Masato Kinugawa Security Blog: location.hrefã®ç›²ç‚¹
å¤ã¨ã„ã†ã“ã¨ã§ã€æ€–ã„話をã—ã¾ã™ã€‚ Webアプリケーション開発者ã®çš†ã•ã‚“ã€èžã„ã¦ä¸‹ã•ã„。 時間ãŒãªã„人やã€ä»–ã®äººã«å•é¡Œã‚’説明ã™ã‚‹ã¨ããªã©ã«ã¯ç°¡æ½”ã«ã¾ã¨ã‚ãŸç‰ˆã‚’ã©ã†ãžã€‚ ã“ã‚Œã¯2011å¹´12月27æ—¥ã«Appleã«å ±å‘Šã—ãŸSafariã®å•é¡Œã§ã™ã€‚Appleã‹ã‚‰ã¯ä¿®æ£ã™ã‚‹äºˆå®šã¯ãªã„ã¨ã„ã†å›žç”ã‚’è²°ã£ã¦ã„ã¾ã—ãŸãŒã€2012å¹´7月25æ—¥ã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚ŒãŸMacã®Safari 6ã®ã‚¢ãƒ‰ãƒã‚¤ã‚¶ãƒªã«ã‚ˆã‚‹ã¨ã©ã†ã‚‚Macã®Safari 6ã§ã¯ä¿®æ£ã•ã‚ŒãŸã‚ˆã†ã§ã™ã€‚ About the security content of Safari 6 http://support.apple.com/kb/HT5400 WebKit Available for: OS X Lion v10.7.4, OS X Lion Server v10.7.4 Impact: Visiting a maliciously crafted
「カゴã«å…¥ã‚Œã‚‹ã€ãƒœã‚¿ãƒ³ã‚’押ã™ã¨ã€Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トを防æ¢ã™ã‚‹ãŸã‚ã«ã€ã“ã®ãƒšãƒ¼ã‚¸ã‚’変更ã—ã¾ã—ãŸã€‚ã€ã¨æƒ…å ±ãƒãƒ¼ã«è¡¨ç¤ºã•ã‚Œã‚‹ã®ã§ã™ãŒãƒ»ãƒ»ãƒ» | e-shops カート FAQ
e-shops カート (FAQ - よãã‚る質å•) e-shops カート > è²·ã„物カゴã«ã¤ã„㦠> 「カゴã«å…¥ã‚Œã‚‹ã€ãƒœã‚¿ãƒ³ã‚’押ã™ã¨ã€Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トを防æ¢ã™ã‚‹ãŸã‚ã«ã€ã“ã®ãƒšãƒ¼ã‚¸ã‚’変更ã—ã¾ã—ãŸã€‚ã€ã¨æƒ…å ±ãƒãƒ¼ã«è¡¨ç¤ºã•ã‚Œã‚‹ã®ã§ã™ãŒãƒ»ãƒ»ãƒ» 「カゴã«å…¥ã‚Œã‚‹ã€ãƒœã‚¿ãƒ³ã‚’押ã™ã¨ã€Œã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トを防æ¢ã™ã‚‹ãŸã‚ã«ã€ã“ã®ãƒšãƒ¼ã‚¸ã‚’変更ã—ã¾ã—ãŸã€‚ã€ã¨æƒ…å ±ãƒãƒ¼ã«è¡¨ç¤ºã•ã‚Œã‚‹ã®ã§ã™ãŒãƒ»ãƒ»ãƒ» 「カゴã«å…¥ã‚Œã‚‹ã€ãƒœã‚¿ãƒ³ã‚’押ã™ã¨ 「クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トを防æ¢ã™ã‚‹ãŸã‚ã«ã€ã“ã®ãƒšãƒ¼ã‚¸ã‚’変更ã—ã¾ã—ãŸã€‚〠ã¨ã‚¨ãƒ©ãƒ¼ãŒè¡¨ç¤ºã•ã‚Œã‚‹ã®ã§ã™ãŒã€‚ â—†ç¾è±¡â—† サイト上ã«è¨ç½®ã—ã¦ã‚る「ã‹ã”ã«å…¥ã‚Œã‚‹ã€ãƒœã‚¿ãƒ³ã‚’クリックã™ã‚‹ã¨ã€ 新ウィンドウãŒç«‹ã¡ä¸ŠãŒã‚‹ãŒã€ã‚¦ã‚£ãƒ³ãƒ‰ã‚¦ä¸Šéƒ¨ã®æƒ…å ±ãƒãƒ¼ã« 「Internet Explorerã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆ スクリプトを防æ¢ã™ã‚‹ãŸã‚ã«ã€ã“ã®ãƒšãƒ¼ã‚¸ã‚’変更ã—ã¾ã—ãŸã€‚詳細ã«ã¤ã„ã¦ã¯ã“ã“をクリックã—ã¦ãã ã•ã„..
JVNDB-2012-000032 - JVN iPedia - 脆弱性対ç–æƒ…å ±ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹
ã©ã“ã§ã‚‚リクナビ2013 ã«ã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®è„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚ ã©ã“ã§ã‚‚リクナビ2013 ã¯ã€Google Chrome 用ã®æ‹¡å¼µæ©Ÿèƒ½ã§ã™ã€‚ã©ã“ã§ã‚‚リクナビ2013 ã«ã¯ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®è„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚ ã“ã®è„†å¼±æ€§æƒ…å ±ã¯ã€æƒ…å ±ã‚»ã‚ュリティ早期è¦æˆ’パートナーシップã«åŸºã¥ã下記ã®æ–¹ãŒ IPA ã«å ±å‘Šã—ã€JPCERT/CC ãŒé–‹ç™ºè€…ã¨ã®èª¿æ•´ã‚’è¡Œã„ã¾ã—ãŸã€‚ å ±å‘Šè€…: æ±åŒ—å¤§å¦ å¤§å¦é™¢æƒ…å ±ç§‘å¦ç ”究科 è‰é‡Ž 一彦 æ°
æƒ…å ±å‡¦ç†è©¦é¨“å•é¡Œã«å¦ã¶JavaScriptã®XSS対ç–
æŒ‡æ‘˜äº‹é …Aä¸ã®(a)ã¯ã€ä»–を見ãªãã¦ã‚‚「セã‚ュアã€å±žæ€§ã ã¨åˆ†ã‹ã‚Šã¾ã™ã。徳丸本(体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ï¼‰ã§ã¯ã€4.8.2クッã‚ーã®ã‚»ã‚ュア属性ä¸å‚™(P209)ã«èª¬æ˜ŽãŒã‚ã‚Šã¾ã™ã€‚ æŒ‡æ‘˜äº‹é …Bã¯ã€ã“ã“ã ã‘èªã‚€ã¨ã€XSSã®ã‚ˆã†ã§ã‚‚ã‚ã‚Šã€ã‚µãƒ¼ãƒãƒ¼ã‚µã‚¤ãƒ‰ã®ã‚¹ã‚¯ãƒªãƒ—トインジェクションã®ã‚ˆã†ã§ã‚‚ã‚ã‚Šã¾ã™ãŒã€æ¤œæŸ»ãƒã‚°ã‹ã‚‰XSSã§ã‚ã‚‹ã“ã¨ãŒã‚ã‹ã‚Šã¾ã™ï¼ˆä¸‹å›³ã¯IPAã‹ã‚‰ã®å¼•ç”¨ï¼‰ã€‚XSSã¯ã€å¾³ä¸¸æœ¬4.3.1クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(基本編)ã¨4.3.2クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(発展編)ã«ã¦èª¬æ˜Žã—ã¦ã„ã¾ã™ã€‚ ã“ã“ã¾ã§ã¯ã€ã”ã基本的ãªå•é¡Œã§ã™ãŒã€å•é¡Œæ–‡P6ã«å‡ºã¦ãる以下ã®éƒ¨åˆ†ã¯ã€å°‘ã—ã ã‘ã²ãã£ã¦ã¾ã™ã。 ã“ã®ãƒ—ãƒã‚°ãƒ©ãƒ ã¯ã€åˆ©ç”¨è€…ãŒå…¥åŠ›ã—ãŸæ–‡å—列をダイアãƒã‚°ã«è¡¨ç¤ºã™ã‚‹ãŸã‚ã«ã€å—ã‘å–ã£ãŸãƒ‘ラメタã®å€¤ã‚’スクリプトã«åŸ‹ã‚è¾¼ã¿ã€å‹•çš„ã«ã‚¹ã‚¯ãƒªãƒ—トを生æˆã™ã‚‹ã€‚図4ã®(  c   )行目ã§ã¯
rails3以é™ã®WEBアプリケーションã«ã‚ã‚ŠãŒã¡ãªXSS - hanagemanã®æ—¥è¨˜ã§ã¯ãªã„
明示ã—ãªãã¦ã‚‚viewã§ã®å‡ºåŠ›ã‚’HTMLエスケープã—ã¦ãれるã®ã§ç„¡è¦æˆ’ã«ãªã£ã¦ã‚‹ html_escapeãŒã‚·ãƒ³ã‚°ãƒ«ã‚¯ã‚©ãƒ¼ãƒˆã‚’エスケープã—ãªã„ã¨ã„ã†èªè˜ãŒãªã„ viewã§javascriptを書ãã¨ãã«åŸ‹ã‚込む値をescape_javascriptã—ã¦ãªã„ ã“ã®ã‚ãŸã‚Šã®è¦ç´ ãŒçµ„ã¿åˆã‚ã•ã‚‹ã¨XSSãŒã†ã¾ã‚Œã‚„ã™ã„ã¨ã„ã†è©±ã‚’書ãã¾ã™ã€‚ã‚ã‹ã£ã¦ã‚‹äººã«ã¨ã£ã¦ã¯ã‚¯ã‚½ã¿ãŸã„ãªå†…容ãªã®ã§èªã‚€æ™‚é–“ãŒã‚‚ã£ãŸã„ãªã„ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。