WAS Forum Conference 2010講演資料「ケータイ2.0ãŒé–‹ã‘ã¦ã—ã¾ã£ãŸãƒ‘ンドラã®ç®±ã€
WAS Forum Conference 2010講演資料 - HASHã‚³ãƒ³ã‚µãƒ«ãƒ†ã‚£ãƒ³ã‚°æ ªå¼ä¼šç¤¾
WAS Forum Conference 2010講演資料「ケータイ2.0ãŒé–‹ã‘ã¦ã—ã¾ã£ãŸãƒ‘ンドラã®ç®±ã€
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
ï¼»ã•ã‚‰ã«æ°—ã«ãªã‚‹ï¼½JSONã®å®ˆã‚Šæ–¹
XSSã«CSRFã«SQLインジェクションã«ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒˆãƒ©ãƒãƒ¼ã‚µãƒ«â€¦â€¦Webアプリケーションã®ãƒ—ãƒã‚°ãƒ©ãƒžãŒçŸ¥ã£ã¦ãŠãã¹ã脆弱性ã¯ã„ã£ã±ã„ã‚ã‚Šã¾ã™ã€‚ãã“ã§æœ¬é€£è¼‰ã§ã¯ã€ãã®ã‚ˆã†ãªãƒ¡ã‚¸ãƒ£ãƒ¼ãªã‚‚ã®â€œä»¥å¤–â€ã‚‚掘り下ã’ã¦ã„ãã¾ã™ (編集部) 次ã¯ã€JSONã«ãŠã‘ã‚‹ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– çš†ã•ã‚“ã“ã‚“ã«ã¡ã¯ã€ã¯ã›ãŒã‚よã†ã™ã‘ã§ã™ã€‚第4回「[気ã«ãªã‚‹ï¼½JSONPã®å®ˆã‚Šæ–¹ã€ã¯JSONPã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã—ãŸã®ã§ã€ä»Šå›žã¯ã€ŒJSONã€ã«ã¤ã„ã¦ã‚‚ã‚»ã‚ュリティ上注æ„ã™ã¹ã点ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã™ã€‚ JSONã¯ã€XMLHttpRequestã§å—ã‘å–ã‚Šã€JavaScript上ã§evalã™ã‚‹ã¨ã„ã†ä½¿ã„æ–¹ãŒä¸€èˆ¬çš„ã§ã™ã€‚ ã¾ãšã¯ã‚µãƒ¼ãƒå´ã‹ã‚‰é€ã‚‰ã‚Œã‚‹æƒ…å ±ã¨ã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆå´ã§ã®å‡¦ç†ã€ãã‚Œãžã‚Œã®å†…容を見ã¦ãŠãã¾ã—ょã†ã€‚ [サーãƒå´ï¼½ HTTP/1.1 200 OK Content-Type: application/json; charset=
JSONデータをクãƒã‚¹ãƒ‰ãƒ¡ã‚¤ãƒ³ã‚¢ã‚¿ãƒƒã‚¯ã‹ã‚‰å®ˆã‚‹ãŸã‚ã«while(1)を使ã†ã“ã¨ã‚’ã‚„ã‚ã¾ã—ょㆠ- hoshikuzu | star_dust ã®æ›¸æ–Ž
