Node.js ã®ã‚»ã‚ュリティã®è©±
Production (ã‚»ã‚ュリティ編)ã¨ã„ã†ã“ã¨ã§ç–Žã‹ã«ãªã‚ŠãŒã¡ãªã‚»ã‚ュリティã®è©±
JavaScriptã§ã‚»ã‚ュアãªã‚³ãƒ¼ãƒ‡ã‚£ãƒ³ã‚°ã‚’ã™ã‚‹ãŸã‚ã«æ°—ã‚’ã¤ã‘ã‚‹ã“ã¨
kintoneã¯JavaScriptを使ã£ã¦è‡ªç”±ã«ã‚«ã‚¹ã‚¿ãƒžã‚¤ã‚ºã§ãã¾ã™ã€‚ カスタマイズã«ã‚ˆã‚Šç‹¬è‡ªã®ãƒªãƒƒãƒãªUIを構築ã—ãŸã‚Šã€æ–°ã—ã„æ©Ÿèƒ½ã‚’è¿½åŠ ã—ãŸã‚Šã§ãã¾ã™ãŒã€ã‚»ã‚ュアãªã‚³ãƒ¼ãƒ‡ã‚£ãƒ³ã‚°ã‚’ã—ãªã„㨠クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング (以下ã€XSS)ãªã©ã®è„†å¼±æ€§ã‚’作り込んã§ã—ã¾ã†å±é™ºæ€§ãŒã‚ã‚Šã¾ã™ã€‚ ã“ã®è¨˜äº‹ã§ã¯ã€JavaScriptã§ã‚»ã‚ュアãªã‚³ãƒ¼ãƒ‡ã‚£ãƒ³ã‚°ã‚’ã™ã‚‹ãŸã‚ã®åŸºæœ¬çš„ãªãƒã‚¤ãƒ³ãƒˆã‚’解説ã—ã¾ã™ã€‚
AngularJSã¨ã‚µãƒ¼ãƒãƒ¼ã‚µã‚¤ãƒ‰ãƒ†ãƒ³ãƒ—レートã®æ··åœ¨ã¨ngNonBindable
Angularã¨ã‚µãƒ¼ãƒãƒ¼ã‚µã‚¤ãƒ‰ãƒ†ãƒ³ãƒ—レートã®æ··åœ¨ 先日リリースã•ã‚ŒãŸæŸã‚µãƒ¼ãƒ“ス(他社)ãŒAngularを使ã£ã¦ã„ã¦ã€XSSãŒãƒœãƒãƒœãƒå‡ºã¦ãã‚‹ã ã¨ã‹ã€{{var}} ãªå½¢å¼ã§å€¤ã‚’入力ã™ã‚‹ã¨ng-templateå´ã§ãƒ†ãƒ³ãƒ—レーティングã•ã‚Œã‚‹ã ã¨ã‹ã®è©±ãŒã‚ã‚Šã¾ã—ãŸã€‚ 詳ã—ãã¯è¦‹ã¦ã„ãªã„ã®ã§ã€ä»Šå›žã®è©±ã¨ã¾ã£ãŸãåŒã˜ã‹ã¯æŠŠæ¡ã—ã¦ã„ã¾ã›ã‚“ãŒã€ã‚µãƒ¼ãƒãƒ¼ã‚µã‚¤ãƒ‰ãƒ†ãƒ³ãƒ—レートを混在ã•ã›ã‚‹ã¨ã€æ¬¡ã®ã‚ˆã†ãªã“ã¨ãŒèµ·ã“ã‚Šãˆã¾ã™ã€‚ 例ãˆã°ejsã¨Angular サンプルã¨ã—ã¦ã‚¹ã‚«ã‚¹ã‚«ãªControllerを用æ„ã—ã¾ã™ã€‚ angular.module('app', []).controller('AcmeCtrl', function($scope) { $scope.foo = 'bar'; }); ejsã¯æ¬¡ã®ã‚ˆã†ãªãƒ†ãƒ³ãƒ—レートã«ãªã£ã¦ã„ã‚‹ã¨ã—ã¾ã™ã€‚
Post by @0-9
Object.prototype.__defineSetter__を使ã£ãŸAndroidã§ã®JSON Hijackingã«é–¢ã—㦠ã“ãªã„ã Shibuya.XSSã§å¾³ä¸¸ã•ã‚“ãŒç´¹ä»‹ã•ã‚Œã¦ãŸObject.prototype.__defineSetter__を使ã£ãŸJSON Hijackingã«é–¢ã—ã¦ã€ŒFx3ç³»ã¨Android 2ç³»ã§å‹•ä½œã™ã‚‹ã€ã¨ã®ã“ã¨ã ã£ãŸã®ã§æ¤œè¨¼ã—ã¦ã¿ãŸã€‚
Google Chrome Universal XSS | Hydrant Labs