ãŸã¨ãˆã°js.erbã§ã“ã‚“ãªãµã†ã«æ›¸ã„ã¦ãŸã¨ã—㦠var article_id = '<%= @article_id %>'; @article_idãŒä¿¡ç”¨ã§ãる値ã ã¨ã„ã†å‰æã ã¨å•é¡Œãªã„ã®ã§ã™ãŒã€controller㧠@article_id = params[:article][:id] 実ã¯ã“ã‚“ãªã“ã¨ã—ã¦ã‚‹ã ã‘ã§ã‚ã¨ã¯ç´ 通ã—ã£ã¦ã„ã†äººã‚‚ã€ã‚‚ã—ã‹ã—ãŸã‚‰ã„ã‚‹ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“。è¦ã¯å¤–ã‹ã‚‰æ¸¡
Masato Kinugawa Security Blog: ブラウザã®XSSä¿è·æ©Ÿèƒ½ã‚’ãƒã‚¤ãƒ‘スã™ã‚‹
Chromeã‚„Safariã«ã¯XSS Auditorã€IE 8以上ã«ã¯XSSフィルターã¨ã„ã†ã€XSSを検知ã—ã¦ãƒ–ãƒãƒƒã‚¯ã™ã‚‹æ©Ÿèƒ½ãŒãã‚Œãžã‚Œã‚ã‚Šã¾ã™ã€‚ 今回ã¯ã€ã“れを回é¿ã—ã¦ã¿ãŸè¨˜éŒ²ã§ã™ã€‚ ・Chromeã§ãƒã‚¤ãƒ‘ス ã¯ã„ï¼ã¤ã„ãŠã¨ã¨ã„å ±å‘Šã—ãŸã‚„ã¤ã§ã™ï¼ XSS Auditor bypass with U+2028/2029 https://bugs.webkit.org/show_bug.cgi?id=78732 ãªãœã‹Safariã§ã¯ãƒ–ãƒãƒƒã‚¯ã•ã‚Œã‚‹(ä¸ã®äººã‚‚ç†ç”±ãŒã‚ã‹ã‚‰ãªã„ã¨è¨€ã£ã¦ã„ãŸ)ã‚“ã ã‘ã©ã€Chromeã§ã¯å‹•ãã¾ã™ã€‚以下ã§è©¦ã—ã¦ã¿ã¦ãã ã•ã„。 http://vulnerabledoma.in/char_test?charset=utf-8&xss=1&body=%3Cscript%3E//%E2%80%A8alert(1)%3C/script%3E http://vulnerabled
グーグルã•ã‚“ã‹ã‚‰ã®ã„ãŸã ãã‚‚ã®ã¾ã¨ã‚ - 2011 - A Plain Old UNIX Programmer
太ã£è…¹ãーãã‚‹ã•ã‚“ã‹ã‚‰ä»Šå¹´ï¼‘å¹´é–“é ‚ã„ãŸã‚‚ã®ã¯ã€ 01月 $1,000 Mapsã¨Blogsearchを去年XSSã£ãŸæ™‚ã®æ®‹ã‚Šã®æŒ¯è¾¼ã€‚ 07月 $500 å†ã³Mapsã§XSS。 10月 Tシャツ GDD2011JPå‚åŠ Tシャツã¨ã‚¿ãƒ€æ˜¼é£¯ã€‚ 10月 Tシャツ GDD2011JP DevQuiz満点Tシャツ(写真å³)ã¨EXP Hackathon後ã®ã‚¿ãƒ€é…’懇親会。 11月 Tシャツ Google Code Jam Japan 2011 200ä½ä»¥å†…賞å“Tシャツ(写真左)ã€ã§ï¼Ÿã‚ªãƒ•ä¼šã¯ã©ã†ãªã£ãŸï¼Ÿ ã¨ã„ã†è¨³ã§ãーãã‚‹ã•ã‚“ã‹ã‚‰é‡‘å“é ‚ããªã‚‰Vulnerability Reward ProgramãŒä¸€ç•ªåŠ¹çŽ‡ã„ã„よã†ã§ã™ã€‚ è‹¥ã„コーダーã®çš†ã•ã‚“も徳丸本ã§ã‚‚èªã‚“ã§ãƒãƒ£ãƒ¬ãƒ³ã‚¸ã—ã¦ã¿ã¦ã¯ï¼Ÿ 体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Šæ–¹ 脆弱性ãŒç”Ÿã¾ã‚Œã‚‹åŽŸç†ã¨å¯¾ç–ã®å®Ÿè·µ 作者: 徳丸浩出版社/メーカー: SB