ã“ã‚Œã¯ãªã« æ—¢ã«ã”å˜çŸ¥ã®æ–¹ãŒã„らã£ã—ゃるã‹ã©ã†ã‹ã‚‚知りã¾ã›ã‚“ãŒä»Šã•ã£ã関連文献ã«è¡Œã当ãŸã£ã¦é©šæ„•ã—ãŸã®ã§å¿µã®ãŸã‚ã«ãƒ¡ãƒ¢ã‚’書ã„ã¦ãŠãã¾ã™ã€‚ç§ã¯ãƒ¡ãƒ¼ãƒªãƒ³ã‚°ãƒªã‚¹ãƒˆãªã©ã«åŠ å…¥ã—ã¦ã„ã¾ã›ã‚“ã®ã§è«–è°ãŒæ¸ˆã‚“ã§ã„ã‚‹ã‹ã©ã†ã‹ã‚‚知らãªã„ã®ã§ã™ã€‚ã‚‚ã—もウェブ上ã«è§£èª¬è¨˜äº‹ãŒã‚るよã†ã§ã—ãŸã‚‰é€†ã«ç§ã«æ˜¯éžã¨ã‚‚æ•™ãˆã¦ãã ã•ã„。 JSONデータã®å…ˆé ã« JSONデータã®å…ˆé ã«while(1)ã‚’ç½®ã„ã¦ãŠãã“ã¨ã§ç„¡é™ãƒ«ãƒ¼ãƒ—を発生ã•ã›ã¦ãŠã„ã¦ã€å—動的攻撃ã®ãƒšãƒ¼ã‚¸ã®æ‚ªæ„ã‚ã‚‹scriptã®å®Ÿè¡Œã‚’失敗ã•ã›ã‚‹ã¨ã„ã†ã‚¢ã‚¤ãƒ‡ã‚¢ã«ã¯æ¬ 点ãŒã‚ã‚‹ã¨ã„ã†ã“ã¨ã‚’ã€å…ˆç¨‹ã¨ã‚る文献ã‹ã‚‰çŸ¥ã‚Šã¾ã—ãŸã€‚ã“ã‚Œã¯while(true)ã«ã¤ã„ã¦ã‚‚åŒæ§˜ã§ã™ã€‚JavaScriptã¯æŸ”軟ã§å¼·åŠ›ãªè¨€èªžã§ã™ã‹ã‚‰ã€ãƒ–ラウザãŒJavaScriptエンジンをã¾ã˜ã‚ã«å®Ÿè£…ã—ã¦ã„ã‚‹ã®ã§ã‚ã‚Œã°ã€ã‚¢ã‚¿ãƒƒã‚¯ã®ãƒãƒ£ãƒ³ã‚¹ã‚’与ãˆã¦ã„ã‚‹ã“ã¨ã«ãªã‚Šã¾ã™ã€‚ã—ã‹ã—ã“ã‚Œã¯ãƒ–ラウザã®è„†å¼±æ€§ã¨ã¯æ‰ãˆã‚‰ã‚Œã¾ã›ã‚“
「サードパーティã®Cookieã‚‚ä¿å˜ã™ã‚‹ã€ã‚’オフã«ã™ã‚‹ã¨GM_xmlhttpRequestã§Cookieã‚’é€ã‚‰ãªã„ - 最速転è·ç ”究会
先日ã®ã‚¨ãƒ³ãƒˆãƒªã§AutoPagerizeãŒå‹•ã‹ãªããªã£ãŸã¨ã„ã†äººãŒå±…ãŸã®ã§èª¿ã¹ãŸã€‚ åŒä¸€ãƒ‰ãƒ¡ã‚¤ãƒ³ãªã‚‰AutoPagerizeå´ã§ã©ã‚“ãªCookieé€ã£ã¦ã‚‹ã‹åˆ†ã‹ã‚‹ã®ã§ã€ã¨ã‚Šã‚ãˆãšã“ã‚Œã§å‹•ãよã†ã«ãªã£ãŸã€‚ var headers = {} if (isSameDomain(this.requestURL)) { headers.Cookie = document.cookie } var opt = { method: 'get', url: this.requestURL, headers: headers, overrideMimeType: mime, onerror: this.error, onload: function(res){ self.requestLoad.apply(self, [res]) } } id:swdyh
