サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
パッケージ管理ツールのnpmで公開されている「UAParser.js」は、ユーザーエージェントの判定処理を実行するJavaScriptライブラリであり、Facebook・Microsoft・Amazon・Googleなどの超大手企業を含む1000以上のプロジェクトで採用されています。そんなUAParser.jsがハッカーによってハイジャックされ、LinuxおよびWindowsデバイスを対象に暗号資産採掘やパスワードの盗難を行うトロイの木馬が仕込まれていたことが判明しました。Security issue: compromised npm packages of ua-parser-js (0.7.29, 0.8.0, 1.0.0) - Questions about deprecated npm package ua-parser-js · Issue #536 · faisalman/u
REST サービス / WebApi の実践 WebApi (REST サービス) におけるクロス ドメイン接続 (JSONP, CORS 等) と諸注意 WebApi (REST サービス) で Custom Basic 認証を使用してクラウド (Azure) に配置する WebApi (REST サービス) の Custom HTTP Header (HTTP ヘッダー) WebApi (REST サービス) における同時実行制御 (Concurrency Management) WebApi (REST サービス) で Custom MIME タイプを処理する WebApi (REST サービス) を検索 (Query) 可能にする (および、OData への対応) WebApi (REST サービス) における IoC (関心事の分割) WebApi (REST
書籍「気づけばプロ並みPHP」のサンプルスクリプトにリモートスクリプト実行の脆弱性があるので報告します。 はじめにYahoo!知恵袋の質問を読んでいたら、以下の質問がありました。 気づけばプロ並みPHP (著)谷藤賢一 (発行)リックテレコムP112の画像をアップロードする機能でエラーがでます。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q11119835496 より引用 質問に対しては回答が既についてクローズされていましたが、引用されているソースを見て任意のファイルを任意のファイル名で、Web公開ディレクトリにアップロードできることに気づきました(下記)。 <?php // 略 $pro_gazou=$_FILES['gazou']; // 略 if($pro_gazou['size']>0) { if ($pro_
Rails 4.0で入るturbolinksですが、これが有効だと無効の環境と比べてセキュリティリスクが微増するという話です。具体的にはRailsサービス内(同一ホスト内)にオープンリダイレクタがあり、CGMサイトであるとかユーザーが任意のリンクを張れる場合に、悪意あるスクリプトがそのサービスのホスト下で実行されてしまう。というのをmalaさんに指摘されました。Railsであれば基本的にredirect_to :action => "show", :id => @model.idみたいな感じで書いてリダイレクトしてるだろうけど、redirect_to params[:hoge]みたいに書いてる場合は?hoge=http://evil.example.comとかでevilなページに飛ぶし、turbolinksと関係なくよろしくないので暇を見て直しましょう。 話を戻してturbolinksだ
技術者としての良心に従ってこの記事を書きます。俺はセキュリティとプライバシーの人ではなく、JavaScriptとUIの人である。法律の勉強だって自分の生活と業務に関わりのある範囲でしかしないだろう。しかし少なくともJavaScriptやブラウザが絡むような部分については、確実に自分のほうが理解していると思っている。高木浩光さんが、あからさまに間違ったことを書いたり、おかしなことを書いていたりしても、徐々に誰も指摘しなくなってきたと思う。おかしなこと書いていたとしても、非技術者から見たときに「多少過激な物言いだけど、あの人は専門家だから言っていることは正論なのだろう」とか、あるいは技術者から見た時でも、専門分野が違えば間違ったことが書かれていても気付けないということもあるだろう。 もう自分には分からなくなっている。誰にでも検証できるような事実関係の間違い、あるいは、技術的な間違いが含まれてい
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です -はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。はてなグループに投稿された日記データのエクスポートについて -はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記はてなグループ日記のエクスポートデータは2020年2月28
