is a totally awesome idea still being worked on. Check back later.
InternetとCSRFに関するtsupoのブックマーク (9)
-
tsupo 2008/09/03
-
JavaScript無しでフォームをコントロール
(Last Updated On: 2008年9月3日)言われてみれば、そう言えばそんな機能があったね、と思うような機能はよくあります。 JavaScript無しでフォームを制御する方法はHTML4が策定されている時に追加された機能です。 http://www.w3.org/TR/html401/interact/forms.html#h-17.2.1 以下のLABELタグのサンプルは http://www.0x000000.com/?i=635 より拝借しています。 <label for="action"> <body> Etymology of "Foo" 1 April 2001 When used in connection with `bar' it is generally traced to the WW II era Army slang acronym FUBAR (`F
-
-
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
-
グーグル、ウェブ脆弱性検知ツール「RatProxy」をリリース
Googleは米国時間7月1日、ウェブ開発者がクロスサイト脆弱性を発見し、修正するためのツールをリリースした。 Googleによると、「RatProxy」と呼ばれるこの無料ツールは、半自動化された大部分が受動型のウェブアプリケーションセキュリティ監視ツールで、複雑なWeb 2.0環境における既存のユーザー主導型トラフィックの監視に基づく潜在的問題およびセキュリティ関連の設計パターンを正確かつ高感度に検出し、自動的に注釈を付けるように最適化されているという。 同ツールはまた、幅広く脆弱性を検知し、ランク付けする。クロスサイトリクエストフォージェリ(XSRF)やクロスサイトスクリプティング(XSS)のほか、スクリプトインジェクションなども検知する。 RatProxyは、Linux、FreeBSD、MacOS X、Windows(Cygwin)の4種類のオペレーティングシステム(OS)に対応して
-
OpenIDのライブラリにはCSRFに脆弱な物が多い
(Last Updated On: 2018年8月8日)GNUCitizenによると CSRF – It comes very handy. It seams that no matter how much you talk about it, very few pay attention on the problem. And it is not a problem that you can afford to have. And among the XSS issues, which most OpenID libraries have, CSRF (Cross-site Request Forgery) seams to be the most pervasive form of attack. http://www.gnucitizen.org/blog/hijacking-ope
-
crossdomain.xml と CSRF 脆弱性について - 2nd life (移転しました)
crossdomain.xml を安易に設置すると CSRF 脆弱性を引き起こす可能性があります。というのも、ここ数が月、それなりの数の crossdomain.xml による CSRF 脆弱性を発見し(現在、それらのサイトでは対策がなされています)、まだまだ Web プログラマに脆弱性を引き起こす可能性がある、という考え方が浸透してないんじゃないか、と思ったので。 先月、Life is beautiful: ウェブサービスAPIにおける『成りすまし問題』に関する一考察にも crossdomain.xml について書かれてたのですが、その後もいくつかのサービスで crossdomain.xml を許可ドメインすべてにしているサービスがあったので、注意喚起としてエントリーに書き起こします。 自分も一年半ぐらい前は、crossdomain.xml を許可ドメインすべて ('*') にして設置し
-
#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか | gihyo.jp
小飼弾のアルファギークに逢いたい♥ #6IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか 天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の中編です。 編集部注) 本対談は2007年3月に行われたものです。 こんにちはこんにちは! 弾:はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの? は:確かmixiを始めた2年前くらいかな。mixiってブログと違って、日記にコメントがたくさんつくのがおもしろくてハマってて。毎日見てるうちにおもしろい現象を見かけたんです。たまたま誰かが「ラーメン」ってタイトルの日記書いたんですよ。そしたらほかの人もつられて「ラーメン」って日記を書き出して、それがマイミクのマイミクまでどんどん伝染していっちゃって、その日の日記一覧が全部「ラーメン」になっち
-
Google Readerにログイン妨害の脆弱性
US-CERTのアドバイザリーによると、GoogleのRSSリーダーにXSRFの脆弱性が存在し、悪用されるとサービスにログインできなくなる可能性がある。 米Googleが試験提供しているRSSリーダーの「Google Reader」に脆弱性が存在し、悪用されるとサービスへのログインが妨害される可能性があるとして、US-CERTが4月18日、アドバイザリーを公開した。 それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在する。 Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が悪質なRSSフィードのイメージソースとしてログオフボタンを提示することにより、このリンクを実行できてしまう可能性がある。ユーザーが問題のRSSフィードをロー
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました