LINE Developer Meetup in Fukuoka #16 http://connpass.com/event/38413/
実例ã«å¦ã¶XSS脆弱性ã®ç™ºè¦‹ã¨ä¿®æ£æ–¹æ³•/line_dm 16 20160916 how to find and fix xss
LINE Developer Meetup in Fukuoka #16 http://connpass.com/event/38413/
脆弱性発見ã®ãƒ—ãƒã€Œã‚ヌガワ マサトã€ã•ã‚“ã¯æ—¥æœ¬äººã ã£ãŸ
脆弱性を見ã¤ã‘ã¦ã‚»ã‚ュリティ対ç–ã«è²¢çŒ®ã—ã¦ã„ã‚‹ã®ãŒã€ã€Œãƒã‚°ãƒãƒ³ã‚¿ãƒ¼ã€ã¨å‘¼ã°ã‚Œã‚‹å˜åœ¨ã 。Googleãªã©ãƒ™ãƒ³ãƒ€ãƒ¼ã®å ±å¥¨é‡‘ã§ç”Ÿè¨ˆã‚’ç«‹ã¦ã¦ã„ã‚‹ã¨ã„ã†ã€Œã‚ヌガワ マサトã€ã•ã‚“ãŒã€ãƒ—ãƒã®ãƒã‚°ãƒãƒ³ã‚¿ãƒ¼ã¨ã—ã¦ã®â€œæ„‰ã—ã¿â€ã‚’紹介ã—ã¦ãã‚ŒãŸã€‚ ソフトウェアã®ãƒã‚°ã‚„脆弱性ã¯ã€è»½å¾®ãªä¸å…·åˆã‹ã‚‰ã‚»ã‚ュリティ上ã®æ·±åˆ»ãªå•é¡Œã‚’引ãèµ·ã“ã™ã‚‚ã®ã¾ã§ã€æ§˜ã€…ãªã‚‚ã®ãŒã‚る。開発者ãŒå¹¾ã‚‰æ³¨æ„ã—ã¦ã‚‚脆弱性をãªãã™ã“ã¨ã¯éžå¸¸ã«é›£ã—ã„ãŒã€å¤–部ã®ç«‹å ´ã‹ã‚‰è„†å¼±æ€§ã‚’見ã¤ã‘ã¦ã‚»ã‚ュリティ対ç–ã«è²¢çŒ®ã™ã‚‹ã€Œãƒã‚°ãƒãƒ³ã‚¿ãƒ¼ã€ã¨ã„ã†å˜åœ¨ã‚’ã”å˜ã˜ã ã‚ã†ã‹ã€‚ Googleã‚„Microsoftã€ã‚µã‚¤ãƒœã‚¦ã‚ºãªã©ä¸€éƒ¨ã®ãƒ™ãƒ³ãƒ€ãƒ¼ã¯ã€è„†å¼±æ€§ã‚’å ±å‘Šã—ãŸãƒã‚°ãƒãƒ³ã‚¿ãƒ¼ã«å ±å¥¨é‡‘ãªã©ã‚’支払ã†åˆ¶åº¦ã‚’é‹å–¶ã€‚ãã®å ±å¥¨é‡‘ã§ç”Ÿè¨ˆã‚’ç«‹ã¦ã‚‹ãƒ—ãƒã®ä¸€äººãŒã€Œã‚ヌガワ マサトã€ã•ã‚“ã 。12月18ã€19æ—¥ã«è¡Œã‚ã‚ŒãŸã‚»ã‚ュリティカンファレンス「CODE BLUEã€ã§ã¯ã€ã‚ヌガワã•ã‚“ãŒãƒ—ãƒã®ãƒã‚°ãƒãƒ³ã‚¿
mixiã«å ±å‘Šã—ãŸè„†å¼±æ€§2 - kusano-k’s blog
mixiã®è„†å¼±æ€§å ±å‘Šåˆ¶åº¦ï¼ˆã™ã§ã«çµ‚了ã—ã¦ã„る)ã§å ±å‘Šã—ã¦ã€ä¿®æ£ã•ã‚ŒãŸè„†å¼±æ€§ã€‚ youbrideã®æœ‰æ–™æ©Ÿèƒ½ã‚’ç„¡æ–™ã§ä½¿ãˆã‚‹å•é¡Œ 2014/03/12 å ±å‘Š 2014/03/18 ä¿®æ£å®Œäº† 2014/03/24 75,000円ã®AmazonギフトãŒå±Šã„㟠youbrideã¯mixiã®å会社ã®æ ªå¼ä¼šç¤¾DiverseãŒé‹å–¶ã™ã‚‹å©šæ´»ã‚µã‚¤ãƒˆã€‚一時ã€åˆ¶åº¦ã®å¯¾è±¡ã ã£ãŸã€‚ youbrideã§ã¯ç„¡æ–™ãƒ¦ãƒ¼ã‚¶ãƒ¼ã¯ãƒ—ãƒãƒ•ã‚£ãƒ¼ãƒ«ã®å…¬é–‹æ¡ä»¶ã¯ã€Œå…¨ä½“ã«å…¬é–‹ã€ã—ã‹é¸ã¹ãªã„。 Chromeã®Developer Toolã§ä»–ã®é¸æŠžè‚¢ã‚’有効ã«ã—ãŸã‚‰ã€ã€Œå…¨ä½“ã«å…¬é–‹ã€ä»¥å¤–ã®å…¬é–‹æ¡ä»¶ã‚‚é¸ã¹ã¦ã—ã¾ã£ãŸã€‚ mixiワードã®XSS 2014/03/31 å ±å‘Š 2014/03/31 ä¿®æ£å®Œäº† 2014/04/09 125,000円ã®AmazonギフトãŒå±Šã„㟠mixiワードã«XSSå¯èƒ½ãªè„†å¼±æ€§ãŒã‚ã£ãŸã€‚ 「猫ã€ã«ã¯ã€ã‚ャットタワーã€ã‚ャットフー
