2010-01-01から1年間の記事一覧

ちょっと難しい目のXSSの練習問題を作りました。

ちょっと難しい目のXSSの練習問題を作りました。ブラウザ限定でXSSが可能です。 http://utf-8.jp/cgi-bin/xssme.cgi

記号プログラミング Advent Calendar がアツい!

id:TAKESAKO さんがネタで発した一言から始まった、記号プログラミング Advent Calendar が超盛り上がっています。 perl-users (JPerl) に間借りしてやってるくせに、Perlと関係なくても記号プログラミングならOKということで始めたんですが、これまでに投稿…

コミPo! 楽しい

誰でもマンガを超簡単に描けると話題のコミPo!の体験版が使えるようになったので、IPAのアレを見ながらちょっと書いてみた。操作感はちょっとぎこちない感じもするけれど特に難しくもなく、これくらいなら1時間くらいで描けた。 参考文献:http://www.ipa.go.…

複数のJoomla!サイトにおいて、jjencodeを使用して記号だけに難読化したJavaScriptを注入する攻撃が発生

イタリアのJoomla!を使用している複数のサイトにおいて、悪意あるサイトに誘導するためのJavaScriptを注入されるという攻撃が発生したようですが、そのときに埋め込まれるJavaScriptが、jjencode によって難読化されたものだったようです。 Italian compromi…

IE8 XSS Filterの仕様が微妙に変更されていた。

先日、Google 日本語入力のHTTPを見てた id:tokuhirom さんに、HTTPレスポンスヘッダに「X-XSS-Protection: 1; mode=block」というのが含まれるというのを教えてもらったけど、"mode=block" というのが何か分からなかったので調べてみた。 結論としては、今…

TwitterからTシャツをもらった

今年の6月か7月くらいにTwitterの文字コードがらみのXSSを見つけたので、むこうの開発者に報告したら今になってからTシャツを送ってもらえました! id:ripjyr さんに見せたら「よかったやん、クジラじゃなくて」と言ってもらえました!

IE9 Beta のマイナーな変更点リスト

Eric Lawrence さんから、IE9 Beta Minor Changes List - EricLaw's IEInternals - Site Home - MSDN Blogs の翻訳の許可をもらったので訳してみました。間違い等あれば教えてください。 ブラウザの各リリースにおいて我々が行う様々な機能の追加変更のほと…

FiddlerでHSTS対応

昨日、Internet Explorer 9 の誕生を祝う会のLTで話した、FiddlerでHSTSに対応するためのFiddlerのカスタマイズルール用スクリプトです。LTのスライドは http://utf-8.jp/public/20100916/hstsforie.pdf に置きました。 実用的に使うには、「Fiddler2 を使っ…

現在の日本のセキュリティ 〜ブラックハットジャパンその後 関西編〜

IAJapanによる 現在の日本のセキュリティ 〜ブラックハットジャパンその後 関西編〜 というイベントで講演することになりました。以下のような内容で話そうと思っています。興味のある方はぜひお越しください。 タイトル: Intenet Explorer exSpoilt Milk c…

Re: Algorithm - 0と1を次々と返す簡単なお仕事

http://blog.livedoor.jp/dankogai/archives/51512419.html JavaScript で呼び出しの () が煩わしいなら、以下のように書けるのではないか。 #!/usr/bin/js var fl = { p : 0, valueOf : function(){ return this.p = !this.p; }, toString : valueOf }; pri…

セキュリティ&プログラミングキャンプのCTFで出題したXSS問題

難しすぎて解けないよ!と不満噴出だった問題。来年やるとしたら、ごっそり変更するので公開しちゃおう。 http://utf-8.jp/cgi-bin/xss1/search.cgi http://utf-8.jp/cgi-bin/xss2/search.cgi http://utf-8.jp/cgi-bin/xss3/search.cgi (追記)回答例をキャン…

会社のブログをはじめました

今月から、会社の公式ブログを開始しました。 NetAgent Official Blog 初回は自己紹介的な内容を書きましたが、次回以降はもっと技術的な内容を書いていきたいと思いますので、よろしくお願いいたします。

