JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
マイクロソフト、VBScriptのゼロデイ脆弱性を警告--Windows XPなどが影響
Microsoftは米国時間3月1日、新たな脆弱性を警告している。攻撃者が利用すると、「Internet Explorer」(IE)を稼働する古いバージョンの「Windows」の制御を奪うことができるもので、その概念実証エクスプロイトコードが公開されていた。 この脆弱性の影響を受けるのは、「Windows 2000」「Windows XP」「Windows Server 2003」を搭載するシステム。Microsoftのセキュリティアドバイザリによると、脆弱性は、「VBScript」がWindowsヘルプファイルとやり取りする方法に存在するという。VBScriptは、ウェブページに埋め込まれた機能を実行するためのActive Scripting言語である。 攻撃例としては、ユーザーを何らかの方法で、特別な細工が仕掛けられたダイアログボックスを表示する悪質なウェブサイトを訪問するように導くと
VBScriptでMSN Messengerの表示アイコンを変更する
簡単なアプリケーションやなんかでMSN Messengerの表示アイコンをサクサク変更できたら楽しーなーとか思って、いろいろ漁ったところ、チラホラ「出来る!」とか「こんな感じ!」とかいうページを見かけたのでゴニョゴニョしてみた。VBScriptでやったら3行とか言う。 コードは、 Dim objMessenger Set objMessenger = WScript.CreateObject("Messenger.UIAutomation.1") objMessenger.MyProperty(2) = "C:\path\to\image.jpg" これだけ! これだけで指定した画像に挿し変わる。 foobar2000ではAMIPをうまく使えば演奏中の曲のジャケット画像を表示アイコンに使用するとかいうことも出来そう。今から作るんだけど。ちなみにfoobar2000にはfoo_uie_alb
VB 配列 - Array, Redim, 動的配列など
Visual Basic 中学校 > 初級講座 > 第27回 配列 配列は昔からある技術です。新鮮さがないためにまったく注目されませんが、昔から今まで生き延びているということ自体がその重要性を証明しています。今回は地味な説明になりますがじっくりと読んで配列の概要を把握することは有意義です。次回取りあげるコレクションの理解にもつながります。 この回の要約 ・配列を使うと似たような変数をまとめることができる。 ・配列は Dim MyArray(3) As String のように宣言する。 ・配列は添字を変数にしてループをまわせる。 ・配列をコピーするにはCloneメソッドを使う。 ・動的配列を作成すると、Redim Preserveを使うことにより後からサイズを変更できる。 1.はじめに 配列に関する説明をする前に少し今回の方針を書いておきます。 私は普段初級講座を書くに当たっては「VBに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Technical documentation