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トã«ã¤ã„ã¦ã€‚楽天ã§è²·ã„物をã—ãŸã„ã®ã§ã™ãŒã€å•†å“ã®ãƒšãƒ¼ã‚¸ã«è¡Œãã¨ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トを防æ¢ã™ã‚‹ãŸã‚ã«ã“ã®ãƒšãƒ¼ã‚¸ã‚’... - Yahoo!知æµè¢‹
クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トã«ã¤ã„ã¦ã€‚ 楽天ã§è²·ã„物をã—ãŸã„ã®ã§ã™ãŒã€å•†å“ã®ãƒšãƒ¼ã‚¸ã«è¡Œã㨠ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トを防æ¢ã™ã‚‹ãŸã‚ã«ã“ã®ãƒšãƒ¼ã‚¸ã‚’変更ã—ã¾ã—ãŸã€‘ã¨å‡ºã¦ãã¾ã™ã€‚ クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トã«ã¤ã„ã¦ã€‚ 楽天ã§è²·ã„物をã—ãŸã„ã®ã§ã™ãŒã€å•†å“ã®ãƒšãƒ¼ã‚¸ã«è¡Œã㨠ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トを防æ¢ã™ã‚‹ãŸã‚ã«ã“ã®ãƒšãƒ¼ã‚¸ã‚’変更ã—ã¾ã—ãŸã€‘ã¨å‡ºã¦ãã¾ã™ã€‚ ã›ã£ã‹ãã„ã„商å“を見ã¤ã‘ãŸã®ã§ã€ã©ã†ã—ã¦ã‚‚購入ã—ãŸã„ã§ã™ã€‚ (商å“ã¨è¨€ã†ã®ã¯ã€ãƒ¯ãƒ³ã¡ã‚ƒã‚“ã®å¯æ„›ã„æœã§ã™ï¼‰ ã©ã†ã—ãŸã‚‰ã„ã„ã§ã—ょã†ã‹ï¼Ÿ 購入ã™ã‚‹ã“ã¨ã¯ã§ããªã„ã®ã§ã—ょã†ã‹ï¼Ÿ ãƒãƒƒãƒˆã«ãã“ã¾ã§è©³ã—ããªã„ã‚‚ã®ã§â€¦ クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—トã¨ã„ã†ã“ã¨ã«ã¤ã„ã¦ã‚‚分ã‹ã‚Šã‚„ã™ããŠé¡˜ã„ã—ã¾ã™ï¼
JVNDB-2011-002979 - Android ã«ãŠã‘るクãƒã‚¹ã‚¢ãƒ—リケーションスクリプティングã®è„†å¼±æ€§ - JVN iPedia - 脆弱性対ç–æƒ…å ±ãƒ‡ãƒ¼ã‚¿ãƒ™ãƒ¼ã‚¹
ãƒãƒ¼ã‚«ãƒ«ã‚¢ãƒ—リケーションã«ã‚ˆã‚Šã€(1) 多数ã®ã‚¿ãƒ–ãŒé–‹ã‹ã‚Œã€æ¨™çš„ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã¸ã® URI ãŒç¾åœ¨ã®ã‚¿ãƒ–ã«èªã¿è¾¼ã¾ã‚Œã‚‹ã€ã¾ãŸã¯ (2) UI ã®ãƒ•ã‚©ãƒ¼ã‚«ã‚¹ãŒæ¨™çš„ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã«ã‚ã‚‹ã¨ãã€æ¨™çš„ドメイン㮠URI ã¨æ‚ªæ„ã®ã‚ã‚‹ Javascript ã¨ã„ã†é€£ç¶šã™ã‚‹2ã¤ã® startActivity 関数コールãŒä½œã‚‰ã‚Œã‚‹ã“ã¨ã§ã€ã‚µãƒ³ãƒ‰ãƒœãƒƒã‚¯ã‚¹ã‚’回é¿ã•ã‚Œã‚‹ã€ãŠã‚ˆã³ã€ä»»æ„ã®ãƒ‰ãƒ¡ã‚¤ãƒ³ã«ãŠã„ã¦ä»»æ„ã® Javascript を実行ã•ã‚Œã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚
PHPã®ã‚¤ã‚¿ã„入門書をèªã‚“ã§Ajaxã®XSSã«ã¤ã„ã¦æ¤œè¨Žã—ãŸ(3)~JSONç‰ã®æƒ³å®šå¤–èªã¿å‡ºã—ã«ã‚ˆã‚‹æ”»æ’ƒï½ž - ockeghem(徳丸浩)ã®æ—¥è¨˜
昨日ã®æ—¥è¨˜ã®ç¶šãã§ã€Ajaxã«å›ºæœ‰ãªã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦æ¤œè¨Žã—ã¾ã™ã€‚今回ã¯JSONç‰ã®æƒ³å®šå¤–èªã¿å‡ºã—ã«ã‚ˆã‚‹æ”»æ’ƒã§ã™ã€‚ã“れら攻撃手法ã¯æœ¬æ¥ãƒ–ラウザå´ã§å¯¾å¿œã™ã¹ãã‚‚ã®ã§ã€ã‚„むを得ãšWebアプリケーションå´ã§å¯¾å¿œã™ã‚‹ä¸Šã§ã€ã¾ã 定番ã¨ãªã‚‹å¯¾ç–ãŒãªã„よã†ã«æ€ãˆã¾ã™ã€‚ã“ã®ãŸã‚ã€è¤‡æ•°ã®å€™è£œã‚’示ã™ã‚‹ã“ã¨ã§è°è«–ã®ãã£ã‹ã‘ã«ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚ ã¾ãšã€ä½œã‚ŠãªãŒã‚‰åŸºç¤Žã‹ã‚‰å¦ã¶PHPã«ã‚ˆã‚‹Webアプリケーション入門XAMPP/jQuery/HTML5ã§ä½œã‚‹ã‚¤ãƒžãƒ‰ã‚ã®Weã‹ã‚‰ã€Ajaxを利用ã—ãŸã‚¢ãƒ—リケーションã®æ¦‚念図を引用ã—ã¾ã™ï¼ˆåŒæ›¸P20ã®å›³1-23)。 å‰å›žã€å‰ã€…回ã¯ã€(5)ã®HTTPレスãƒãƒ³ã‚¹ã®å‰å¾Œã§ã€JSONç‰ã®ãƒ‡ãƒ¼ã‚¿ä½œæˆï¼ˆã‚¨ãƒ³ã‚³ãƒ¼ãƒ‰ï¼‰ã«èµ·å› ã™ã‚‹evalインジェクションやã€(5)ã®ãƒ¬ã‚¹ãƒãƒ³ã‚¹ã‚’å—ã‘å–ã£ãŸå¾Œã®HTMLレンダリングã®éš›ã®XSSã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã—ãŸã€‚ ã—ã‹ã—ã€å•é¡Œã¯ã“ã‚Œã ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“。æ£å¸¸
PHPã®ã‚¤ã‚¿ã„入門書をèªã‚“ã§Ajaxã®XSSã«ã¤ã„ã¦æ¤œè¨Žã—ãŸ(2)~evalインジェクション~ - ockeghem(徳丸浩)ã®æ—¥è¨˜
昨日ã®æ—¥è¨˜ã®ç¶šãã§ã€Ajaxã«å›ºæœ‰ãªã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦æ¤œè¨Žã—ã¾ã™ã€‚タイトルã¯XSSã¨ãªã£ã¦ã„ã¾ã™ãŒã€ä»Šå›žç´¹ä»‹ã™ã‚‹è„†å¼±æ€§ã¯XSSã§ã¯ã‚ã‚Šã¾ã›ã‚“。 作りãªãŒã‚‰åŸºç¤Žã‹ã‚‰å¦ã¶PHPã«ã‚ˆã‚‹Webアプリケーション入門XAMPP/jQuery/HTML5ã§ä½œã‚‹ã‚¤ãƒžãƒ‰ã‚ã®Weã‹ã‚‰ã€Ajaxを利用ã—ãŸã‚¢ãƒ—リケーションã®æ¦‚念図を引用ã—ã¾ã™ï¼ˆæœ¬æ›¸P20ã®å›³1-23)。 Ajaxã®ã‚¢ãƒ—リケーションã§ã¯ã€XMLHttpRequestメソッドç‰ã§ãƒ‡ãƒ¼ã‚¿ã‚’è¦æ±‚ã—ã€ã‚µãƒ¼ãƒãƒ¼ã¯XMLã€JSONã€ã‚¿ãƒ–区切り文å—列ãªã©é©å½“ãªå½¢å¼ã§è¿”ã—ã¾ã™ã€‚ブラウザå´JavaScriptã§ã¯ã€ãƒ‡ãƒ¼ã‚¿å½¢å¼ã‚’デコードã—ã¦ã€ã•ã¾ã–ã¾ãªå‡¦ç†ã®å¾Œã€HTMLã¨ã—ã¦è¡¨ç¤ºã—ã¾ã™ã€‚以下ã«ã€Ajaxã®ãƒªã‚¯ã‚¨ã‚¹ãƒˆãŒã‚µãƒ¼ãƒãƒ¼ã«å±Šã„ãŸå¾Œã®å‡¦ç†ã®æµã‚Œã‚’説明ã—ã¾ã™ã€‚ サーãƒãƒ¼å´ã§ãƒ‡ãƒ¼ã‚¿ã‚’作æˆã€å–å¾— データä¼é€ç”¨ã®å½¢å¼ï¼ˆXMLã€JSONã€ã‚¿ãƒ–区切り文å—列ç‰ï¼‰ã«ã‚¨ãƒ³ã‚³ãƒ¼ãƒ‰
ç§ã¯ã„ã‹ã«ã—ã¦æ§˜ã€…ãªãƒ–ラウザã®è„†å¼±æ€§ã‚’発見ã—ãŸã‹ - 葉ã£ã±æ—¥è¨˜