エフセキュアブログにおけるXSS

エフセキュアブログにちょうどXSSという記事が出ていますね。 記事では f-secure.com におけるXSSを話題にしていますが、f-secure.jp でもXSSがあり、ちょうど先日修正が完了しました。エフセキュアブログでは、ブログ内を検索したときに検索文字列を含むJav…

メンテナンス中に日記を書くてすと。

from denchance.hatena.ne.jp

">alert(1)

">alert(2)

新ジャンル:semordnilap programing - 左から読んだらJavaScript、右から読んだらPerl

回文は前読んでも後ろから読んでも意味が同じものだが、これに対し「 gateman」(後ろから読むと「nametag」)のように前から読んだ場合と後ろから読んだ場合で意味が変わるものをsemordnilap(シモードニラップ)と呼ぶ。回文 - Wikipedia より左から読んだ場…

[Neta]真・新ジャンル:回文プログラミング

参考文献: 新ジャンル:回文プログラミング - TAKESAKOのはてな出張所 回文つくるのに真ん中に「//」いれるのは卑怯な気がするので回文javascriptを書いてみた。記号だけじゃないけど。 "'\"+'+", alert(1),',)1(trela ,"+'+"\'" おなじ構造でPerlもいけま…

顔文字でJavaScript

顔文字のJavaScriptを生成する aaencode を書いた。こういう↓JavaScriptが簡単に生成できる。 ゚ω゚ノ= /`m´)ノ ~┻━┻ //*´∇`*/ ['_']; o=(゚ー゚) =_=3; c=(゚Θ゚) =(゚ー゚)-(゚ー゚); (゚Д゚) =(゚Θ゚)= (o^_^o)/ (o^_^o);(゚Д゚)={゚Θ゚: '_' ,゚ω゚ノ : ((゚ω゚ノ==3) +'_') [゚Θ゚]…

HTML5 Security Cheatsheet

html5security - Project Hosting on Google Code HTML5 Security Cheatsheet 足りてない攻撃パターンとか日本語訳もぼちぼちとcommitしていきますので、間違いとかツッコミあったら教えてくださいませ。

JavaScriptで + - * = なしで記号だけでプログラムを書く

id:hoshikuzu さんが言ってたので書いてみた。こんな感じ↓。コードはすぐ書けたけど、この記事書くのに30分以上かかってる気がする。 javascript:(~~[])[<_>{/...$/({})[~~[]][~~[]]}{/../({})[~~[]][1]}{/...$/({}[{}])[ ~~[]][~~[]]}{/..$/(!{})[~~[]][~~[]]}</_>…

ブラック企業とか2010年代には流行らない。

ちゃんと給料も出るし休みもあるよ!

如何にしてヒューマンフレンドリーなJavaScriptを書くか。または1行AAでプログラミング

javascript:(゚Θ゚)=゚ω゚ノ=3, (/`m´)ノ ~┻━┻ //*´∇`*/)javascript:(゚Д゚) =_=3; /^_^/ [-_-1] - /;*_*/ とりあえずエラーなく動くというだけで、実行結果にも絵にもまったく意味はないです。任意のコードをAAだけで実行させるのは、まだまだ遠い道のりです。

正しい脆弱性報告のあり方

「XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会」を読んで。 IPAを通じて脆弱性の報告が来るということは、脆弱性の発見者がセキュリティ専門家だったりするため、対策が取られるまで公開されないことが予測できる。つまりIPAから脆…

興味のあるECMA実装にJScriptと書いていたら面接で爆笑された

Inspired by Big Sky :: 興味のあるテキストエディタにVimと書いておいたら面接で爆笑された JavaScriptエンジニアを募集してる会社の採用面接を受けた時の話。 転職エージェントに作れと言われて作ったシートに、「興味のあるECMAScript実装」という欄があ…

JavaScript変態文法最速マスター

Java変態文法最速マスター - プログラマーの脳みそをリスペクト。 JavaScriptの変態文法・技法一覧です。あんまり使わないけど、知ってるとXSSとか攻撃したいのにWAFに妨害されるなど、いろいろ制約があるという場合に便利。 文字列の生成 引用符を使わずに…

それでも私が Perl を使い始める理由

元ネタ: それでも私が Perl を使いつづける理由 - kazuhoのメモ置き場 id:yappo さんや id:tokuhirom さんや id:kazuhooku さんがやさしく教えてくれるから!もちろん、$ かわいいよ $。