Exploiting the Google Chrome Developer Tools Recently, there was a front page Hacker News post asking How does Facebook disable Developer Tools? which linked a Stack Overflow question here. With the first part of the vulnerabilities I discovered being widely availible online I figured now was a good of time as any to write a post the rest of them. On a quick note before I get into the post, I'm lo
ãƒãƒƒã‚«ã‚½ãƒ³ã§kintoneを使ãŠã†ï¼ – cybozu developer network
4万社*1ã®æ¥å‹™èª²é¡Œã‚’ サイボウズã®ã‚½ãƒªãƒ¥ãƒ¼ã‚·ãƒ§ãƒ³ã§è§£æ±ºã—よㆠAPI ドã‚ュメントã€è¨è¨ˆãƒ»é–‹ç™ºãƒ»é‹ç”¨ã®ãƒŽã‚¦ãƒã‚¦ã‚„ã€ã‚¤ãƒ™ãƒ³ãƒˆæƒ…å ±ãªã©ã€ エンジニアã®æˆæžœã‚’最大化ã™ã‚‹æŠ€è¡“æƒ…å ±ã‚’ç™ºä¿¡ã—ã¦ã„ã¾ã™ã€‚ *1 2025å¹´10月時点ã§ã®kintone導入社数
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
å˜ç´”ã§ã¯ãªã„ã€æœ€æ–°ã€Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã€äº‹æƒ…
å˜ç´”ã§ã¯ãªã„ã€æœ€æ–°ã€Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã€äº‹æƒ…:HTML5時代ã®ã€Œæ–°ã—ã„ã‚»ã‚ュリティ・エãƒã‚±ãƒƒãƒˆã€ï¼ˆ2)(1/3 ページ) 連載目次 皆ã•ã‚“ã“ã‚“ã«ã¡ã¯ã€‚ãƒãƒƒãƒˆã‚¨ãƒ¼ã‚¸ã‚§ãƒ³ãƒˆã®ã¯ã›ãŒã‚よã†ã™ã‘ã§ã™ã€‚第1回目ã¯ã€Webアプリケーションセã‚ュリティã®å¢ƒç•Œæ¡ä»¶ã§ã‚るオリジンã¨ã„ã†æ¦‚念ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã—ãŸã€‚ ç¾åœ¨ã®Webブラウザーã§ã¯ã€åŒä¸€ã‚ªãƒªã‚¸ãƒ³ã®ãƒªã‚½ãƒ¼ã‚¹ã¯åŒã˜ä¿è·ç¯„囲ã«ã‚ã‚‹ã‚‚ã®ã¨ã—ã€ã‚ªãƒªã‚¸ãƒ³ã‚’超ãˆãŸã‚¢ã‚¯ã‚»ã‚¹ã«ã¤ã„ã¦ã¯ãƒªã‚½ãƒ¼ã‚¹ã®æ供元ãŒæ˜Žç¤ºçš„ã«è¨±å¯ã—ãªã„é™ã‚Šã¯ã‚¢ã‚¯ã‚»ã‚¹ã§ããªã„ã¨ã„ã†ã€ã€ŒåŒä¸€ã‚ªãƒªã‚¸ãƒ³ãƒãƒªã‚·ãƒ¼ï¼ˆSame-Origin Policy)ã€ã«å¾“ã£ã¦ãƒªã‚½ãƒ¼ã‚¹ã‚’ä¿è·ã—ã¦ã„ã¾ã™ã€‚ ãã®ä¿è·ç¯„囲ã§ã‚るオリジンを超ãˆã€ãƒªã‚½ãƒ¼ã‚¹ã«ã‚¢ã‚¯ã‚»ã‚¹ã™ã‚‹æ”»æ’ƒã®ä»£è¡¨äº‹ä¾‹ã§ã‚るクãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS)ã«ã¤ã„ã¦ã€ä»Šå›žã€ãŠã‚ˆã³æ¬¡å›žã®2回ã«åˆ†ã‘ã€HTML5ã«ãŠã„ã¦ã‚ˆã‚Šé«˜åº¦åŒ–ã•ã‚ŒãŸæ”»æ’ƒã¨ã€ãã®å¯¾ç–を説明ã—ã¾