scrapiでは「カスタマイズ」ページから自分のサイトのHTMLを自由に編集する事ができます。javascriptやflashでも制限なく書けます。それはセキュリティ上大丈夫なのか、という話。 ログインや記事の編集などは www.scrapi.jp ドメイン上で行うようになっています。cookieはドメインwww.scrapi.jpで保持しています。ユーザページは [ユーザ名].scrapi.jp ドメインになっていて、カスタマイズしたHTMLはここで表示されます。そのため、ユーザページからは閲覧者の認証情報は得られません。右下にお気に入りなどのメニューが出るのですが、これは www.scrapi.jp ドメインのページを iframe で表示しているので、ユーザページのHTMLに書かれたjavascriptからは参照できません。 以上のことから、ユーザが自分のページでjavascript
現在のIT部門にとって最大の脅威は、マルウエアに感染したWebページではないだろうか。マルウエアに感染したHTML文書は大抵の場合、活動内容を隠しておくために、JavaScriptで攻撃用コンテンツを動的に生成するようになっている。セキュリティ検査で発見されないようにするため、こうした攻撃の手口はどんどん複雑化している。今回分析するのは、自動解読エンジンをごまかす細工と5段階の難読化が施されたサンプルだ。 分析対象はWebページに感染した6Kバイトの難読化JavaScriptであり、解読していくと最後に攻撃用サイトを指す一つのiframeタグが現れる。攻撃者は暗号表やXOR演算、代入暗号に加え、古典的な文字入れ替えといった手法を組み合わせることで、最終的なコンテンツを隠そうとしている。当ブログでも以前こうした難読化手法をいくつか紹介した。 解読するには、ペイロードとなっているこのJavaS
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
よく、以下のようにXPath に文字列を埋め込む事があります document.evaluate('//*[@class="' +text + '"]', document, null, 7, null); まあ、僕もよくこんなコード書くんですけど。 でも、これってtext が外部から来るものだったら、意図通りの動作をしないんですよね たとえば、以下のような例です。 vartext = '"] | /hoge/fuga/piyo | .["'; document.evaluate('//*[@class="' +text + '"]', document, null, 7, null); というわけで 任意の文字列をXPath の式に変換するJavaScript を書いてみた 以下で試せます http://amachang.sakura.ne.jp/misc/xpath_es
JavaScriptを記述、実行を促す動画について 2009年09月11日 ニコニコユーザーの皆さんへ、禁止事項、削除基準に関するお知らせです。 動画内、動画説明文や投稿者ロックタグにJavaScriptを記述し、これの実行を促す動画について、今後は禁止、削除対象になります。 悪質なJavaScriptを実行すると、視聴する方のマイリストが勝手に編集されたり、意図しない動画が再生されるなど、大変危険です。 これまで、このような可能性のある動画には、動画再生ページへ注意文を表示する仕組みの導入や、投稿者の方へご遠慮いただくよう連絡をする等の対策をしてまいりましたが、解決に至らない為、禁止事項・削除対象とする事にしました事をご理解下さい。 より多くの方が気持ちよくニコニコ動画を利用できるよう、皆さんのご協力をお願いいたします。
jQueryでgetJSON()とかするとレスポンスをJSON形式で返してくれますが、このときに使用されるJSON解析ロジックは「window.eval()」だったりします。(jQuery1.3.2で確認) たとえば、以下のようなjsonデータをgetJSON()すると、JavaScriptとして実行されてしまいます。 [alert( "!!" )] getJSONするコード。 <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"> <script type="text/javascript" src="./jquery-1.3.2.js"></script> <script type="text/javascript"> $(function(){ $.getJSON( "./te
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](/image.pl?url=https%3a%2f%2fcdn-ak-scissors.b.st-hatena.com%2fimage%2fsquare%2f6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5%2fheight%3d288%3bversion%3d1%3bwidth%3d512%2fhttps%253A%252F%252Fimage.itmedia.co.jp%252Fimages%252Flogo%252F1200x630_500x500_ait.gif&f=jpg&w=240)
