2016-01-01から1年間の記事一覧
この記事は 「脆弱性"&'<<>\ Advent Calendar 2016」16日目の記事です。具体的な脆弱性の話でなくてすみません。いろいろコードを書いていると、安全に脆弱性を発生させたくなるときがあります。って書くとさっぱり意味がわからないと思いますが、セキュリテ…
この記事は 「脆弱性"&'<<>\ Advent Calendar 2016」11日目の記事です。昨日のネタの続きです。昨日は30x応答のレスポンスボディを表示させるために21/tcpなどへのポートへリダイレクトさせるという方法を紹介しました。Firefoxではレスポンスボディを表示さ…
この記事は 「脆弱性"&'<<>\ Advent Calendar 2016」10日目の記事です。小ネタですみません。 301や302のリダイレクトのレスポンスボディにてXSSが存在することが稀にありますが、30x応答ではボディ部分は表示されないのでXSSが存在しても脅威は発生しないと…
Microsoftの提供するテキストエディタ Visual Studio Code にはローカルに保存されている特定の名前のファイルを起動時に読み込み、その内容をコードとして実行してしまう問題があります。現在のv1.7.1では問題は解消されていますが、問題が発生することを確…
書籍「あなたのセキュリティ対応間違っています」を著者の汁 伸弘さんから頂きました!ありがとうございます!情報セキュリティに関連して世の中で話題になった様々なトピックスを、わかりやすい口調で解説してくれる書籍です。 とにかくわかりやすく書かれ…
2016年11月14日夜にShibuya.XSSを開催します。海外からの超大物ゲストを迎えての開催ということで、発表者を募集しています。 Shibuya.XSS techtalk #8 CFP 応募内容はあまり深くこだわる必要はなく、例えば以下のようなもので十分です! JSフレームワークxx…
セキュリティ・キャンプ全国大会2016の講義で使用された資料のまとめ。公開されていない講義が多いので、すべての講義資料があるわけではありません。随時追加。 TLS徹底演習 次世代プラットフォームのセキュリティモデル考察 (前半) (講義の動画) 次世代プ…
昨年10月に報告した、Electron製アプリケーションを起動した際にアプリケーション外のnodeモジュールを読み込んで実行されてしまうという脆弱性が修正された。 JVN#00324715: Electron における Node モジュール読み込みに関する問題 正確には、修正は報告と…
[改訂新版]Windowsコマンドプロンプトポケットリファレンスを著者の山近さんから頂きました。ありがとうございます。 この書籍は、「ポケットリファレンス」といいながら660ページもの圧巻のボリュームで、Windowsで日常的に使うコマンドだけでなくほとん…
![はてなブックマーク - [改訂新版]Windowsコマンドプロンプトポケットリファレンス](https://b.hatena.ne.jp/entry/image/https://hasegawa.hatenablog.com/entry/20160308/p1)
Cross origin URL information leakage of IE was fixed by MS16-009. (JVN#78383854: Internet Explorer cross-domain policy bypass) Reported 2015-09-18 Confirmed version Internet Explorer 11.0.9600.18036 Description A cross origin content in th…
I've written the article about FiddlerScript last week and I've gotten reply like this:@hasegawayosuke Burp Suite(@Burp_Suite) Rulez!— Jeremy Bae (@opt9) January 28, 2016Yes, I know Burp rulez but I love Fiddler without reason so match so …
Electronを使ってブラウザのようなアプリケーションを作る場合には webviewタグが使用される。例えば、アプリケーション内にexample.jpのサイトを表示するには以下のようにHTMLに記述する。 <webview src="http://example.jp/"></webview> ここで、webviewタグにallowpopups属性を付与すると、example.jp…
HTML5で導入されたiframe要素のsandbox属性は、そのiframe内のコンテンツに対しJavaScriptの実行を始め様々な制約を課すことでセキュリティの向上に役立つ機能である。例えば、以下のように指定されたiframeでは、iframe内からformのsubmitなどはできるが、i…
本稿はCodeZineに2015年12月28日に掲載された記事の再掲となります。 クロスサイトスクリプティング(XSS)は、古くから存在し開発者にもっともよく知られたセキュリティ上の問題のひとつでありながら、OWASP Top 10でも2010年に引き続き2013年でも3位と、未だ…
