Movatterモバイル変換

tsupo id:tsupo

JavaScriptとjavaScriptとXSSに関するtsupoのブックマーク (6)

HTML5時代のWeb開発者が知らないとガチヤバな3つの未来予測と6つの脆弱性対策
8月21～23日にパシフィコ横浜で開催された「CEDEC 2013」では、Webの世界に関するセッションも数多く行われた。本記事ではその中から、サイボウズ・ラボの竹迫良範氏による「HTML5のこれまでとこれから、最新技術の未来予測」と、セキュリティコミュニティでは大変著名なネットエージェント、長谷川陽介氏による「HTML5時代におけるセキュリティを意識した開発」の2つのセッションの様子をお送りしよう。竹迫氏が「HTML」の周りの最新技術と、3つの未来予測を語る未来予測その1：通信は暗号化が標準に――「スタバでドヤリング」から考える最新技術竹迫氏はまず、スターバックスでスタイリッシュなMacBook Airをこれ見よがしに使う、「ドヤリング」という技術（？）について写真を出すところから講演を始めた。実は、この「ドヤリング」、公衆無線LANを利用すると盗聴のリスクがあることが指摘されて
tsupo2013/09/06
Firesheep の登場 → HTTP Strict Transport Security ← Internet Explorer 10は未対応 ⇒ Outbound Port 80 Blocking / JIT-Spray / RFC 6454 / DOM Based XSS / 機密情報をWeb Storageに保管しない
security
SSL
Javascript
XSS
CSRF
XMLHttpRequest
html5
WebStorage
リンク
シングルクォートもきちんとエスケープする - 素人がプログラミングを勉強していたブログ
追記2：2007-10-11 - hoshikuzu | star_dust の書斎を見ると、下に書いてるような対策では不十分なようだ。追記：エスケープすべき文字は、Re:JavaScript内（文字列）にデータを出力する場合の適切なエスケープ手順｜freeml byGMOなどを参考に。シングルクォート(')をエスケープせずXSSの原因になっているサイトをけっこう見かけたので、どういう時問題になるのか書いておく。JavaScriptの文字列を動的に埋め込む場合。 <script> var q = 'hoge"fuga'; document.getElementById('word').appendChild(document.createTextNode(q + 'の検索結果')); </script> のように、変数に代入する文字列を動的に作っている場合、RubyのCG
tsupo2008/11/14
javascript
XSS
programming
リンク
yohgaki's blog - いろいろ変わったXSSがありますが...
(Last Updated On: )私が知らなかっただけかもしれませんが、これにはかなり驚きました。いろんな所で問題が指摘されていますが、ECMAScriptにXML機能を追加したのはどうなんでしょうね…. 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。 <script> 123[”+<_>ev</_>+<_>al</_>](”+<_>aler</_>+<_>t</_>+<_>(1)</_>); </script> 好むと好まざる関係なくFirefox 1.5から使えるのでWeb開発者は知っておかなればならないです。日本語訳 http://www.ne.jp/asahi/nanto/moon/specs/ecma-357.html 原文 http://www.ecma-international.org/publications/
tsupo2007/10/15
123[''+<_>ev</_>+<_>al</_>](''+<_>aler</_>+<_>t</_>+<_>(1)</_>);
security
ECMAScript
JavaScript
E4X
XML
XSS
Internet
summarySite
リンク
第3回　Web 2.0で事態が悪化
前回ではWeb 2.0の興隆とともに，JavaScriptが多用され，使用をできないようにするととたんに，Webが使い物にならなくなる現状が，脅威を生んでいることを示した。今回は，RSSといった新しい技術や，ユーザーからの情報公開といったWeb 2.0の特徴がさらに火に油を注ぐことになることを示す。RSS，ATOMのリーダー・ソフトなど新しいアプリケーションの台頭は，ブラウザ以外にもJavaScript実行環境が増えることにほかならない。RSSやATOMのリーダー・ソフトは本来，最新情報のリストを表示するための仕組み。JavaScriptを解釈する必要はない。しかし多くが，Internet Explorerなど既存のソフトのコンポーネントを使用してリストを表示しているため，JavaScriptを解釈してしまうケースがある。実際，無償で配布されているRSSリーダーのいくつかでXSSのぜ
tsupo2007/03/15
それ、XSS じゃないよ、というのも混じってるな
security
JavaScript
XSS
Internet
computer
リンク
スラッシュドットジャパン | UTF-7エンコードされたタグ文字列によるXSS脆弱性に注意
jbeef曰く、"本家に「Cross Site Scripting Discovered inGoogle」というストーリが掲載された。これは、Web ApplicationSecurity Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS（クロスサイトスクリプティング）脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
tsupo2006/03/30
Internet Explorerでは、ページのエンコーディングが指定されていない場合、データがUTF-7っぽい内容であれば自動的にUTF-7として表示する機能が働くため(略)JavaScriptコードが実行されてしまう
security
IE
UTF-7
Google
JavaScript
脆弱性
XSS
リンク
クロスサイトスクリプティングについて
gooブログは今、アドバンスサービスでも「script」や「object」のタグをブログに書くことができない。恐らく「各種ブログパーツ（ブログペットなど）」や「google アフィリエイト」などなど、いろいろ積極的に試した方は判ると思うが、scriptタグを書くとそれを無効にするプログラムがgooブログでは作動する。なぜそういうプログラムが動くのか？わからない人は、gooブログに対しかなり失望するだろう。今日は、なぜこのようなプログラムが作動するのかについて少しだけ説明したい。実はこの問題、すべてがgooブログのドメインに起因する。gooブログは現在「ポータルサイトgoo」と同じドメイン「goo.ne.jp」配下にてサービスを提供している。このドメイン上には、gooにとってとてもsensitiveな情報「詳細な顧客情報」が常に走り回っている。それら情報は言わずもがな　とても重要な情報
tsupo2005/06/09
scriptタグを書くとそれを無効にするプログラムがgooブログでは作動する。
gooBlog
XSS
javascript
リンク
1