Twitterã®ãƒãƒƒã‚«ãƒ¼ã¨ã®ã‚³ãƒ³ã‚¿ã‚¯ãƒˆã«æˆåŠŸâ€•æ”»æ’ƒæ‰‹å£ã®è©³ç´°ãŒåˆ¤æ˜Žã—ãŸ
WebAppSec - WebAppSec Wiki - IEã®expressionã¨url
IEã®expressionã¨url †Internet Explorer ã§ã¯ã€ã‚¹ã‚¿ã‚¤ãƒ«ã‚·ãƒ¼ãƒˆä¸ã« expression(JavaScript?ã®æ–‡) ã‚„ background:url(JavaScript?ã®æ–‡) ã¨ã„ã†è¨˜æ³•ã‚’è¡Œã†ã“ã¨ã§ã€ã‚ˆã‚Šãƒ€ã‚¤ãƒŠãƒŸãƒƒã‚¯ãªHTMLドã‚ュメントを作æˆã™ã‚‹ã“ã¨ãŒå¯èƒ½ã§ã™ã€‚ <style>input { left:expression( alert('expression!') ) }</style> <style>div { background:url(alert('URL!') ) }</style> ã‚‚ã¡ã‚ã‚“ã€ã‚¤ãƒ³ãƒ©ã‚¤ãƒ³ã§è¨˜è¿°ã™ã‚‹ã“ã¨ã‚‚ã§ãã¾ã™ã€‚ <div style="{ left:expression( alert('expression!') ) }"> <div style="{ background:url( alert('URL!') )
教科書ã«è¼‰ã‚‰ãªã„Webアプリケーションセã‚ュリティ 第1回 ï¼»ã“ã‚Œã¯ã²ã©ã„ï¼½IEã®å¼•ç”¨ç¬¦ã®è§£é‡ˆ − ï¼ IT
XSSã«CSRFã«SQLインジェクションã«ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒˆãƒ©ãƒãƒ¼ã‚µãƒ«â€¦â€¦Webアプリケーションã®ãƒ—ãƒã‚°ãƒ©ãƒžãŒçŸ¥ã£ã¦ãŠãã¹ã脆弱性ã¯ã„ã£ã±ã„ã‚ã‚Šã¾ã™ã€‚ãã“ã§æœ¬é€£è¼‰ã§ã¯ã€ãã®ã‚ˆã†ãªãƒ¡ã‚¸ãƒ£ãƒ¼ãªã‚‚ã®â€œä»¥å¤–â€ã‚‚掘り下ã’ã¦ã„ãã¾ã™ï¼ˆç·¨é›†éƒ¨ï¼‰ å°ã•ãªè©±é¡ŒãŒé¢ç™½ã„ 皆ã•ã‚“ã€ã¯ã˜ã‚ã¾ã—ã¦ã€‚ã¯ã›ãŒã‚よã†ã™ã‘ã¨ç”³ã—ã¾ã™ã€‚ 「教科書ã«è¼‰ã‚‰ãªã„Webアプリケーションセã‚ュリティã€ã¨ã„ã†ã“ã¨ã§ã€Webアプリケーションã®ã‚»ã‚ュリティã«é–¢é€£ã™ã‚‹ã€æ™®æ®µã‚ã¾ã‚Šè¦‹æŽ›ã‘ãªã„よã†ãªå°ã•ãªè©±é¡Œã‚’å–り上ã’ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚ ã‚»ã‚ュアãªWebアプリケーションを実ç¾ã™ã‚‹ãŸã‚ã«ã€é–‹ç™ºè€…ã®æ–¹ã ã‘ã§ãªãã€Webアプリケーションã®è„†å¼±æ€§æ¤œæŸ»ã‚’è¡Œã†æ–¹ã€…ã«ã‚‚èªã‚“ã§ã„ãŸã ããŸã„ã¨æ€ã£ã¦ã„ã¾ã™ã€‚é‡ç®±ã®éš…を楊æžã§ã»ã˜ãるよã†ãªå°ã•ãªè©±é¡Œã°ã‹ã‚Šã§ã™ãŒã€çš†ã•ã‚“よã‚ã—ããŠé¡˜ã„ã—ã¾ã™ã€‚ ã•ã¦ç¬¬1回ã¯ã€Internet ExplorerãŒHTMLを解釈ã™ã‚‹éš›ã®å¼•ç”¨