先日ã€Twitterã§ã©ã®ã‚ˆã†ã«è„†å¼±æ€§ã‚’見ã¤ã‘ã‚‹ã‹ã«èˆˆå‘³ã‚ã‚‹ã‚“ã ã‚ã†ã‹ã¨æ›¸ã„ãŸã‚‰ã€æ„外ã«è‰²ã€…ãªäººã‹ã‚‰åå¿œãŒã‚ã£ãŸã®ã§ã€ã“ã‚Œã¾ã§ã«è‡ªåˆ†ãŒè¦‹ã¤ã‘ãŸè„†å¼±æ€§ã®ã„ãã¤ã‹ã«ã¤ã„ã¦ã©ã†ã„ã†çµŒç·¯ã§è¦‹ã¤ã‘ãŸã®ã‹ã¡ã‚‡ã£ã¨æ›¸ã„ã¦ã¿ã¾ã™ã€‚ JVN#89344424: 複数ã®ãƒ¡ãƒ¼ãƒ«ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã‚½ãƒ•ãƒˆã«ãŠã‘ã‚‹ã€æ·»ä»˜ãƒ•ã‚¡ã‚¤ãƒ«ã«ã‚ˆã‚Šãƒ¡ãƒ¼ãƒ«ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã‚½ãƒ•ãƒˆãŒä½¿ç”¨ä¸èƒ½ã«ãªã‚‹è„†å¼±æ€§ ã“ã‚Œã¯ã€æ·»ä»˜ãƒ•ã‚¡ã‚¤ãƒ«åã«Unicodeã®å††è¨˜å·ã‚’å«ã‚ã¦ãŠãã¨ã€ãƒ¡ãƒ¼ãƒ©å´ã§Shift_JISã«å¤‰æ›ã™ã‚‹éš›ã«ãƒãƒƒã‚¯ã‚¹ãƒ©ãƒƒã‚·ãƒ¥ã«å¤‰æ›ã•ã‚Œã¦ã—ã¾ã£ã¦æƒ³å®šå¤–ã®ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªã«æ·»ä»˜ãƒ•ã‚¡ã‚¤ãƒ«ãŒå±•é–‹ã•ã‚Œã¦ã—ã¾ã£ãŸã‚Šã€ã‚ã‚‹ã„ã¯ã€ŒÂ©onã€ã®ã‚ˆã†ãªåå‰ã®ãƒ•ã‚¡ã‚¤ãƒ«ã‚’添付ã—ã¦ãŠãã“ã¨ã§Shift_JISã«å¤‰æ›ã—ã¦CONã¨ã„ã†ãƒ•ã‚¡ã‚¤ãƒ«ã‚’é–‹ã“ã†ã¨ã—ã¦ãƒ¡ãƒ¼ãƒ©ãŒå›ºã¾ã£ã¦ã—ã¾ã†ã¨ã„ã†å•é¡Œã§ã™ã€‚ã“ã‚Œã¯ã€ç§è‡ªèº«ãŒæ–‡å—コードã®å•é¡Œã«ã¤ã„ã¦èª¿ã¹å§‹ã‚ãŸåˆæœŸæ®µéšŽã§ã€Unicodeã‹ã‚‰ã®å¤‰æ›ã§å•é¡Œ
エフセã‚ュアブãƒã‚° : ソーシャルメディア時代ã®è„†å¼±æ€§å ±å‘Š
ソーシャルメディア時代ã®è„†å¼±æ€§å ±å‘Š 2011å¹´05月27æ—¥22:28 ツイート mikko_hypponen ヘルシンã‚発 by:ミッコ・ヒッãƒãƒãƒ³ 昨晩ã€å¤ã„é›»åメールを探ã—ã¦ã„ã¦ã€ä»¥ä¸‹ã®å¥‡å¦™ãªãƒ˜ãƒƒãƒ€ã‚’見ã¤ã‘ãŸï¼š ユーモアã®ã‚»ãƒ³ã‚¹ã‚’æŒã¤èª°ã‹ãŒã€ãƒ¡ãƒ¼ãƒ«ã®ãƒ˜ãƒƒãƒ€ã«XSSジョークを挿入ã—ãŸã®ã 。 é¢ç™½ã„ã¨æ€ã£ãŸã®ã§ã€ã“ã®ã“ã¨ã«ã¤ã„ã¦Twitterã«æŠ•ç¨¿ã—ãŸï¼š 数分後ã€ç§ã¯Robin JacksonãŒä»¥ä¸‹ã®ã‚ˆã†ã«ãƒªãƒ—ライã—ã¦ã„ã‚‹ã®ã«æ°—ã¥ã„ãŸï¼š ã‚ã‚Šå¾—ãªã„。ツイートãŒã€Œã‚¹ã‚¯ãƒªãƒ—トã€ã‚¿ã‚°ã‚’å«ã‚“ã§ã„ã‚‹ã‹ã‚‰ã¨ã„ã£ã¦ã€Javascriptを実行ã™ã‚‹Twitterクライアントã¯ç„¡ã„。 本当ã§ã‚ã‚‹ã“ã¨ã‚’示ã™ãŸã‚ã€Robinã¯ã‚¹ã‚¯ãƒªãƒ¼ãƒ³ã‚·ãƒ§ãƒƒãƒˆã‚’投稿ã—ã¦ãã‚ŒãŸã€‚ å½¼ãŒä½¿ç”¨ã—ã¦ã„るクライアントã¯ã€Chrome用ã®Tweetdeckã ã£ãŸã€‚開発者ã«å ±ã›ãªãã¦ã¯ã€‚ãã—ã¦ã‚‚ã¡ã‚ã‚“ã€å½¼ã‚‰ã‚‚Twitter上ã«ã„る。 Tw
tsukitaroã®ãƒ–ックマーク / 2011å¹´4月19æ—¥ - ã¯ã¦ãªãƒ–ックマーク
è¦ã™ã‚‹ã«ã€è§£æ±ºã•ã‚Œã‚‹ã¾ã§ã¯ãƒã‚°ã‚¢ã‚¦ãƒˆã—ã¨ã‘ã¨ã„ã†ã“ã¨ã ãã†ãƒ‡ã‚¹ã€‚ ã€2011/04/20 12:20 追記】ã²ã‚ƒã£ã¯ãƒ¼çš„ãªãŠã¾ã‘ã‚’è¿½åŠ ã—ã¾ã—ãŸã€‚ ã€2011/04/20 00:30 追記】多分ã“ã‚Œã§æœ€å¾Œã€‚以é™ã¯ Evernote ã®æ£å¼ç™ºè¡¨ã‚’å¾…ã£ãŸä¸Šã§ã€ãれを信用ã—ã¦åˆ©ç”¨ã™ã‚‹ã‹ã©ã†ã‹ã¯å„個人ã®åˆ¤æ–ã«ãŠä»»ã›ã—ã¾ã™ã€‚ ã€2011/04/19 17:05 追記】åˆå¾Œã®éƒ¨è¿½è¨˜ã€‚ãªãŠã€ã‚¨ãƒ³ãƒˆãƒªã‚’èµ·ã“ã•ã‚Œã¦ã„ã‚‹æ–¹ãŒãŠã‚Šã¾ã—ãŸã®ã§ã”紹介。>『bulkneetsæ°ã«ã‚ˆã£ã¦å ±å‘Šã•ã‚ŒãŸEvernoteã®XSS脆弱性ã¨ã¯ å±é™ºã¨å¯¾ç–ã€( http://d.hatena.ne.jp/pichikupachiku/20110419/1303158373 ) 続ãã‚’èªã‚€
JVN#62275332: Internet Explorer ã«ãŠã‘るクãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®è„†å¼±æ€§
Internet Explorer ã«ã¯ã€ãƒ•ã‚¡ã‚¤ãƒ«åˆ¤åˆ¥å‡¦ç†ã«èµ·å› ã™ã‚‹ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティングã®è„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚ Windows XP SP3 上㮠Internet Explorer 6 Windows XP x64 Edition SP2 上㮠Internet Explorer 6 Windows XP SP3 上㮠Internet Explorer 7 Windows XP x64 Edition SP2 上㮠Internet Explorer 7 Windows Vista SP1 ãŠã‚ˆã³ SP2 上㮠Internet Explorer 7 Windows Vista x64 Edition SP1 ãŠã‚ˆã³ Windows Vista x64 Edition SP2 上㮠Internet Explorer 7 Windows XP SP3 上㮠Internet E
[é‡è¦] ã‚»ã‚ュリティアップデート Movable Type 5.04 ãŠã‚ˆã³ 4.28ã®æ供を開始 | Movable Type ニュース
Movable Type 4 ãŠã‚ˆã³ Movable Type 5 ã§ç¢ºèªã•ã‚ŒãŸè¤‡æ•°ã®ã‚»ã‚ュリティå•é¡Œã®ä¿®æ£ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã¨ã—ã¦ã€ Movable Type 4.28 ãŠã‚ˆã³ Movable Type 5.04 ã®æ供を開始ã„ãŸã—ã¾ã™ã€‚Movable Type 4 ãŠã‚ˆã³ Movable Type 5 ã®ã™ã¹ã¦ã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã®ã€ä¿®æ£ç‰ˆã¸ã®ã‚¢ãƒƒãƒ—グレードを強ã推奨ã—ã¾ã™ã€‚ æ¦‚è¦ Movable Type 5.031 ãŠã‚ˆã³ 4.27 ã‚’å«ã‚€ä»¥å‰ã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã§ã¯ã€ã‚¢ãƒ—リケーション上ã®å…¥åŠ›é …ç›®ã®ä¸€éƒ¨ã«ãŠã„ã¦ã€é©åˆ‡ã«å…¥åŠ›ã‚¨ã‚¹ã‚±ãƒ¼ãƒ—処ç†ã•ã‚Œãªã„ãŸã‚ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング(XSS)ãŠã‚ˆã³ SQLインジェクションãŒç™ºç”Ÿã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ 想定ã•ã‚Œã‚‹å½±éŸ¿ é éš”ã®ç¬¬ä¸‰è€…ã«ã‚ˆã‚Šã€å½“該製å“ã§ç®¡ç†ã—ã¦ã„ã‚‹æƒ…å ±ã‚’é–²è¦§ã•ã‚ŒãŸã‚Šã€å¤‰æ›´ã•ã‚ŒãŸã‚Šã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ã¾ãŸã€é éš”ã®ç¬¬ä¸‰è€…ãŒç‰¹å®šã®æ“作をãŠã“ãªã†ã“ã¨ã§ã€ãƒ¦