3分ã§åˆ†ã‹ã‚‹AngularJSã‚»ã‚ュリティ - teppeis blog
先日ã®ng-mtg#4 AngularJS 勉強会ã§LTã—よã†ã¨æ€ã£ãŸã‘ã©ç”³ã—è¾¼ã¿ãŒé–“ã«åˆã‚ãªã‹ã£ãŸã®ã§ãƒ–ãƒã‚°ã«æ›¸ãã¾ã™ã€‚ 先月リリースã•ã‚ŒãŸAngularJS 1.2ã¯ã‚»ã‚ュリティãŒã‚“ã°ã£ã¦ã‚‹çš„ãªã“ã¨ã‚’èžã„ãŸã®ã§ã€ã‚»ã‚ュリティ周りã®ä»•çµ„ã¿ã‚’調ã¹ã¦ã¿ã¾ã—ãŸã€‚ ãŠé¡Œã¯ä»¥ä¸‹ã§ã™ã€‚ CSRF JSON CSP (Content Security Policy) Escaping CSRF ユニークãªãƒˆãƒ¼ã‚¯ãƒ³ã‚’HTTPリクエストã«è¼‰ã›ã¦ã‚µãƒ¼ãƒãƒ¼ã§ãƒã‚§ãƒƒã‚¯ã™ã‚‹å¯¾å¿œãŒä¸–ã®ä¸ã§ã¯ä¸»æµï¼ˆæœ€è¿‘ã¯ã‚«ã‚¹ã‚¿ãƒ ヘッダã®ãƒã‚§ãƒƒã‚¯ã«ã‚ˆã‚‹å¯¾ç–も) AngularJSã§ã¯ã€XSRF-TOKEN Cookieã«ãƒˆãƒ¼ã‚¯ãƒ³ãŒè¼‰ã£ã¦ã„ã‚‹ã¨ã€$httpを使ã£ãŸHTTPリクエストã®ãƒ˜ãƒƒãƒ€ã«è‡ªå‹•çš„ã«X-XSRF-TOKENヘッダーãŒä»˜ã。 XSRF-TOKEN Cookieã¯ã‚‚ã¡ã‚ã‚“Not HttpOnlyã§ã€‚ Angularç•Œã§ã¯CS
jQuery Migrate Plugin ãªã‚“ã¦ãªã‹ã£ãŸä»¶ - ã»ã‚€ã‚‰ã¡ã‚ƒã»ã‚€ã»ã‚€
ã„ãã¤ã‹ã®ã‚µã‚¤ãƒˆã§å®Ÿéš›ã«éé‡ã—ã¦ã¾ã™ãŒï¼ŒjQueyr 1.6.3 ã§è§£æ±º( jQuery Bug #9521 )ã—ãŸã¯ãšã® $("a[href=" + hash + "]") タイプ㮠XSS ㌠( 2013/11/18 ç¾åœ¨ 1.2.1 ã‚’å«ã‚€å…¨ã¦ã®ï¼‰ jQuery Migrate Plugin ã§å¾©æ´»ã—ã¾ã™ï¼Ž jQuery 1.6.3 ã®ã¿ã®å ´åˆ jQuery 1.10.2 㨠Migrate Plugin 1.2.1 ã®å ´åˆ 色々追ã£ã¦ã¿ã¦ï¼Œã‚„ã£ã±ã‚Šã¾ã å‹•ãã‘ã©ã¨è¨€ã£ãŸã‚‰ï¼Œ8月ã«ã™ã§ã«ï¼Œå®Ÿéš›ãƒã‚°ã ã‘ã©ã“ã‚Œã§æƒ³å®šé€šã‚Šãªã‚“ã ã¨è¨€ã‚ã‚Œã¦ãŸï¼ˆHe told me that this was not, in fact, a bug, but was working as intended.) ã®ã§ãã†ã„ã†ã“ã¨ã ã£ãŸã¿ãŸã„ã§ã™ï¼Ž jQuery 本体å´ã®å¤‰é· jQuery ã® $() ã«ã¯è¤‡æ•°ã®
Medium
You can find (just about) anything on Medium — apparently even a page that doesn’t exist. Maybe these stories will take you somewhere new?
