サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
攻撃者は、はじめに標的のECサイトの注文フォームに対し、不正なスクリプトを含んだ文字列を入力し、購入処理を行います(図1の①)。その結果、ECサイトの購入処理の部分にXSSの脆弱性が存在する場合、ECサイトの管理画面を閲覧した管理者は不正なスクリプトが実行され、クレデンシャル情報の窃取や、ECサイトへの簡素WebShellの設置などが行われます(図1の②~④)。その後、攻撃者によってECサイトにWebShellやユーザーの情報窃取を行うJavaScriptなどが設置されます。設置された“情報窃取JavaScript”によってECサイトを利用するユーザーのクレジットカード情報等を窃取され、“情報保存ファイル”としてECサイト内に保存されます(図1の⑤)。攻撃者は定期的なWebShellへのアクセスを行うことでこれらの情報を窃取していたと推測されます(図1の⑥)。 なお、攻撃者は、一連の攻撃の
みなさんこんにちは。 FUJITSU その2 Advent Calendar 2018 17日目の記事担当は私 ゆきはらです。 前回14日目はkeiya-nobutaさんのSphinxの導入とLinux Kernelドキュメントのビルドで、 18日目はhasunumaさんの富士通サイバーセキュリティーワークショップ(FCSW)2018参戦記となっています。 はじめに なぜこのテーマにしたか Webアプリケーションに対する代表的な攻撃手法としてXSS(クロスサイトスクリプティング)とCSRF(クロスサイトリクエストフォージェリ)というものがあります。 しかしこの二つ、名前だけでなく攻撃手法も似ていて違いがとてもわかりづらいです。かつて私がセキュリティを勉強していたときもよく混同していました。 そこで、この記事ではXSSとCSRFの仕組みとそれらの違いについてまとめることにしました。 対象とす
A few months ago, I usedGoogleMaps. Or maybeGoogle Street View, I love Street View,it’s like a retrofuturistic way to teleport. Routinely, I looked at the address bar. Since sometime in 2014, parameters are not the mere query string they used to be. Instead,it’s a weird mash ofalphanumeric characters separated by exclamation points.It’s abstruse,it has no public documentation whatsoever, i
zoku_yimg_jp_dom_xss.md 2/7 malaさんの記事を読む https://gist.github.com/mala/1d30e42e9e99520b7a501e9d2458eb49 確かに (*.)yahoo.co.jp には制限されている。 (*.)yahoo.co.jpは知恵袋からヤフオクまで大量のページを持っている。 どこがスクリプトとしてロードされてもXSSが起きない?そんな訳なさそう。 そのときのぼやき: https://twitter.com/kinugawamasato/status/828846516882116608 2/8 JSONPを使ったXSSの発見・報告 (*.)yahoo.co.jpにcallback名を指定できるJSONPをみつける。 callback名はバリデーションがなく、好きな文字列を書ける。 (現在はcallbackパラメータ自
このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。 @�ꪪView in English � �ꪪAlwaysswitch to English コンテンツセキュリティポリシー (CSP) は、特定の種類のセキュリティ脅威のリスクを防止または最小限に抑えるのに役立つ機能です。これは、ウェブサイトからブラウザーへの一連の指示で構成されており、サイトを構成するコードが実行できることを制限するようにブラウザーに指示します。 CSP の主な用途は、文書が読み込むことを許可するリソース、特にJavaScript リソースを制御することです。これは主に、攻撃者が被害者のサイトに悪意のあるコードを注入するクロスサイトスクリプティング (XSS) 攻撃に対する防御として使用されます。 CSP には他にも、クリ
こんにちはこんにちは! Shibuya.XSS テクニカルトーク#8 を2016年11月14日(月)に開催します! 今回はドイツより Dr.-ing Mario Heiderich 氏(@0x6D6172696F)をお招きしての開催になります! タイムテーブル 18:50-19:10 開場、受付 19:10-19:15 Introduction@hasegawayosuke 19:15-19:25 nishimunea, ASlack team forsecurity testers and bug hunters 19:25-19:40 @kinugawamasato, 非HTMLコンテンツからのXSS Attack / XSS Attacks via non-HTML Contents 19:40-19:55 tanakayu, DOM Based XSS の自動検出の話 19:5