ã¨ãã¾ã‚‹ã²ã‚ã—ã®Session Fixation攻撃入門 - ockeghem's blog
ã‚„ãã€ã¿ã‚“ãªï¼Œå…ƒæ°—?ã¨ãã¾ã‚‹ã²ã‚ã—ã§ã™ã€‚今日ã¯Session Fixation攻撃ã®æ–¹æ³•ã‚’ã“ã£ãã‚Šæ•™ãˆã¡ã‚ƒã†ã‚ˆã€‚ ã„ã¤ã‚‚ã¯é˜²å¾¡å´ã§æ¼¢å—ã®åå‰ã§ã‚„ã£ã¦ã‚‹ã‚“ã ã‘ã©ï¼Œãょã†ã¯æ”»æ’ƒå´ã¨ã„ã†ã“ã¨ã§ï¼Œåä¹—ã‚Šã‚‚ã²ã‚‰ãŒãªã«å¤‰ãˆãŸã‚“ã 。ã ã£ã¦ã•ï¼Œä»Šåº¦ãƒ‡ãƒ–サミã§ã”一緒ã™ã‚‹ã¯ã›ãŒã‚よã†ã™ã‘ã•ã‚“ã¨ã‹ï¼Œã¯ã¾ã¡ã¡ã‚ƒã‚“ã¨ã‹ï¼Œã²ã‚‰ãŒãªã®äººãŸã¡ã®æ–¹ãŒæ ¼å¥½è‰¯ã•ãã†ã˜ã‚ƒãªã„ã‹ã€‚ ã§ã¯å§‹ã‚よã†ã€‚ ã“ã®ã‚¨ãƒ³ãƒˆãƒªã¯ã€http://blog.tokumaru.org/2009/01/introduction-to-session-fixation-attack.html ã«ç§»è»¢ã—ã¾ã—ãŸã€‚æれ入りã¾ã™ãŒã€ç¶šãã¯ã€ãã¡ã‚‰ã‚’ã”覧ãã ã•ã„。
Javaã¨MySQLã®çµ„ã¿åˆã‚ã›ã§Unicodeã®U+00A5を用ã„ãŸSQLインジェクションã®å¯èƒ½æ€§
補足 ã“ã®è¨˜äº‹ã¯æ—§å¾³ä¸¸æµ©ã®æ—¥è¨˜ã‹ã‚‰ã®è»¢è¼‰ã§ã™ï¼ˆå…ƒURLã€ã‚¢ãƒ¼ã‚«ã‚¤ãƒ–ã€ã¯ã¦ãªãƒ–ックマーク1ã€ã¯ã¦ãªãƒ–ックマーク2)。 備忘ã®ãŸã‚転載ã„ãŸã—ã¾ã™ãŒã€ã“ã®è¨˜äº‹ã¯2008å¹´12月22æ—¥ã«å…¬é–‹ã•ã‚ŒãŸã‚‚ã®ã§ã€å½“時ã®å¾³ä¸¸ã®è€ƒãˆã‚’示ã™ã‚‚ã®ã‚’ã€åŸºæœ¬çš„ã«å†…容を変更ã›ãšã«ãã®ã¾ã¾è»¢è¼‰ã™ã‚‹ã‚‚ã®ã§ã™ã€‚ 補足終ã‚ã‚Š 今年ã®Black Hat Japanã«ã¯ã€ã¯ã›ãŒã‚よã†ã™ã‘æ°ãŒã€Œè¶£å‘³ã¨å®Ÿç›Šã®æ–‡å—コード攻撃ã€ã¨é¡Œã—ã¦è¬›æ¼”ã•ã‚Œè©±é¡Œã¨ãªã£ãŸã€‚ãã®è¬›æ¼”資料ãŒå…¬é–‹ã•ã‚Œã¦ã„ã‚‹ã®ã§ã€ç§ã¯è¬›æ¼”ã¯èžã逃ã—ãŸãŒã€è³‡æ–™ã¯èˆˆå‘³æ·±ãæ‹è¦‹ã—ãŸã€‚ãã®è¬›æ¼”資料ã®P20以é™ã«ã¯ã€ã€Œå¤šå¯¾ä¸€ã®å¤‰æ›ã€ã¨é¡Œã—ã¦ã€Unicodeã®U+00A5(通貨記å·ã¨ã—ã¦ã®ï¿¥ï¼‰ãŒã€ä»–ã®æ–‡å—コードã«å¤‰æ›ã•ã‚Œã‚‹éš›ã«ãƒãƒƒã‚¯ã‚¹ãƒ©ãƒƒã‚·ãƒ¥ã€Œ\ã€ï¼ˆæ—¥æœ¬èªžç’°å¢ƒã§ã¯é€šè²¨è¨˜å·ï¼‰ã®0x5Cã«å¤‰æ›ã•ã‚Œã‚‹ã“ã¨ã‹ã‚‰ã€ãƒ‘ストラãƒãƒ¼ã‚µãƒ«ãŒç™ºç”Ÿã™ã‚‹ä¾‹ãŒç´¹ä»‹ã•ã‚Œã¦ã„る。 ã—ã‹ã—ã€ãƒãƒƒã‚¯ã‚¹ãƒ©ãƒƒã‚·ãƒ¥ã¨è¨€ãˆã°SQL
ã¸ã¼ã¸ã¼CTO日記 - CakePHPã®getClientIPを使ã£ã¦ã„ã„ã®ã¯å°å¦ç”Ÿã¾ã§ã よãー
PHPã§é–‹ç™ºã‚’ã™ã‚‹ã“ã¨ãŒå¤šããªã‚ŠPerlã®è‰¯ã•ã‚’å†ç¢ºèªã—ã¦ã„る今日ã“ã®é ƒã§ã™ãŒçš†ã•ã‚“ã„ã‹ãŒãŠéŽã”ã—ã§ã—ょã†ã‹ã€‚ ã•ã¦ã€ä»Šæ—¥ã¯ä»Šã‚‚ã£ã¨ã‚‚ナウã„PHPã®Webアプリケーションフレームワークã§ã‚ã‚‹CakePHPã®ãŠè©±ã‚’一ã¤ã€‚ CakePHPã«ã¯çµ„ã¿è¾¼ã¿ã‚³ãƒ³ãƒãƒ¼ãƒãƒ³ãƒˆã¨ã—ã¦ãƒªã‚¯ã‚¨ã‚¹ãƒˆãƒãƒ³ãƒ‰ãƒ©(RequestHandler)ãŒå‚™ã‚ã£ã¦ã„ã¾ã™ã€‚ リクエストãƒãƒ³ãƒ‰ãƒªãƒ³ã‚° :: 組ã¿è¾¼ã¿ã®ã‚³ãƒ³ãƒãƒ¼ãƒãƒ³ãƒˆ :: マニュアル :: 1.2 Collection :: The Cookbook: ã“ã®RequestHandlerã®ãƒ¡ã‚½ãƒƒãƒ‰ã§ã‚ã‚‹getClientIPãŒå°å¦ç”Ÿã«ã¯å±é™ºãã†ã ã¨ã„ã†ãŠè©±ã€‚(ã‚ã€ã“ã®ã‚¨ãƒ³ãƒˆãƒªã®ã‚¿ã‚¤ãƒˆãƒ«é€†ï½—) ã¾ãšã¯getClientIPã®å®Ÿè£…コードを。(1.2を例ã«ã¨ã£ã¦ã„ã‚‹ãŒ1.1ã‚‚ã»ã¼ä¸€ç·’ã§ã‚ã‚‹) https://trac.cakephp.org/browser/trunk/c
Black Hat Japan 2008:ブラックãƒãƒƒãƒˆã‚¸ãƒ£ãƒ‘ン2008
-Keynote- Black Ops of DNS 2008 : Its The End Of The Cache As We Know It -基調講演- DNS 2008版 Black Ops. 今ã¾ã§ã®DNSã‚ャッシュã˜ã‚ƒé€šã˜ãªã„ï¼ by Dan Kaminsky (ダン・カミンスã‚ー) Presentation Slides New reverse engineering technique using API hooking and sysenter hooking, and capturing of cash card access APIフックã¨sysenterフックを利用ã—ãŸæ–°ã—ã„解æžãƒ†ã‚¯ãƒ‹ãƒƒã‚¯ã¨ã€ã‚ャッシュカードアクセスã®ã‚ャプãƒãƒ£ãƒªãƒ³ã‚° by Kenji Aiko Presentation Slides (ENGLISH) Presentation Slides (J
æ¤ç‰©æ€§ä¹³é…¸èŒãƒ©ãƒ–レã®å¯†é€ - 山崎ã¯ã‚‹ã‹ã®ãƒ¡ãƒ¢
