ï¼»ã•ã‚‰ã«æ°—ã«ãªã‚‹ï¼½JSONã®å®ˆã‚Šæ–¹
XSSã«CSRFã«SQLインジェクションã«ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒˆãƒ©ãƒãƒ¼ã‚µãƒ«â€¦â€¦Webアプリケーションã®ãƒ—ãƒã‚°ãƒ©ãƒžãŒçŸ¥ã£ã¦ãŠãã¹ã脆弱性ã¯ã„ã£ã±ã„ã‚ã‚Šã¾ã™ã€‚ãã“ã§æœ¬é€£è¼‰ã§ã¯ã€ãã®ã‚ˆã†ãªãƒ¡ã‚¸ãƒ£ãƒ¼ãªã‚‚ã®â€œä»¥å¤–â€ã‚‚掘り下ã’ã¦ã„ãã¾ã™ (編集部) 次ã¯ã€JSONã«ãŠã‘ã‚‹ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– çš†ã•ã‚“ã“ã‚“ã«ã¡ã¯ã€ã¯ã›ãŒã‚よã†ã™ã‘ã§ã™ã€‚第4回「[気ã«ãªã‚‹ï¼½JSONPã®å®ˆã‚Šæ–¹ã€ã¯JSONPã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã—ãŸã®ã§ã€ä»Šå›žã¯ã€ŒJSONã€ã«ã¤ã„ã¦ã‚‚ã‚»ã‚ュリティ上注æ„ã™ã¹ã点ã«ã¤ã„ã¦èª¬æ˜Žã—ã¾ã™ã€‚ JSONã¯ã€XMLHttpRequestã§å—ã‘å–ã‚Šã€JavaScript上ã§evalã™ã‚‹ã¨ã„ã†ä½¿ã„æ–¹ãŒä¸€èˆ¬çš„ã§ã™ã€‚ ã¾ãšã¯ã‚µãƒ¼ãƒå´ã‹ã‚‰é€ã‚‰ã‚Œã‚‹æƒ…å ±ã¨ã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆå´ã§ã®å‡¦ç†ã€ãã‚Œãžã‚Œã®å†…容を見ã¦ãŠãã¾ã—ょã†ã€‚ [サーãƒå´ï¼½ HTTP/1.1 200 OK Content-Type: application/json; charset=
VALUE DOMAIN改竄&ゼãƒãƒ‡ã‚¤ | 水無月ã°ã‘らã®ãˆã³æ—¥è¨˜
公開: 2009å¹´7月8æ—¥16時45åˆ†é ƒ ã‚»ã‚ュリティホールmemo (www.st.ryukoku.ac.jp)よりã€VALUE DOMAINãƒã‚°ã‚¤ãƒ³ãƒšãƒ¼ã‚¸æ”¹ç«„ (lineage.paix.jp)ã ãã†ã§ã€‚ ゼãƒãƒ‡ã‚¤ã§ã™ã‹ã€‚é–“ã®æ‚ªã„ã“ã¨ã«ã€yaraiã®è©¦ç”¨æœŸé™ãŒã¡ã‚‡ã†ã©åˆ‡ã‚ŒãŸã°ã£ã‹ã‚Šã§è©¦ã›ãªã„……。ã„ã‚„ã€æœŸé™å†…ã ã¨ã—ã¦ã‚‚ã€ç©æ¥µçš„ã«è©¦ã™ã®ã¯å‹‡æ°—ãŒã„ã‚Šã¾ã™ãŒã€‚ ã—ã‹ã—ã€ã©ã†ã„ã†çµŒç·¯ã§æ”¹ç«„ã•ã‚ŒãŸã‹çŸ¥ã‚ŠãŸã„ã¨æ€ã†ä¸€æ–¹ã€VALUE DOMAINã ã£ãŸã‚‰ä½•ã§ã‚‚アリã よãªãã¨ã„ã†æ°—ã‚‚ã—ã¦ã—ã¾ã†ã®ãŒä½•ã¨ã‚‚。 ç§ãŒVALUE DOMAINを使ã„始ã‚ãŸé ƒã¯XSSã らã‘ã ã£ãŸã‚ã‘ã§ã—ã¦ã€å°‘ãªãã¨ã‚‚〠https://www.value-domain.com/regdom.phphttps://www.value-domain.com/signup.phphttps://www.value-domain.com
最終回 XSSã®æ£ä½“見ãŸã‚Š 騙りタグ | gihyo.jp
