クリックジャッキング対策、あるいはクリックジャッカーをジャックする方法
クリックジャッキング対策、あるいはクリックジャッカーをジャックする方法 2009年03月05日 12:24未分類 クリックジャッキングというのが話題になってるみたい。 主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは クリックジャッキングってこうですか? わかりません クリックジャック – 素人がプログラミングを勉強するブログ 404 Blog Not Found:javascript – クリックジャック殺しなbookmarklet 全ての人にとって有効な防御策がなかなか見あたらないみたいで おそろしいですね。 せめて自分が運営しているサイトが その対象にならないようにしたいところ。 というわけで こういう JavaScript を仕込んでおいてはどうかと思います。 添削歓迎。 →ご指摘いただいて書き換えました。 if (window.top !== window.self)
JavaScriptボットネット・コードがインターネットに流出――Webブラウザを攻撃者のツールに変質させる | OSDN Magazine
ユーザーが気づかないうちにWebブラウザを攻撃者のツールに変えてしまうソフトウェアがインターネットにポストされたことが明らかになった。この事態は、今年3月に米国ワシントンD.C.で開催されたハッカー・コンファレンス「ShmooCon」(3月23~25日)の会場で来場者の1人がこのソフトウェアをダウンロードしたことから始まった。 「Jikto」と呼ばれる同ソフトウェアは、スパイ・ダイナミクスの主任研究員であるビリー・ホフマン氏が作成した。同氏は3月24日、JavaScriptを使った悪意のあるプログラムの危険性をテーマとした講演でこのコードのデモンストレーションを行った。 ホフマン氏は、あらゆるWebブラウザで稼働させることができるWeb言語であるJavaScriptを使ってWeb脆弱性スキャン・プログラムを作成する方法を発見した。この手法を使えば、JavaScriptのセキュリティ機能を迂
第2回 Webブラウザが乗っ取られ,犯罪者の支配下に
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。第2回目となる今回は,今そこにある危機に迫る。 Zone-Hの場合,犯人は自己顕示を目的としていたため,被害はページ改ざん程度で済んだ。しかし,犯罪者の狙い次第で危険度はもっと高まる(図3)。 図3●XSSのぜい弱性を突くことで可能になる攻撃 キー入力の盗難や他サイトへの攻撃などユーザーが知らないうちに,背後での攻撃が可能になる。 [画像のクリックで拡大表示] 例えば銀行や証券会社のWebサイトにXSSの穴があれば,クッキーを盗まれ,不正送金などにつながるかもしれない。盗んだクッキーを使って業務で使用しているWebメールを盗み見られれば,開発や営業の資
第1回 悪意のJavaScriptで情報が漏えい:ITpro
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
hoshikuzu | star_dust の書斎 InternetExplorer6::base要素のstyle属性が全要素に効くのでJavaScriptも記述し放題
下のソースでローカルにHTMLファイルを作りIE6で開く。一行目はおまじないなので省略しない。img要素とかbr要素とかが泣ける。 <!-- saved from url=(0014)about:internet --> <html> <head> <title>nandakore</title> </head> <body> <base id="b00" style="width:expression(setTimeout(this.innerText,0))"> <pre> resizeTo (400, 400); </pre> <img> document.title='areare'; </img> <br> var hoge = 'foo'; </br> <blockquote> window.status = hoge; </blockquote> </body> </html
「Web 2.0」導入が進む中、後回しにされるセキュリティ - CNET Japan
「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。 Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業(「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど)の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。 ウェブセキュリティ企業のSPI Dynamicsでリ
Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