「KAGOME æ¤ç‰©æ€§ä¹³é…¸èŒãƒ©ãƒ–レã€ã¯ã€ã„ã„ã。 乳酸èŒã®æŒã¤äººä½“ã¸ã®åŠ¹æžœã«ã¤ã„ã¦ã¯ ã„ã‚ã„ã‚æ„見ãŒã‚ã‚‹ã¨ã¯æ€ã†ãŒã€ç§ã®å‘¨å›²ã§ã¯ 便è‡ãŒã»ã¨ã‚“ã©ãªããªã£ãŸ ã¨ã„ã†å£°ãŒã‚ˆãèžã‹ã‚Œã‚‹ã€‚ (ãŸã—ã‹ã« ç§ã‚‚ ãã‚Œã¯å®Ÿæ„Ÿã™ã‚‹ï¼‰ ãŸã ã€ã¡ã‚‡ã£ã¨å€¤æ®µãŒé«˜ã„ã‚“ã よã>KAGOME æ¤ç‰©æ€§ä¹³é…¸èŒãƒ©ãƒ–レ 130ml入り㧠¥110〜¥120ãらã„ã™ã‚‹ã€‚ ãªã‚“ã¨ã‹ ãªã‚‰ã‚“ã‚‚ã‚“ã‹ãªãƒ¼ãƒ»ãƒ»ãƒ»ã¨è¦‹ã¦ãŸã‚‰ã€‚ 生èŒï¼ ãŠã„ãŠã„ã€ã²ã‚‡ã£ã¨ã—ãŸã‚‰ ãªã‚“ã¨ã‹ãªã‚‹ã‹ã‚‚ã‚ˆãƒ¼ï¼ â— èª²é¡Œ 乳酸èŒã¨ã„ã†ã‹ã‚‰ã«ã¯ ヨーグルトã§ã‚る。ã¾ãš 「KAGOME æ¤ç‰©æ€§ä¹³é…¸èŒãƒ©ãƒ–レã€ã¨ã„ã†ãƒãƒ¼ãƒŸãƒ³ã‚°ã¯ã€ãªã‹ãªã‹ ã„ã„ã¨æ€ã†ãŒã€ã¡ã‚‡ã£ã¨ アンフェア ãªæ°—ã‚‚ã™ã‚‹ã€‚ 乳酸èŒã¯ã©ã“ã«ã§ã‚‚ã„ã‚‹ã®ã§ã€æŽ¡å–ã•ã‚ŒãŸå ´æ‰€ã§ãƒãƒ¼ãƒŸãƒ³ã‚°ã•ã‚Œã‚‹ã‚ã‘ã ãŒã€ã€Œæ¤ç‰©æ€§ä¹³é…¸èŒã€ã ã‘ã§ãªãã€è…¸ç®¡æ€§ä¹³é…¸èŒã‚„ら土壌乳酸èŒã‚„らã€ãã‚Œã“ã å ´æ‰€ã§åå‰ã‚’ã¤ã‘ã¦ãŸã‚‰ ãã‚ŠãŒãªã„。 「都会性人
[ã‚»ã‚ュリティ]IE8ã®XSSå¯¾ç– - T.Teradaã®æ—¥è¨˜
é…ã‚Œã°ã›ãªãŒã‚‰IE8β2ã®Anti-XSS機能(ã®ä¸€éƒ¨ï¼‰ã§ã‚ã‚‹ã€XSS Filterã¨toStaticHTMLを触ã£ã¦ã¿ã¾ã—ãŸã€‚ãã®æ„Ÿè§¦ã‚’å°‘ã—書ã„ã¦ã¿ã¾ã™ã€‚ XSS Filter 一般論ã¨ã—ã¦ã€XSSã®æ”»æ’ƒã‚„対ç–方法ã¯ã€ãƒ‘ラメータã®å€¤ãŒHTMLã®ã©ã®éƒ¨åˆ†ã«å‡ºåŠ›ã•ã‚Œã‚‹ã‹ã«ã‚ˆã£ã¦ç•°ãªã‚Šã¾ã™ã€‚ â‘ ã‚¿ã‚°ã®å†…å´ï¼ˆElement Content) 例:<p>ã“ã“</p> â‘¡ 通常ã®å±žæ€§å€¤å†…(クォート付ã) 例:<input type="text" name="foo" value="ã“ã“"> â‘¢ JavaScriptã®æ–‡å—列リテラル内 例:<script>var x='ã“ã“';</script> â‘£ URI属性値内 例:<a href="ã“ã“"> 上記以外ã®ãƒ‘ターンもã‚ã‚Šã¾ã™ãŒã€å®Ÿéš›ã®Webアプリã§å¤šã見られるã®ã¯ä¸Šã®ã‚ˆã†ãªãƒ‘ターンã§ã¯ãªã„ã‹ã¨æ€ã„ã¾ã™ã€‚ ã¡ã‚‡ã£ã¨è§¦ã£ã¦ã¿ãŸæ„Ÿã˜ã§ã„ã†ã¨ã€XSS Fi
![[ã‚»ã‚ュリティ]IE8ã®XSSå¯¾ç– - T.Teradaã®æ—¥è¨˜](https://cdn-ak-scissors.b.st-hatena.com/image/square/d6d18936c3a1cb1e6fbb7eda53f29748ee1c03d9/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F10257846132711010800%2F10257846132711091901%2F1548045344)