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
JavaScript Security
Der Vortrag über JavaScript-Sicherheit beschreibt die Risiken von Cross-Site-Scripting (XSS) und die weitreichenden Angriffsflächen, die durch die universelle Nutzung von JavaScript entstehen. Es werden verschiedene Typen von XSS, Methoden zur Risikominderung und die Herausforderungen von modernen JavaScript-Bibliotheken und Single-Page-Anwendungen thematisiert. Zudem wird aufgezeigt, dass einfach
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
Masato Kinugawa Security Blog: U+2028/2029ã¨DOM based XSS
ECMAScriptã®ä»•æ§˜ã§ã¯ã€0x0A/0x0D以外ã«U+2028/2029ã®æ–‡å—も改行ã¨ã™ã‚‹ã“ã¨ãŒæ˜Žè¨˜ã•ã‚Œã¦ã„ã¾ã™ã€‚ ã“ã‚Œã¯ã‚ã¾ã‚ŠçŸ¥ã‚‰ã‚Œã¦ã„ãªã„よã†ã«æ€ã„ã¾ã™ã€‚ 以下ã¯ã‚¢ãƒ©ãƒ¼ãƒˆã‚’出ã—ã¾ã™ã€‚ <script> //[U+2028]alert(1) </script> 知られã¦ã„ãªã„ã ã‘ã§ãªãã€çŸ¥ã£ã¦ã„ãŸã¨ã—ã¦ã‚‚ã€ã‚¹ã‚¯ãƒªãƒ—トã§æ–‡å—列を処ç†ã™ã‚‹ã¨ãã«ã€U+2028/2029ã¾ã§è€ƒæ…®ã™ã‚‹é–‹ç™ºè€…ãŒã©ã‚Œã ã‘ã„ã‚‹ã®ã‹ã¨ã„ã†è©±ã§ã™ã€‚ 実際ã€U+2028/2029を放り込むã¨æ–‡å—列リテラル内ã«ãã®æ–‡å—ãŒç”Ÿã®ã¾ã¾é…ç½®ã•ã‚Œã€ã‚¨ãƒ©ãƒ¼ãŒå‡ºã‚‹ãƒšãƒ¼ã‚¸ã¯æœ¬å½“ã«ãŸãã•ã‚“ã‚ã‚Šã¾ã™ã€‚ã¾ã‚ã€ã‚¨ãƒ©ãƒ¼ãŒã§ã‚‹ã ã‘ãªã‚‰ã€å¤§æŠµã®å ´åˆå¤§ããªå•é¡Œã«ã¯ãªã‚Šã¾ã›ã‚“。 ã¨ã“ã‚ãŒã€U+2028/2029ã«ã‚ˆã£ã¦XSSãŒå¼•ãèµ·ã“ã•ã‚Œã¦ã—ã¾ã†å ´åˆã¨ã„ã†ã®ã‚’最近実際ã«è¦‹ã¾ã—ãŸã€‚ Googleã®ã‚µãƒ¼ãƒ“スã§è¦‹ã¤ã‘ãŸ2ã¤ã®ã‚±ãƒ¼ã‚¹ã‚’å–り上ã’ãŸã„ã¨æ€ã„ã¾ã™ã€‚ ケ
HD.Movie 'Jason Bourne' 2016 online Full