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
twitterã§XSS脆弱性発生:ãƒãƒ ã‚¹ã‚¿ãƒ¼é€Ÿå ± - ライブドアブãƒã‚°
twitterã§XSS脆弱性発生 カテゴリニュース 1 : 絵本作家(catv?):2010/09/21(ç«) 20:48:54.40 ID:N9k777o3iâ— ?BRZ(10000) ソース http://twitter.com/Hamachiya http://twitter.com/hapinano/status/25102437219 Web以外ã®ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã¯å•é¡Œãªã— document.bodyã®ãƒžã‚¦ã‚¹ã‚ªãƒ¼ãƒãƒ¼ã‚‚当然å¯èƒ½ãªã®ã§ãƒã‚°ã‚¢ã‚¦ãƒˆæŽ¨å¥¨ 3 : æ¯ç§‘医師(関西地方):2010/09/21(ç«) 20:49:22.57 ID:6PM295IO0 ã¤ã¾ã‚Šã©ã†ãªã‚‹ã‚“ã よ? 7 : 公務員(æ±äº¬éƒ½):2010/09/21(ç«) 20:50:10.15 ID:6XnlGTOm0 tiwtter終了ã®ãŠçŸ¥ã‚‰ã› 8 : 幼稚園ã®å…ˆç”Ÿ(アラãƒãƒžå·ž):2010/09/21
Twitter XSS 騒動 - Yaks
(2009/04/12 6:40 pm 追記ã—ã¾ã—ãŸ) (2009/04/12 7:24 pm å†åº¦è¿½è¨˜ã—ã¾ã—ãŸ) å…ˆã»ã©ã‹ã‚‰ Twitter上ã«ã¦ XSS ã®ã‚ˆã‚‹è¢«å®³ãŒå‡ºã¦ã„ã¾ã™ã€‚ æ—¢ã«æµ·å¤–ã®ãƒ–ãƒã‚°ãªã©ã§ã‚‚å–り上ã’られã¦ã„ã¾ã™ã€‚ HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既㫠XSS ã®éƒ¨åˆ†ã¯æ”¹ä¿®ã•ã‚Œã¦å¤§åˆ†åŽã¾ã£ãŸã‚ˆã†ã§ã™ãŒã€å¿µã®ãŸã‚ã«æ›¸ã„ã¦ãŠãã¾ã™ã€‚ 内容ã¨ã—ã¦ã¯ã€ 1. StalkDaily.com を宣ä¼ã™ã‚‹ã¤ã¶ã‚„ããŒå‹æ‰‹ã«æŠ•ç¨¿ã•ã‚Œã‚‹ 2. プãƒãƒ•ã‚£ãƒ¼ãƒ«ã® Web ãŒæ”¹ã–ã‚“ã•ã‚Œã‚‹ 3. 改ã–ã‚“ã•ã‚ŒãŸãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒšãƒ¼ã‚¸ã‚’見るã¨ã€è‡ªåˆ†ã®ãƒ—ãƒãƒ•ã‚£ãƒ¼ãƒ«ã‚‚
第7回■文å—エンコーディングãŒç”Ÿã¿å‡ºã™ãœã„弱性を知る
