い」としたMicrosoftセキュリティ責任者の報告書に、Mozilla側がかみついた。 IEとFirefox、どちらが安全? セキュリティ担当者がブログで火花 - ITmedia エンタープライズ secunia.comによる調査結果 じゃあ、ちょっとセキュリティ専門サイトでの調査結果を並べてみようか。 ブラウザ名 未修正 発見済 参照URL Internet Explorer 7.x 7 19 http://secunia.com/product/12366/ Internet Explorer 6.x 21 121 http://secunia.com/product/11/ Firefox 2.0.x 4 18 http://secunia.com/product/12434/ Firefox 1.x 4 45 http://secun

    opera
    tsukkee
    tsukkee 2008/10/13
    やはりOperaか!w
    リンク

  • はてなブログ | 無料ブログを作成しよう

    顔に見える?最近「送水口」が気になるという話 「送水口」が気になる今日この頃 最近街中で気になる存在、それがこの「送水口」です。地上のフロアが7階以上あるビルなど、一定の条件を満たした建築物には設置が義務付けられているもので、火事が発生したフロアにただちに水を送るために使われるものです。ポンプ車…

    はてなブログ | 無料ブログを作成しよう
    tsukkee
    tsukkee 2008/10/13
    IEの素敵な脆弱性
    リンク

  • hoshikuzu | star_dust の書斎 IE6 on WindowsXPsp2 スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけない

    信用してはいけないこと、Microsoft社の正式な見解として仕様です。脆弱性ではありません。 サンプル http://stardust.s2.xrea.com/hatena/200611/title0.html 上記サンプルでは、リンクでポップアップするサブウィンドウのタイトルバーにおいてGoogleのサイトのURLが表示されていますが、これは正しいドメインと一致していません。 この事実は、当日記にリンクして頂いた某ページに記載のあったもので、私からIPAに届け、脆弱性ではないとのMicrosoft社からの回答があり、IPAとして取り扱い終了となったものです。なお、同様の報告が他にもあったようです。IE6では修正の予定がありません。 IE6 on WindowsXPsp2 で、スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL強制表示が、XPsp2で追加さ

    hoshikuzu | star_dust の書斎 IE6 on WindowsXPsp2 スクリプトでポップアップされたアドレスバーのないwindowのタイトルバーのURL表示を信用してはいけない

  • 「アクセスするだけでキーロガーが仕込まれる」,IEの脆弱性を突くサイト

    セキュリティ・ベンダーの米Websenseは現地時間9月22日,Internet Explorer(IE)が影響を受けるパッチ未公開のセキュリティ・ホール(脆弱性)を悪用するWebサイトが続出しているとして注意を呼びかけた。アクセスするだけで「キーロガー(ユーザーのキー入力情報を盗む悪質なプログラム)」がインストールされるサイトもあるという。 IEのコンポーネントの一つであるMicrosoft Vector Graphics Rendering library(Vgx.dll)には,パッチ未公開のセキュリティ・ホールが見つかっている(関連記事:IEにまたもやパッチ未公開のセキュリティ・ホール)。細工が施されたWebページやHTMLメールを開くだけで任意のプログラムを実行される危険なセキュリティ・ホールである。実際,このセキュリティ・ホールを突いて悪質なプログラムをインストールするWebサイ

    「アクセスするだけでキーロガーが仕込まれる」,IEの脆弱性を突くサイト

  • ぼくはまちちゃん!

    はてなダイアリー (メインブログです!) → ぼくはまちちゃん! (Hatena) はまちや2のツイッターです! 気軽にフォローしてみてくださいね! → Twitter / はまちや2 はてなブックマーク → Hamachiya2のブックマーク タンブラーです! かわいい絵をあつめたりしています! → [tumblr] hmcy ゲームの動画をあげて、ぼくもモテモテユーチューバーになるつもりです! → はまちや2(Hamachiya2)のYouTube (以下は過去の記事など) きみのライフを可視化するよ! → [JavaScript] ライフカウンター 空から女の子が…! → 空から女の子が降ってくる AIRアプリの簡単な作り方 → [AIR][JavaScript] JavaScriptでかんたんAIRアプリに挑戦 つくってみました! → ドリームメーカー : ブラウザで簡単にノベルゲ

    tsukkee
    tsukkee 2008/10/10
    IEやmixiの脆弱性を突っつきまくるページ
    リンク

  • ■ - hoshikuzu | star_dust の書斎

    CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね そのうち整理され、まとまった情報が日語で出ることでしょうけれど。とりあえず。 Secunia - Advisories - Internet Explorer "mhtml:" Redirection Disclosure of Sensitive Information Secunia - Internet Explorer Arbitrary Content Disclosure Vulnerability Test CSSXSS脆弱性と同じ方向性のIEの脆弱性が発見され、実証コードがSecuniaでデモンストレーションされています。 このことによりログイン中の人でないと閲覧できないはずの情報が、罠ページを踏むことで悪意ある者に盗まれます。セッション管理にも影響あり。最悪乗っ取りまで考えられるかも… mhtml

    ■ - hoshikuzu | star_dust の書斎
    tsukkee
    tsukkee 2008/10/10
    またもやIEの脆弱性
    リンク

  • なぜCSSXSSに抜本的に対策をとることが難しいか - いしなお! (2006-03-31)

    _ なぜCSSXSSに抜的に対策をとることが難しいか CSSXSSの説明について、その脅威を過剰に表現している部分がありました。その部分について加筆訂正しています。 @ 2006/4/3 tociyukiさんによる「[web]MSIE の CSSXSS 脆弱性とは何か」および「[web]開発者サイドでの CSSXSS 脆弱性対策」には、より正確なCSSXSS脆弱性の内容およびそれに対するサーバーサイド開発者で可能な対策について紹介されていますので、是非そちらもご覧ください。 @ 2006/4/4 今までも何度かこの辺の話はあまり具体的ではなく書いてきたけど、そろそろCSSXSSを悪用したい人には十分情報が行き渡っただろうし、具体的な話を書いてもこれ以上危険が増すということはないだろうから、ちょっと具体的に書いてみる。 ちなみに私自身は、CSSXSSの攻撃コードなどを実際に試したりといった

    tsukkee
    tsukkee 2008/10/10
    IEの外部スタイルシートに関する脆弱性について
    リンク

  • ■ - hoshikuzu | star_dust の書斎

    ■セッション管理をinput[type="hidden"]等で行うことについて input[type="hidden"] セッション管理の方法として、input[type="hidden"]には、生のセッションIDをに突っ込めば良いのか、あるいはセッションIDと何かの秘密キーとを結合させた上で良いハッシュをかませた値を突っ込むのがベターなのか、あるいはワンタイムトークンが良いかもだとか、cookieも併用するのかもとか、いろいろあるのかもしれませんが、私にはよくわかりません。勉強したいのであちこちのぞいていますけれど。でも気になることもあるので以下、ちょっと日記に書いてみます。質問風味であって回答風味ではありません。 いわゆるCSSXSS 一応見出しなのでキャッチー【謎】にCSSXSSという名前を使いました。でも性質から考えるとちっともXSSじゃないのでCSSXSSという名前はもうやめにし

    ■ - hoshikuzu | star_dust の書斎
    tsukkee
    tsukkee 2008/10/10
    IEを使ってるとCSSからみのバグで重要な情報を抜かれるという話
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.