We, like an overwhelming majority of the Internet, use jQuery on the Box web application. We use it primarily to make our lives easier as it effectively abstracts away cross-browser API differences. The plugin infrastructure makes it easy to extend and fill in any gaps we may have. For all that jQuery offers, though, there is one downside: jQuery makes XSS easier than if you use native methods. Th
JSONã‚’vbscriptã¨ã—ã¦èªã¿è¾¼ã¾ã›ã‚‹JSONãƒã‚¤ã‚¸ãƒ£ãƒƒã‚¯(CVE-2013-1297)ã«æ³¨æ„
ã¯ã›ãŒã‚よã†ã™ã‘æ°ã®ãƒ–ãƒã‚°ã‚¨ãƒ³ãƒˆãƒªã€Œæ©Ÿå¯†æƒ…å ±ã‚’å«ã‚€JSONã«ã¯ X-Content-Type-Options: nosniff ã‚’ã¤ã‘ã‚‹ã¹ãã€ã«ã¦ã€å·§å¦™ãªç½ を仕掛ã‘ã‚‹ã“ã¨ã«ã‚ˆã‚Šã€åˆ¥ãƒ‰ãƒ¡ã‚¤ãƒ³ã®JSONデータをvbscriptã¨ã—ã¦èªã¿è¾¼ã¿ã€ã‚¨ãƒ©ãƒ¼ãƒãƒ³ãƒ‰ãƒ©çµŒç”±ã§æ©Ÿå¯†æƒ…å ±ã‚’ç›—ã¿å‡ºã™ã¨ã„ã†æ‰‹æ³•ãŒç´¹ä»‹ã•ã‚Œã¾ã—ãŸã€‚ã“ã‚Œã¯ã€IEã®è„†å¼±æ€§CVE-2013-1297を悪用ã—ãŸã‚‚ã®ã§ã€MS13-037ã«ã¦è§£æ¶ˆã•ã‚Œã¦ã„ã¾ã™ãŒã€MS13-037ã¯IE6~IE8ãŒå¯¾è±¡ã§ã‚ã‚Šã€IE9以é™ã§ã¯è§£æ¶ˆã•ã‚Œã¦ã„ã¾ã›ã‚“。 ã¾ãŸã€MS13-037ã‚’é©ç”¨ã„ã¦ã„ãªã„IE6~IE8ã®åˆ©ç”¨è€…ã‚‚ã—ã°ã‚‰ã残るã¨è€ƒãˆã‚‰ã‚Œã‚‹ã“ã¨ã‹ã‚‰ã€ã“ã®å•é¡Œã‚’詳ã—ã説明致ã—ã¾ã™ã€‚サイトå´ã®å¯¾ç–ã®å‚考ã«ã—ã¦ä¸‹ã•ã„。 å•é¡Œã®æ¦‚è¦ JSONå½¢å¼ã®ãƒ‡ãƒ¼ã‚¿ã¯ã€é€šå¸¸ã¯XMLHttpRequestオブジェクトã«ã‚ˆã‚Šèªã¿å‡ºã—ã¾ã™ãŒã€æ”»æ’ƒè€…ãŒç½ サイトを作æˆã—ã¦ã€vbscript
ランã‚ング
ランã‚ング
メンテナンス
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
http://secappdev.org/handouts/2013/Tom%20Van%20Cutsem/tvcutsem_JS_Security.pdf
jQuery.parseHTML: Mitigate XSS vulnerability by fhemberger · Pull Request #1505 · jquery/jquery
{{#tags}}- {{label}}
{{/tags}}