[ruby][rails] Rails-MLウォッム"Cookie session security and open-source" オープンソースã®Railsアプリケーションを使ã†æ™‚ã®æ³¨æ„äº‹é … - 本当ã¯æ€–ã„HPC
Cookie session security and open-source - Ruby on Rails: Core | Google グループ Ralisã®ã‚»ãƒƒã‚·ãƒ§ãƒ³ç®¡ç†ã®æ±šæŸ“ãƒã‚§ãƒƒã‚¯ã«ä½¿ã‚れるsecret_keyãŒã€ã‚ªãƒ¼ãƒ—ンソースã®Railsアプリケーションã«ã¨ã£ã¦ã¯è„†å¼±æ€§ã«ãªã‚‹ã®ã§ã¯ãªã„ã‹ã€ã¨ã„ã†è©±ã€‚ ãã‚Œã¯ç¢ºã‹ã«ãã†ã§ã€ã‚ªãƒ¼ãƒ—ンソースã®Ralisアプリケーションを自分ã®ã‚µãƒ¼ãƒãƒ¼ã§ç¨¼åƒã•ã›ã‚‹æ™‚ã«ã¯ã€config/environment.rb ã® config.action_controller.session = { :session_key => '_myproj_session', :secret => 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx' } ã¨ãªã£ã¦ã„る部分㮠:secret ã®éƒ¨åˆ†ï¼ˆä¸Šã®ä¾‹ã§ã¯ 'xxxxxxx'
![[ruby][rails] Rails-MLウォッム"Cookie session security and open-source" オープンソースã®Railsアプリケーションを使ã†æ™‚ã®æ³¨æ„äº‹é … - 本当ã¯æ€–ã„HPC](https://cdn-ak-scissors.b.st-hatena.com/image/square/8189a5fa0aab1a97d766fc030c086af7593f1b93/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F12921228815722059401%2F12921228815722059753%2F1397605031)
第01回ã¾ã£ã¡ã‚ƒï¼”45勉強会ã«å‚åŠ ã—ã¦ãã¾ã—㟠- hnwã®æ—¥è¨˜
é¡Œåã®é€šã‚Šã§ã™ãŒã€ã€Œã¾ã£ã¡ã‚ƒï¼”45勉強会ã€ã«å‚åŠ ã—ã¦ãã¾ã—ãŸã€‚å ´æ‰€ã¯äº¬æ€¥è’²ç”°ãã°ã®PiOã§ã™ã€‚ ã“ã‚Œã¯ã€ã€Œã¾ã£ã¡ã‚ƒï¼‘39勉強会ã€ã¨ã„ã†ã‚»ã‚ュリティã®å‹‰å¼·ä¼šãŒå¤§é˜ªã§å®šæœŸé–‹å‚¬ã•ã‚Œã¦ã„ã‚‹ã‚“ã§ã™ãŒã€ãã‚ŒãŒæ±äº¬ã«é€²å‡ºã—ã¦ããŸã‚‚ã®ã§ã™ã€‚最åˆã«å‚åŠ è€…ã®è‡ªå·±ç´¹ä»‹ã‚¿ã‚¤ãƒ ãŒã‚ã£ãŸã‚“ã§ã™ãŒã€èžã„ã¦ã„ã‚‹ã¨ã€Œã„ã¾ã¾ã§å§‹ç™ºã§å¤§é˜ªã«è¡Œã£ã¦ãŸã®ãŒæ±äº¬ã§é–‹å‚¬ã—ã¦ãれるã¨åŠ©ã‹ã‚‹ã€ã¿ãŸã„ãªäººãŒä½•äººã‚‚ã„ã¦ã€ç†±å¿ƒãªäººãŒãŸãã•ã‚“ã„ã‚‹ãªã‚ã€ã¨æ€ã„ã¾ã—ãŸã€‚ 