インターネット上でユーザ認証やセンシティブな情報を集める際にはSSLを使うことが一般的だ。とは言え個人やレンタルサーバレベルでは証明書を取得するのはコスト面や技術面で難しいことがある。だからといって、そのような情報を平文のまま流すのは気になる所だ。 フォームの内容を暗号化して送信 簡単な暗号化だけでも良いから行いたい、そんな時に使えそうなのがjCryptionだ。 今回紹介するオープンソース・ソフトウェアはjCryption、JavaScriptベースの暗号化ライブラリだ。 jCryptionはRSA暗号(公開鍵暗号)に則ったアルゴリズムを使った暗号化ライブラリだ。復号化可能なライブラリであり、jCryptionではPHPのクラスを提供している。実装はjQueryを使って行われているのでjQueryを使った開発では利用がとても簡単に行える。 公開鍵を送信しているスクリプト部分 送信直前にサ
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
SecurityFocus is the most comprehensive and trusted source ofsecurity information on the Internet.SecurityFocusは15日(カナダ時間)、IE、Chrome、Safari、Opera、Thunderbird、iPhone、Wii、PS3など広範囲に渡ってブラウザ、OS、デバイスに共通の問題があり、ブラウザの終了、OSの再起動、ハードウェアのハングアップなどの不具合が発生することを発表した(CVE-2009-1692)。同問題の影響を受けるプロダクトは次のとおり。これ以外にもJavascriptをサポートしているプロダクトで同様の問題が発生する可能性がある。 IE 5、6、7、8 (すべてのバージョン)Chrome Opera Seamonkey MidbrowserNetsc
今現在は修正されています! Growl/GNTP は危険じゃないよ!! あと、これはFirefox拡張の話で GNTP というプロトコルの話じゃないっす。ご注意を。はてなユーザーがいま見ているページについてコメントをつぶやくグリモンを作った - 今日もスミマセン。でGrowl/GNTP :: Add-ons for Firefoxという拡張機能を知った。 Growl forWindowsというWindowsでMacOSのGrowlという通知機能を有効にするデーモンと組み合わせて使う拡張機能だ。 ちょっと気になったのでソースを拝見したところ。と〜っても危険なことが分かった。 この拡張機能、特定タイプのDOM Eventを受け取って通知を受け取ることが可能で、Webコンテンツからも受け取れるようになっている。これだけなら、まぁ良いのだが、データの受け取り方に問題がある。 簡単に書くと、JS
これはなに 既にご存知の方がいらっしゃるかどうかも知りませんが今さっき関連文献に行き当たって驚愕したので念のためにメモを書いておきます。私はメーリングリストなどに加入していませんので論議が済んでいるかどうかも知らないのです。もしもウェブ上に解説記事があるようでしたら逆に私に是非とも教えてください。 JSONデータの先頭に JSONデータの先頭にwhile(1)を置いておくことで無限ループを発生させておいて、受動的攻撃のページの悪意あるscriptの実行を失敗させるというアイデアには欠点があるということを、先程とある文献から知りました。これはwhile(true)についても同様です。JavaScriptは柔軟で強力な言語ですから、ブラウザがJavaScriptエンジンをまじめに実装しているのであれば、アタックのチャンスを与えていることになります。しかしこれはブラウザの脆弱性とは捉えられません
2009年02月25日17:30 カテゴリLightweight Languagesjavascript - eval(insecure.code).safely with(jail); //でもIEが きっかけは、これ。JavaScript: TheGood Parts Douglas Crockford / 水野貴明訳 [原著:JavaScript: TheGood Parts]Twitter /javascripter: JSON.parseよりeval("(" + str ...JSON.parseよりeval("(" + str + ")")のほうが5〜10倍くらい早いけどなんなんだろう。 eval("(" + str + ")")のなにがまずいかは、「JavaScript: TheGood Parts」を読んでいただくとして.... んじゃ、eval用のsandb
ブログで使われるブログパーツや、マッシュアップ、Webガジェットなど最近では外部のコンテンツを様々な方法で自分のWebサイトに取り込んで表示するようになっている。その際に用いられる技術は幾つかあるが、iframeを使ったものがよく知られている。 安全なWebガジェットに自動変換する iframeは全く関係のないコンテンツを表示するのに便利な仕組みではあるが、その便利さゆえに悪用される可能性も高い。そのような悪用を防止しつつ外部コンテンツとのつながりを楽しめる技術がWeb Sandboxだ。 今回紹介するオープンソース・ソフトウェアはWeb Sandbox、マイクロソフト社の開発したコンテンツ配信ライブラリだ。 Web SandboxはJavaScriptやSilverlightを使ったWebガジェットをセキュアにするためのライブラリだ。ガジェットの内容をサーバサイドで自動的に書き換えて配信
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