書ç±ã€ŽAjaxã‚»ã‚ュリティã€ã«é–¢ã™ã‚‹æ®‹å¿µãªãŠçŸ¥ã‚‰ã› - ockeghem's blog
昨年ã®10月ã«åˆŠè¡Œã•ã‚ŒãŸæ›¸ç±Ajaxã‚»ã‚ュリティã¯ï¼Œç™ºåˆŠç›´å¾Œã«è³¼å…¥ã—ãŸãŒï¼Œã—ã°ã‚‰ãç©ã‚“èªã«ãªã£ã¦ã„ãŸã€‚最近ã«ãªã£ã¦èªã¿å§‹ã‚ãŸã®ã ãŒï¼Œã„ã•ã•ã‹ã‚ãれるçµæžœã¨ãªã£ãŸã€‚HPã®ç¾å½¹ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢2åã®è‘—作,一人ã¯å…ƒSPI Dynamics社(WebInspectã®é–‹ç™ºå…ƒï¼ŒHPãŒè²·åŽ)出身,GIJOEæ°ã®ç›£è¨³ã¨ã„ã†ã“ã¨ã§æœŸå¾…ã—ã¦ã„ãŸã®ã ãŒï¼Œæ®‹å¿µã§ã‚る。 残念ã ã¨æ€ã†ä¸»è¦ãªç†ç”±ã¯ï¼Œè„†å¼±æ€§ã¸ã®å¯¾ç–ãŒå分ã«ç¤ºã•ã‚Œã¦ã„ãªã„ã“ã¨ã 。Ajaxã§ã‚ã£ã¦ã‚‚インジェクション系脆弱性ãŒç™ºç”Ÿã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚‹ã“ã¨ï¼Œã‚€ã—ã‚従æ¥åž‹ã®Webアプリケーションよりもãã®å¯èƒ½æ€§ãŒåºƒãŒã‚‹ã“ã¨ã¯èª¬æ˜Žã•ã‚Œã¦ã„ã‚‹ãŒï¼Œè‚心ã®å¯¾ç–ãŒä¸å分ã 。 æœ¬æ›¸ç¬¬å››ç« ã®å¾ŒåŠã«ã¯ï¼Œå¯¾ç–ã¨ã—ã¦å…¥åŠ›æ¤œæŸ»ï¼ˆãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ï¼‰ãŒç¤ºã•ã‚Œã¦ã„る。 4.6 é©åˆ‡ãªå…¥åŠ›æ¤œæŸ» 4.7 リッãƒãªãƒ¦ãƒ¼ã‚¶å…¥åŠ›ã®ãƒãƒªãƒ‡ãƒ¼ã‚·ãƒ§ãƒ³ ã—ã‹ã—,入力検証ã ã‘ã§ã¯ï¼Œä»»æ„ã®æ–‡å—入力を許ã™å ´åˆã®å¯¾ç–ã¯ã§ããªã„
MYCOM BOOKS - Ajaxã‚»ã‚ュリティ
■内容紹介 Ajaxã¯Webアプリケーションを完全ã«å¤‰ãˆã€Web開発者ã¯Ajaxã§ã§ãã‚‹ã“ã¨ã®é™ç•Œã‚’拡大ã•ã›ç¶šã‘ã¦ã„ã¾ã™ã€‚ã—ã‹ã—ã€AjaxãŒã‚»ã‚ュリティã«ã‚‚ãŸã‚‰ã™å½±éŸ¿ã¯ãªã„ã®ã§ã—ょã†ã‹ï¼Ÿã€€ãã®å±é™ºæ€§ã¯è«–ã˜ã‚‰ã‚Œã¦ã„ã‚‹ã§ã—ょã†ã‹ï¼Ÿ 