drumscoのブックマーク - はてなブックマーク

他人のCookieを操作する - T.Teradaの日記
脆弱性検査をしていてしばしば出くわすのは、他人のCookieの値を操作できるとXSSやセッション固定等の攻撃が成功するようなWebアプリケーションです。このようなアプリがあると、業界的には「Cookie Monsterという問題がありまして、、、でも、、、基本的に現状のブラウザではリスクは低いです」みたいな話がされることが多いのではないかと思います。本日の日記では、それ（Cookie Monster）以外にも状況によっては考慮すべきことがある、という話をしたいと思います（過去の日記でも少し書いた話ですが、もう少しちゃんと書いておこうと思います）。通信経路上に攻撃者がいる被害者のブラウザとサーバの通信経路上に、アクティブな攻撃者がいると想定しましょう。そのような状況では、攻撃者は正規のサーバになりかわってブラウザと通信をしたり、ブラウザと正規のサーバで交わされる通信に介入することが
drumsco 2014/02/06
security

SSL

cookie
リンク
セッションIDと認証チケット - teracc’s blog
以前の日記で、ASP.NETのセッション固定対策について書きました。その結論をまとめると、 ASP.NETにはセッションIDを変更するまともな方法が存在しない。そのため、ASP.NETではフォーム認証機構（FormsAuthentication）を使ってログイン状態管理を行うべき。 FormsAuthenticationは、通常のセッションID（ASP.NET_SessionId）とは別の認証チケット（Cookie）をログイン成功時に発行し、この認証チケットによってログイン後のユーザの識別を行う仕組み。ということになります。 ASP.NETのサイトに限らず、セッション（PG言語やフレームワークに組み込みのセッション機構）と、認証チケットの両方を使用しているサイトはたまに見られます*1 特にポータルサイトのような大規模なサイトは、ログインをつかさどるシステムと、会員向けのブログや日記、
drumsco 2010/05/06
セッションIDと認証チケット

security

SSO
リンク
T.Teradaの日記 - DeXSSを試した
DeXSSはJavaのアンチXSSライブラリです。掲示板やWebメールなどのアプリで、HTMLタグを許容しながら、JavaScriptを除去したい場面で使用します。 XSS攻撃対策用のライブラリ - DeXSS 1.0登場 | エンタープライズ | マイコミジャーナル DeXSS -- Java program for removing JavaScript from HTML（DeXSS開発者のページ）ちょっと触ってみました。概要以下のようなシンプルな処理をします。・TagSoupでParse ・正規表現でHTML要素/属性をフィルタプログラムは実質数百行程度しかありません。問題点ソースを見たり、実際に使ってみると多くの欠陥が目に付きます。ブラックリストまず最大の問題は、ホワイトリスト方式ではないことです。要素/属性名/属性値は、定義された正規表現（ブラックリスト）でフ
drumsco 2007/05/02
Java

security

XSS

dexss
リンク
[セキュリティ]httponlyは普及するのか (2006-12-26 - T.Teradaの日記)
Firefox2でもhttponlyが使えるという話を耳にしました。 httpOnly - Firefox Add-ons*1 httponlyがいよいよ普及するか？というのでネタにしてみます。なお、この日記は、WinXP＋IE6SP2環境を前提として書きました。はじめに httponlyは、XSS脆弱性がある状況においても、cookieを窃取されないようにすることを狙ったIEの独自機能です。 MSDN - Mitigating Cross-site Scripting With HTTP-only Cookies この機能を有効にするためには、発行するcookieにhttponly属性を付けます。 Set-Cookie: key=value; domain=example.com; HttpOnly httponly属性が付けられたcookieは、JavaScriptのdocume
drumsco 2006/12/29
security

XSS

HttpOnly
リンク
1