同じオリジンのAPIと非同期で通信、という場合は xhr で普通にこなしてますが、別ドメインのAPIと非同期で、となると割とつまづくポイントがあったのでメモ。 こちらのサイトが大変分りやすかったです。 CORSではまったこと http://inside.pixiv.net/entry/2014/12/16/181804 xhr2 を使う 特に何かしなくても、ブラウザがxhr2対応しているものであればxhr2を使うことになります。 逆にいうと、xhr2 対応していないブラウザだとダメ。 とりあえず普通に実装する 特にクロスドメインであることを気にかけず、クライアントサイド、サーバサイドそれぞれをまずは実装します。 Origin 許可する サーバサイドでアクセス元となるOriginを意識して設定する必要があります。 サーバサイドのレスポンスヘッダの追加 クライアントサイドはモダンブラウザなら特
Author: KirstenS Contributor(s): Jim Manico, Jeff Williams, Dave Wichers, Adar Weidman, Roman, Alan Jex, Andrew Smith, Jeff Knutson, Imifos, Erez Yalon, kingthorin, Vikas Khanna. Grant Ongers Overview Cross-Site Scripting (XSS) attacks are a type of injection, in which malicious scripts are injected into otherwise benign and trusted websites. XSS attacks occur when an attacker uses a web applicati
This feature is well established and works across many devices and browser versions.It’s been available across browsers since 2015年7月. Learn more See full compatibilityReport feedback オリジン間リソース共有 (Cross-Origin Resource Sharing, CORS) は、 HTTP ヘッダーベースの仕組みを使用して、あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組みです。ウェブアプリケーションは、自分とは異なるオリジン (ドメイン、プロトコル、ポート番号) にあるリソースをリクエストすると
In computing, cross-origin resource sharing (CORS) is a mechanism to safely bypass the same-origin policy; that is,it allows a web page to access restricted resources from a web server on adomain name different from thedomain that served the web page. A web page may freelyembed cross-origin images, stylesheets, scripts, iframes, and videos. Certain "cross-domain" HTTPrequests, notably Ajax re
A CDN that can not XSS you Using SubresourceIntegrity about:frederik Frederik BraunSecurity Engineer at Mozilla fbraun@mozilla.com https://frederik-braun.com @freddyb Why am I here? https://www.mozilla.org/en-US/about/manifesto/ Content DeliveryNetworks <script src="https://code.jquery.com/jquery-2.1.4.min.js"></script> <link href='http://fonts.googleapis.com/css?family=PT+Sans…' rel='styleshe
全世界で5億人以上が利用しているメッセージ・アプリ「LINE」に深刻なセキュリティ脆弱性が存在していたことが判った。この脆弱性を悪意ある攻撃者に突かれると、利用者のスマートフォンに保存されているLINE内のトーク履歴や写真、友達リストなどを外部から不正に抜き出されたり、改竄される恐れがある。LINEは3月4日に、この脆弱性を修正したバージョンを緊急リリースしている。利用者は自身のアプリが最新版にアップデートされているかどうかを至急確認したほうがいいだろう。 この脆弱性はサイバーセキュリティ・ラボのスプラウト(本記事掲載の『サイバーインシデント・レポート』発行元)が発見し、1月30日にソフトウェア等の脆弱性情報を取り扱うIPA(独立行政法人情報処理推進機構)に報告したものだ。IPAから2月2日に脆弱性の通知を受けたLINEは、2月12日に脆弱性の一部についてサーバー側で対策。3月4日のアップ
<?php # make sure people don't traverse around on the challenge server if($_SERVER['HTTP_HOST'] !== 'cure53.de'){ die('nonono'); } if(preg_match('/\'/', urldecode($_SERVER['QUERY_STRING']))){ echo 'Error: SELECT betreff,text, show FROM news WHERE id = \'='.base64_decode($_SERVER['QUERY_STRING']).'\' You have anerror in yourSQL syntax; check the manual that corresponds to yourMySQL server versi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