著者ãŒã€å®Ÿä¸–ç•Œã®ã‚³ãƒ¼ãƒ‰ã‚’調ã¹ãŸã¨ã“ã‚ã€SQLインジェクションやクãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングãªã©ã®ã‚»ã‚ュリティ脆弱性ãŒã‚´ãƒã‚´ãƒã¨è¦‹ã¤ã‹ã£ãŸã®ã§ã™ã€‚ã‚‚ã£ã¨ã‚‚ã£ã¨æ·±ã掘り下ã’ã¦è«–ã˜ã‚‰ã‚Œã‚‹ã¹ããªã®ã«ã€ã“ã†ã—ãŸå…¸åž‹çš„ãªWeb脆弱性ãŒç„¡è¦–ã•ã‚ŒãŸã‚Šã€ã‚ªãƒžã‚±ç¨‹åº¦ã«ã—ã‹è§¦ã‚Œã‚‰ã‚Œã¦ã„ãªã„ã®ã¯å¤§ããªå•é¡Œã§ã™ã€‚ éŽåº¦ã«ç²’度ã®ç´°ã‹ã„Webサービスã€ã‚¢ãƒ—リケーション制御フãƒãƒ¼ã®æ”¹ç«„ã€ãƒžãƒƒã‚·ãƒ¥ã‚¢ãƒƒãƒ—æ–¹å¼ã®é–‹ç™ºã«ãŠã‘る安全ã¨ã¯è¨€ãˆãªã„慣行ã€èªè¨¼ãƒ¡ã‚«ãƒ‹ã‚ºãƒ ã®å®¹æ˜“ãªãƒã‚¤ãƒ‘スã¨ã„ã£ãŸã€ŒAjaxãªã‚‰ã§ã¯ã®å±é™ºã€ã‚‚大ããªå•é¡Œã§ã™ã€‚ ã¤ã¾ã‚Šã€Ajaxã¯ãƒ‡ã‚¹ã‚¯ãƒˆãƒƒãƒ—アプリケーションã¨Webアプリケーション
oreilly.co.jp -- Online Catalog: Ajaxアプリケーション & Webã‚»ã‚ュリティ
TOPICS Programming , Web , Security 発行年月日 2008å¹´02月 PRINT LENGTH 284 ISBN 978-4-87311-358-6 原書 Securing Ajax Applications FORMAT Ajaxã¯ã€æ˜¨ä»Šã®Webサービスã§ã¯æ¬ ã‹ã›ãªã„ã‚‚ã®ã¨ãªã£ã¦ã„ã¾ã™ãŒã€ãã®ã‚¤ãƒ³ã‚¿ãƒ©ã‚¯ãƒ†ã‚£ãƒ–性ã®é«˜ã•ã‚†ãˆã«å¤šãã®è„†å¼±æ€§ã‚’抱ãˆã¦ãŠã‚Šã€ã‚»ã‚ュリティãŒã¾ã™ã¾ã™é‡è¦ã«ãªã£ã¦ãã¦ã„ã¾ã™ã€‚本書ã¯Ajaxアプリケーションをã¯ã˜ã‚ã€Web 2.0関連ã®ãƒ†ã‚¯ãƒŽãƒã‚¸ã‚„Webサービス全般ã«é–¢ã—ã¦ã‚‚幅広ãã‚«ãƒãƒ¼ã€‚ã‚»ã‚ュリティã«é–¢ã™ã‚‹åŸºæœ¬çŸ¥è˜ã‚„Webアプリケーションã®æŒã¤è„†å¼±æ€§ã«ã‚‚詳ã—ã触れã¦ã„ã¾ã™ã€‚実際ã«å¤šæ•°ã®ã‚¢ã‚¯ã‚»ã‚¹ã‚’集ã‚ã¦ã„ã‚‹Web 2.0サイトã§ã®ã‚±ãƒ¼ã‚¹ã‚¹ã‚¿ãƒ‡ã‚£ãªã©ã‚‚交ãˆã€å®‰å…¨ãªWebアプリケーションを構築ã™ã‚‹ãŸã‚ã«å¿…è¦ãªçŸ¥è˜ã‚’コンパクトã«ã¾ã¨ã‚ã¦ã„ã¾ã™ã€‚
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
IBM Developer
IBM Developer
{{#tags}}- {{label}}
{{/tags}}