勉強会本体ã¯13:00ã‹ã‚‰ã ã£ãŸã‚“ã§ã™ãŒã€æœ10:30ã‹ã‚‰LTã®æž ãŒã‚ã£ã¦ã€ã€ŒXSS脆弱性ã«å¯¾ã—XHRを用ã„ãŸæ”»æ’ƒã€ã¨ã„ã†é¡Œåã§åƒ•ã‚‚15分ã»ã©å–‹ã‚Šã¾ã—ãŸã€‚内容ã¨ã—ã¦ã¯ã€ŒXSSã«å¯¾ã—ã¦XHRを使ãˆã°å¤¢ãŒåºƒãŒã‚Šã‚“ãã€ã¨ã„ã†ã“ã¨ã§ã€ã‚ã‚“ã¾ã‚Šä»–ã®äººãŒä¸»å¼µã—ã¦ã‚‹ã®ã‚’見ãŸäº‹ãŒç„¡ã„ã®ã§æ–°ãƒã‚¿ã‹ã‚‚ã—ã‚Œãªã„ã‘ã©ã€ã¨ã‚Šã‚ãˆãšã‚»ã‚ュリティ界隈ã®äººã«æ–¬ã£ã¦ã‚‚らãŠã†ã¨æ€ã£ã¦å–‹ã£ã¦ã¿ã¾ã—ãŸã€‚ 資料: http:
0x000000 Hacking & Security: HTML Control Without Javascript.
is a totally awesome idea still being worked on. Check back later.
XSSed | Cross Site Scripting (XSS) attacks information and archive
Another Ebay permanent XSSWritten by KFTuesday, 13 November 2012 The Indian security researcher Shubham Upadhyay aka Cyb3R_Shubh4M, sent us a new permanent XSS affecting the products listings on Ebay.com read more... F-Secure, McAfee and Symantec websites again XSSedWritten by DPFriday, 13 January 2012 Once again, the websites of the three famous antivirus vendors are vulnerable to cross-site scri
XMLã§XSS - 謎's ã‚ッãƒãƒ³
https://bugzilla.mozilla.org/attachment.cgi?id=327530 via https://bugzilla.mozilla.org/show_bug.cgi?id=230214 アップãƒãƒ¼ãƒ€æ©Ÿèƒ½ã‚’æŒã¤Wikiや掲示æ¿ãªã©ã¯ã‚¢ãƒƒãƒ—ãƒãƒ¼ãƒ‰ã•ã‚ŒãŸãƒ•ã‚¡ã‚¤ãƒ«ã§*/xmlã‚„*/xml+*ã‚’è¿”ã•ãªã„よã†ã«ã—ã¾ã—ょã†ã¨ã„ã†è©±ã€‚#ã¾ãXSSã ã‘ãªã‚‰ã‚‚ã£ã¨çŸã„コードã§å分ã ãŒâ€¦ã€‚ ã‚‚ã£ã¨ç°¡æ½”ã«è¨€ãˆã°SVGオワタ\(^o^)ï¼ IE6ã§ã‚‚XMLã§XSSå¯èƒ½ã¨ã®ã“ã¨ã ã—ã€æ°—ã‚’ã¤ã‘ã‚‹ã¹ããªã®ã«æ°—ã«ã—ã¦ã„ãªã„所ãŒå¤šã„æ°—ãŒã™ã‚‹ã€‚ 今借りã¦ã‚‹pf-xãŒè½ã¡ã¦ã‚‹ã®ã§ã‚¢ãƒ—ãƒãƒ€ã«ä¸Šã’ã¦ã¿ãŸã€‚ã†ã‚“見事。 http://f25.aaa.livedoor.jp/~lion/up/img/046.svg >< ><
locationã§ãƒšãƒ¼ã‚¸é·ç§»ã‚’指示ã—ã¦ãŠããªãŒã‚‰ç›´å¾Œã«timeç³»ã§ãƒŠãƒ‹ã‚«ã™ã‚‹ã‚¢ãƒ¬ 2008-06-29 - hoshikuzu | star_dust ã®æ›¸æ–Ž
…ã„ã‚ã‚“ãªãƒ–ラウザã§å¤‰ãªç¾è±¡ãŒèµ·ãã‚‹ã®ã§å‰ã‹ã‚‰æ³¨ç›®ã—ã¦ã„ãŸã®ã§ã™ãŒã€ã¾ã•ã‹IEã§å¤–部ドメインã®cookieãŒå–ã‚Œã¦ã—ã¾ã†ã¨ã¯â€¦èª¿æŸ»ã®æ·±ã•ãŒè¶³ã‚Šãªã‹ã£ãŸãªã>俺 locationã§ãƒšãƒ¼ã‚¸é·ç§»ã—ãŸã‚‰ãƒã‚·ã£ã¨å‡¦ç†ã‚’ã¶ã£ãŸåˆ‡ã£ã¦ã»ã—ã„ã‹ã‚‚>諸ブラウザ ãˆãˆã¨ã€ãªã‚“ã§ã‚‚ã„ã„ã‘ã©ã€ãªã«ã‹ã—らãƒãƒƒãƒ—アップã™ã‚‹ç³»ã¨ä½µã›ã¦ãã—ゃãã—ゃã™ã‚‹ã¨å¤‰ãªç«¶åˆãŒèµ·ã“ã‚Šã‚„ã™ã„模様。ã¨ã„ã†ã®ãŒä»Šã¾ã§ã®ç§ã®è¦‹è§£ã€‚ 一番笑ã£ãŸã®ãŒã€ï¼¡ãƒšãƒ¼ã‚¸ã§ï¼¢ãƒšãƒ¼ã‚¸ã¸ã®ãƒªãƒ³ã‚¯ã‚’è¸ã‚“ã 後Bページを表示後ã€ï¼¡ãƒšãƒ¼ã‚¸ã¸æˆ»ã‚Šã¾ã™ã‹ï¼Ÿã¨ã„ã†é¸æŠžè‚¢ï¼ˆï¼¡ãƒšãƒ¼ã‚¸å†…ã®ã‚¹ã‚¯ãƒªãƒ—ト)を出ã•ã›ã‚‹ã“ã¨ãŒå¯èƒ½ã¨ã‹ã€‚åã¥ã‘ã¦ã€ã¡ã‚‡ã£ã¨è¦‹ãŸã‚‰ã‚¹ã‚°ã«æˆ»ã£ã¦ãã¦ãリンク。ã§ã‚‚cookieã¯å–ã£ã¦ã“ã‚Œãªã‹ã£ãŸã‚“ã よãã‡ã€‚コレ。 ドブãƒã‚¤æ³¢ã®å…¬å¼ã‚’実験的事実ã¨ã¿ãªã—ã€å¤å…¸çš„ãªå®Ÿæ³¢å‹•é–¢æ•°ã‚’ã‚ãらã‚ã¦ã€è¤‡ç´ 波動ã§ã‚ã‚‹ã¨æ±ºã‚付ã‘ã¦ã€æº€ãŸã™ã¹ã波動方程å¼ã‚’求ã‚ã‚‹ã¨ã‚·ãƒ¥ãƒ¬ãƒ¼ãƒ‡ã‚£ãƒ³ã‚¬ãƒ¼æ–¹ç¨‹å¼ãŒ
PHP 㨠Web アプリケーションã®ã‚»ã‚ュリティã«ã¤ã„ã¦ã®ãƒ¡ãƒ¢
ã“ã®ãƒšãƒ¼ã‚¸ã«ã¤ã„ã¦ã®èª¬æ˜Žãƒ»æ³¨æ„ãªã© PHP ã¯ã€Apache モジュールやã€CGIã€ã‚³ãƒžãƒ³ãƒ‰ãƒ©ã‚¤ãƒ³ã¨ã—ã¦ä½¿ç”¨ã§ãるスクリプト言語ã§ã™ã€‚ã“ã®ãƒšãƒ¼ã‚¸ã§ã¯ã€ä¸»ã« PHP ã«ãŠã‘ã‚‹ã€Web アプリケーションã®ã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã„ã¾ã™ã€‚ Web アプリケーションã®ã‚»ã‚ュリティå•é¡Œã¨ã—ã¦ã¯ã€ä»¥ä¸‹ã®å•é¡Œã«ã¤ã„ã¦ã‚ˆãå–り挙ã’られã¦ã„ã‚‹ã¨æ€ã„ã¾ã™ãŒã€ã“れらã®ã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦èª¿ã¹ãŸã“ã¨ã‚„ã€ã“れら以外ã§ã‚‚ã€PHP ã«é–¢é€£ã—ã¦ã„ã‚‹ã‚»ã‚ュリティå•é¡Œã«ã¤ã„ã¦çŸ¥ã£ã¦ã„ã‚‹ã“ã¨ã«ã¤ã„ã¦ãƒ¡ãƒ¢ã—ã¦ãŠãã¾ã™ã€‚ クãƒã‚¹ã‚µã‚¤ãƒˆã‚¹ã‚¯ãƒªãƒ—ティング SQL インジェクション パス・トラãƒãƒ¼ã‚µãƒ«(ディレクトリ・トラãƒãƒ¼ã‚µãƒ«) セッションãƒã‚¤ã‚¸ãƒ£ãƒƒã‚¯ コマンドインジェクション ã¾ãŸã€PHP マニュアル : ã‚»ã‚ュリティやã€PHP Security Guide (PHP Security Consortium) ã«ã¯ã€PH
Blogger
Google ã®ã‚¦ã‚§ãƒ–ãƒã‚°å…¬é–‹ãƒ„ールを使ã£ã¦ã€ãƒ†ã‚ストã€å†™çœŸã€å‹•ç”»ã‚’共有ã§ãã¾ã™ã€‚
TCP/IPã«ä¿‚る既知ã®è„†å¼±æ€§ã«é–¢ã™ã‚‹èª¿æŸ»å ±å‘Šæ›¸ï¼šIPA 独立行政法人 æƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹
コンピュータをã¯ã˜ã‚ã¨ã—ãŸã‚¤ãƒ³ã‚¿ãƒ¼ãƒãƒƒãƒˆã«æŽ¥ç¶šã™ã‚‹é›»å機器ã«ã¯ã€TCP/IPソフトウェアãŒçµ„ã¿è¾¼ã¾ã‚Œã¦ã„ã¾ã™ã€‚ è¿‘å¹´ã§ã¯ã€æƒ…å ±å®¶é›»ã‚„æºå¸¯ç«¯æœ«ãªã©ã®é›»å機器ã«ã‚‚使ã‚れるよã†ã«ãªã‚Šã€TCP/IPソフトウェアã¯åºƒã利用ã•ã‚Œã¦ã„ã¾ã™ã€‚ TCP/IPを実装ã—ãŸã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã¯ã€ã“ã‚Œã¾ã§å¤šãã®è„†å¼±æ€§ãŒç™ºè¦‹ã€å…¬è¡¨ã•ã‚Œã€æ©Ÿå™¨ã”ã¨ã«å¯¾ç–ãŒå®Ÿè£…ã•ã‚Œã¦ãã¾ã—ãŸã€‚ã—ã‹ã—ã€ã“ã†ã—ãŸè„†å¼±æ€§ã®è©³ç´°ãªæƒ…å ±ã‚’ã¨ã‚Šã¾ã¨ã‚ãŸè³‡æ–™ãŒãªã‹ã£ãŸã“ã¨ã‹ã‚‰ã€æ–°ãŸã«é–‹ç™ºã•ã‚Œã‚‹ã‚½ãƒ•ãƒˆã‚¦ã‚§ã‚¢ã§æ—¢ã«å…¬è¡¨ã•ã‚Œã¦ã„る脆弱性ã®å¯¾ç–ãŒå®Ÿè£…ã•ã‚Œã¦ãŠã‚‰ãšã€è„†å¼±æ€§ãŒã€Œå†ç™ºã€ã™ã‚‹ã‚±ãƒ¼ã‚¹ãŒè¦‹å—ã‘られã¾ã™ã€‚ ã“ã®ã‚ˆã†ãªèª²é¡Œã«å¯¾å¿œã™ã‚‹ãŸã‚ã€IPAã§ã¯ã€TCP/IPã«é–¢ã™ã‚‹æ—¢çŸ¥ã®è„†å¼±æ€§ã‚’å–り上ã’ã€TCP/IP実装時ã®æƒ…å ±ã‚»ã‚ュリティ対ç–ã®å‘上を目指ã—ã¦èª¿æŸ»ã‚’実施ã—ã¾ã—ãŸã€‚ æœ¬å ±å‘Šæ›¸ã¯ã€ä¸€èˆ¬ã«å…¬è¡¨ã•ã‚Œã¦ã„ã‚‹TCP/IPã«é–¢ã™ã‚‹æ—¢çŸ¥ã®è„†å¼±æ€§æƒ…å ±ã‚’åŽé›†åˆ†æžã—ã€è©³ç´°ãªè§£èª¬æ›¸ã¨ã—
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
http://tokumaru.org/d/20080819.html
http://www.kt.rim.or.jp/~kbk/zakkicho/08/zakkicho0806c.html
{{#tags}}- {{label}}
{{/tags}}