カテゴリ: JavaScript
PHPが文字エンコーディング攻撃に強い理由 - HTMLエスケープ
9月 29th, 2009HTMLエスケープと言えば、Perlの場合、<,>,&,",'をエンティティ変換するコードが一番に見つかります。 「perl html escape」でググると一番に見つかったページは次のページです。 http://saboten009.blogspot.com/2008/04/perlhtml-xss.html いつも問題になるのは PHP だけど Perl は問題ないのか、すでに議論し尽くされた問題なのか、PHPer のモラルが低いせいか。 いつも問題にな… more »
投稿された Security, PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript
| 
永続的リンク
| フィードバックを送信 »
何故かあたり前にならない文字エンコーディングバリデーション
9月 10th, 2009私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格… more »
投稿された PHP, Ruby, Java, Webシステム開発, Perl, Python, JavaScript
| 永続的リンク
| フィードバックを送信 »
In Session Phishing
1月 28th, 2009In Session Phishingという興味深いアドバイザリが公開されています。
具体的な記載はありませんが、現在広く利用されているInternet Explorer, Firefox, Safari, ChromeでJavaScriptを利用するとユーザが特定のサイトにログインしていたか判別できるようです。
Recently Trusteer CTO Amit Klein and his research group discovered a vulnerability in the… more »
投稿された Security, Webシステム開発, JavaScript
| 永続的リンク
| フィードバックを送信 »
XML Feeds