<å‰å›žã®ãŠè©±ï¼žã€€XSSã®æ£ä½“ã¯ã€ã‚¿ã‚°ã«ä½¿ç”¨ã•ã‚Œã‚‹ç‰¹å®šã®è¨˜å·ã‚’本æ¥ã¨ã¯ç•°ãªã‚‹å€‹æ‰€ã«ç”¨ã„ã‚‹ã“ã¨ã§ã€ã‚µãƒ¼ãƒã®èª¤èªè˜ã‚’誘発ã™ã‚‹ã“ã¨ã¨çŸ¥ã£ãŸã‚ã‹ã°ã¡ã‚ƒã‚“ã€â€œâ 難ã—ããªã„â â€ã¨ã„ã†ãã®å¯¾ç–ã¨ã¯!? ãã—ã¦æ°—ã«ãªã‚‹2人ã®ã‚«ãƒ³ã‚±ã‚¤ã¯!? èªè€…100万人を巻ã込んã ã€è¡æ’ƒã¨æ„Ÿå‹•ã®ä¸€å¤§ã‚¹ãƒšã‚¯ã‚¿ã‚¯ãƒ«ãŒã„ã¾ã“ã“ã«å®Œçµï¼
MovableType 4.25 ã®ã‚³ãƒ¡ãƒ³ãƒˆæŠ•ç¨¿ã§JavaScript イベント属性(onclickç‰ï¼‰ã‚’有効ã«ã™ã‚‹
Movable Type 4.25 ã®ã‚³ãƒ¡ãƒ³ãƒˆæ¬„ã®(X)HTMLè¦ç´ ã« onclick 属性や onleypress 属性をé©ç”¨ã•ã›ã‚‹æ–¹æ³•ã§ã™ã€‚質å•ã‚’é ‚ãã¾ã—ãŸã®ã§æœ¬ã‚¨ãƒ³ãƒˆãƒªãƒ¼ã§å›žç”ã—ã¾ã™ã€‚ 1.基本動作 コメント欄ã«æ¬¡ã®ã‚ˆã†ãª(X)HTMLを記述ã™ã‚‹ã¨ã€ <a href="foo.html" onclick="foo()">foolink</a> onclick 属性ã¯ã‚µãƒ‹ã‚¿ã‚¤ã‚ºã•ã‚Œã¦ã€ <a href="foo.html">foolink</a> ã¨ãªã‚Šã¾ã™ã€‚ã“ã‚Œã¯ã‚³ãƒ¡ãƒ³ãƒˆã«æ›¸ãè¾¼ã¾ã‚ŒãŸ onclick 属性ã«ã‚ˆã‚‹XSS(クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング)対ç–ã§ã™ã€‚onclick ã®ã¿ã ã‘ã§ãªãã€JavaScript イベント属性(on~)ã¯è¨±å®¹ã•ã‚Œã¦ã„ã¾ã›ã‚“。 ãªãŠã€Movable Type 4.25 ã§ã¯ã€ãƒ–ãƒã‚°ç®¡ç†ç”»é¢ã®ã€Œè¨å®šã€â†’「コメントã€ã§ã€ã€ŒHTMLタグを制é™ã€ã®é …ç›®ã«ã€Jav
Twitter XSS 騒動 - Yaks
(2009/04/12 6:40 pm 追記ã—ã¾ã—ãŸ) (2009/04/12 7:24 pm å†åº¦è¿½è¨˜ã—ã¾ã—ãŸ) å…ˆã»ã©ã‹ã‚‰ Twitter上ã«ã¦ XSS ã®ã‚ˆã‚‹è¢«å®³ãŒå‡ºã¦ã„ã¾ã™ã€‚ æ—¢ã«æµ·å¤–ã®ãƒ–ãƒã‚°ãªã©ã§ã‚‚å–り上ã’られã¦ã„ã¾ã™ã€‚ HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既㫠XSS ã®éƒ¨åˆ†ã¯æ”¹ä¿®ã•ã‚Œã¦å¤§åˆ†åŽã¾ã£ãŸã‚ˆã†ã§ã™ãŒã€å¿µã®ãŸã‚ã«æ›¸ã„ã¦ãŠãã¾ã™ã€‚ 内容ã¨ã—ã¦ã¯ã€ 1. StalkDaily.com を宣ä¼ã™ã‚‹ã¤ã¶ã‚„ããŒå‹æ‰‹ã«æŠ•ç¨¿ã•ã‚Œã‚‹ 2. プãƒãƒ•ã‚£ãƒ¼ãƒ«ã® Web ãŒæ”¹ã–ã‚“ã•ã‚Œã‚‹ 3. 改ã–ã‚“ã•ã‚ŒãŸãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒšãƒ¼ã‚¸ã‚’見るã¨ã€è‡ªåˆ†ã®ãƒ—ãƒãƒ•ã‚£ãƒ¼ãƒ«ã‚‚
1
ランã‚ング
ランã‚ング
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
Cross-Site Scripting Attack Hits Twitter | PCMag.com
http://japan.internet.com/webtech/20090929/11.html
{{#tags}}- {{label}}
{{/tags}}