![[é‡è¦] ã‚»ã‚ュリティアップデート Movable Type 5.04 ãŠã‚ˆã³ 4.28ã®æ供を開始 | Movable Type ニュース](https://cdn-ak-scissors.b.st-hatena.com/image/square/5cfc5bfad4f2ab6f23c139f85505e65d86f56dcc/height=288;version=1;width=512/https%3A%2F%2Fwww.sixapart.jp%2Fshare%2Fimages%2Fogimage-mt-news.png)
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
Geekãªãºãƒ¼ã˜ : ãƒ¡ã‚¿æƒ…å ±ã«ã‚ˆã‚‹XSS
先日ã€ãªã‹ãªã‹å¼·çƒˆãªXSS攻撃手法ãŒå…¬é–‹ã•ã‚Œã¦ã„ã¾ã—ãŸã€‚ DNSã¸ã®å•ã„åˆã‚ã›çµæžœã«JavaScriptを埋ã‚込んã§ã—ã¾ãŠã†ã¨ã„ã†ã‚‚ã®ã§ã™ã€‚ SkullSecurity: Stuffing Javascript into DNS names DarkReading: Researcher Details New Class Of Cross-Site Scripting Attack nCircle: Meta-Information Cross Site Scripting (PDF) 自動生æˆã•ã‚Œã‚‹Webページä¸ã«ã€DNSã«ã‚ˆã‚‹åå‰è§£æ±ºçµæžœãŒã‚¨ã‚¹ã‚±ãƒ¼ãƒ—ã•ã‚Œãªã„状態ã§å«ã¾ã‚Œã¦ã„ã‚‹ã¨ã€JavaScriptãŒå®Ÿè¡Œã•ã‚Œã¦ã—ã¾ã†ã¨ã„ã†ä»•æŽ›ã‘ã§ã™ã€‚ 「hogehoge.example.comã€ãŒæœ¬æ¥ãªã‚‰ã°ã€Œ198.1.100.3ã€ã¨ã„ã†ã‚ˆã†ãªIPアドレスãŒçµæžœã¨ã—ã¦è¿”ã‚‹ã¨ã“ã‚ã‚’ã€DNSã«ç´°å·¥ã‚’è¡Œã£
æºå¸¯é›»è©±äº‹æ¥è€…ã«å¦ã¶ã€ŒXSS対ç–〠- ockeghem's blog
NTTドコモã¨ã‚½ãƒ•ãƒˆãƒãƒ³ã‚¯ãƒ¢ãƒã‚¤ãƒ«ã¯ã€ãƒ•ã‚£ãƒ¼ãƒãƒ£ãƒ¼ãƒ•ã‚©ãƒ³ï¼ˆã„ã‚ゆるガラケー)ã«ã¦JavaScriptã®å¯¾å¿œã‚’始ã‚ã¦ã„ã¾ã™ã€‚JavaScriptã«å¯¾å¿œã™ã‚‹ã¨ã€ã‚¯ãƒã‚¹ã‚µã‚¤ãƒˆãƒ»ã‚¹ã‚¯ãƒªãƒ—ティング(XSS)脆弱性ã®æ‡¸å¿µãŒé«˜ã¾ã‚Šã¾ã™ãŒã€ä¸¡ç¤¾ã¯ç‹¬è‡ªã®æ‰‹æ³•ã«ã‚ˆã‚ŠXSS対ç–ã‚’ã—ã¦ã„る(ã—よã†ã¨ã—ã¦ã„る)挙動ãŒè¦³æ¸¬ã•ã‚Œã¾ã—ãŸã®ã§å ±å‘Šã—ã¾ã™ã€‚ã“ã®å†…容ã¯ã€ã‚ªãƒ¬æ¨™æº–JavaScript勉強会ã§ãƒã‚¿ã¨ã—ã¦ä½¿ã£ãŸã‚‚ã®ã§ã™ã€‚ NTTドコモã«å¦ã¶ã€ŒXSS対ç–ã€ã¾ãšã€ã‚µãƒ³ãƒ—ルã¨ã—ã¦ä»¥ä¸‹ã®ã‚ˆã†ãªXSS脆弱ãªã‚¹ã‚¯ãƒªãƒ—トを用æ„ã—ã¾ã™ã€‚ <?php session_start(); ?> <body> ã“ã‚“ã«ã¡ã¯<?php echo $_GET['p']; ?>ã•ã‚“ </body>ã“れを以下ã®URLã§èµ·å‹•ã™ã‚‹ã¨ã€IE7ã§ã¯ä¸‹å›³ã®ã‚ˆã†ãªè¡¨ç¤ºã«ãªã‚Šã¾ã™ã€‚ []http://example.com/xss01.php?p=山田<scrip
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
テクノãƒã‚¸ãƒ¼ãŒç´¡ã世界 - jstshingi.jp
{{#tags}}- {{label}}
{{/tags}}