æ–‡å—コードã«é–¢ã™ã‚‹å•é¡Œã¯å¤§åˆ¥ã™ã‚‹ã¨æ–‡å—集åˆã®å•é¡Œã¨æ–‡å—エンコーディングã®å•é¡Œã«åˆ†é¡žã§ãる。å‰å›žã¯æ–‡å—集åˆã®å–り扱ã„ã«èµ·å› ã™ã‚‹ãœã„弱性ã«ã¤ã„ã¦èª¬æ˜Žã—ãŸã®ã§ã€ä»Šå›žã¯æ–‡å—エンコーディングã«èµ·å› ã™ã‚‹ãœã„弱性ã«ã¤ã„ã¦èª¬æ˜Žã—よã†ã€‚ æ–‡å—エンコーディングã«ä¾å˜ã™ã‚‹å•é¡Œã‚’ã•ã‚‰ã«åˆ†é¡žã™ã‚‹ã¨2種類ã‚る。(1)文å—エンコーディングã¨ã—ã¦ä¸æ£ãªãƒ‡ãƒ¼ã‚¿ã‚’用ã„ã‚‹ã¨æ”»æ’ƒãŒæˆç«‹ã—ã¦ã—ã¾ã†ç‚¹ã¨ï¼Œï¼ˆ2)文å—エンコーディングã®å‡¦ç†ãŒä¸å分ãªãŸã‚ã«ãœã„弱性ãŒç”Ÿã˜ã‚‹ã“ã¨ãŒã‚る点ã 。 ä¸æ£ãªæ–‡å—エンコーディング(1)――冗長ãªUTF-8符å·åŒ–å•é¡Œ ã¾ãšï¼Œï¼ˆ1)ã®ä¸æ£ãªæ–‡å—エンコーディングã®ä»£è¡¨ã¨ã—ã¦ï¼Œå†—é•·ãªUTF-8符å·åŒ–å•é¡Œã‹ã‚‰èª¬æ˜Žã—よã†ã€‚å‰ã€…回ã«è§£èª¬ã—ãŸUTF-8ã®ãƒ“ット・パターン(表1ã«å†æŽ²ï¼‰ã‚’見るã¨ï¼Œã‚³ãƒ¼ãƒ‰ãƒ»ãƒã‚¤ãƒ³ãƒˆã®ç¯„囲ã”ã¨ã«ãƒ“ット・パターンãŒå‰²ã‚Šå½“ã¦ã‚‰ã‚Œã¦ã„ã‚‹ãŒï¼Œãƒ“ット・パターン上ã¯ï¼Œã‚ˆã‚Šå¤šãã®ãƒã‚¤ãƒˆæ•°ã‚’使ã£ã¦ã‚‚åŒã˜ã‚³ãƒ¼
教科書ã«è¼‰ã‚‰ãªã„Webアプリケーションセã‚ュリティ 第1回 ï¼»ã“ã‚Œã¯ã²ã©ã„ï¼½IEã®å¼•ç”¨ç¬¦ã®è§£é‡ˆ − ï¼ IT
XSSã«CSRFã«SQLインジェクションã«ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒˆãƒ©ãƒãƒ¼ã‚µãƒ«â€¦â€¦Webアプリケーションã®ãƒ—ãƒã‚°ãƒ©ãƒžãŒçŸ¥ã£ã¦ãŠãã¹ã脆弱性ã¯ã„ã£ã±ã„ã‚ã‚Šã¾ã™ã€‚ãã“ã§æœ¬é€£è¼‰ã§ã¯ã€ãã®ã‚ˆã†ãªãƒ¡ã‚¸ãƒ£ãƒ¼ãªã‚‚ã®â€œä»¥å¤–â€ã‚‚掘り下ã’ã¦ã„ãã¾ã™ï¼ˆç·¨é›†éƒ¨ï¼‰ å°ã•ãªè©±é¡ŒãŒé¢ç™½ã„ 皆ã•ã‚“ã€ã¯ã˜ã‚ã¾ã—ã¦ã€‚ã¯ã›ãŒã‚よã†ã™ã‘ã¨ç”³ã—ã¾ã™ã€‚ 「教科書ã«è¼‰ã‚‰ãªã„Webアプリケーションセã‚ュリティã€ã¨ã„ã†ã“ã¨ã§ã€Webアプリケーションã®ã‚»ã‚ュリティã«é–¢é€£ã™ã‚‹ã€æ™®æ®µã‚ã¾ã‚Šè¦‹æŽ›ã‘ãªã„よã†ãªå°ã•ãªè©±é¡Œã‚’å–り上ã’ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚ ã‚»ã‚ュアãªWebアプリケーションを実ç¾ã™ã‚‹ãŸã‚ã«ã€é–‹ç™ºè€…ã®æ–¹ã ã‘ã§ãªãã€Webアプリケーションã®è„†å¼±æ€§æ¤œæŸ»ã‚’è¡Œã†æ–¹ã€…ã«ã‚‚èªã‚“ã§ã„ãŸã ããŸã„ã¨æ€ã£ã¦ã„ã¾ã™ã€‚é‡ç®±ã®éš…を楊æžã§ã»ã˜ãるよã†ãªå°ã•ãªè©±é¡Œã°ã‹ã‚Šã§ã™ãŒã€çš†ã•ã‚“よã‚ã—ããŠé¡˜ã„ã—ã¾ã™ã€‚ ã•ã¦ç¬¬1回ã¯ã€Internet ExplorerãŒHTMLを解釈ã™ã‚‹éš›ã®å¼•ç”¨
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}