タグ

関連タグで絞り込む (50)

タグの絞り込みを解除

CSSとsecurityに関するtsupoのブックマーク (5)

  • [柔軟すぎる]IEのCSS解釈で起こるXSS

    [柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、

    [柔軟すぎる]IEのCSS解釈で起こるXSS
    tsupo
    tsupo 2009/06/04
    スタイルシートを利用したクロスサイトスクリプティング / スタイルシート内にJavaScript / スタイルの評価時にJavaScriptを実行 // exp/* */ression / \0065\0078pression / :expression / \65x/**/pression // HTML Purifier
    リンク

  • Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル

    « Japanize - IE 系の User JavaScript エンジンに対応しました | メイン | 安全な JSON, 危険な JSON (Cross-site Including?) » 2007年01月04日 クロスサイトのセキュリティモデル あけましておめでとうございます。 昨年、社内で「XMLHttpRequest は何故クロスサイトで使えないのか。画像や SCRIPT タグは使えるのに」という疑問 (というより試問) を耳にしました。おもしろい話なのでブログネタにしようと思っていたのですが、新年早々 GMAIL の事例がスラッシュドットされていたので、自分の現時点での理解をまとめてみることにしました。文書を確認して書いているわけではないので、間違いがあれば指摘してください。また、よい参考文献をご存知の方がいらっしゃいましたら、教えていただければ幸いです。 ウェブブラウザ

    tsupo
    tsupo 2007/01/04
    JSON については、JavaScript として文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができる ← これはうそだと思う
    リンク

  • IEBlog

    Internet Explorer Team Blog We've moved! Find us at the new Microsoft Edge Dev Blog As we announced last week, with the reveal of Microsoft Edge we are archiving the IEBlog. Future... Author: ieblog Date: 05/08/2015 Microsoft Edge is the browser for Windows 10 This morning, Joe Belfiore took to the stage at Build 2015 to share more about the next chapter in... Author: ieblog Date: 04/29/2015 Annou

    IEBlog
    tsupo
    tsupo 2005/12/08
    Once the investigation is complete we'll take appropriate action for our customers which may include fixing this in a future security update for IE.
    リンク

  • Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです

    ■IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ参りましたね。 2006-01-30 追記:2006年01月20日付けで以下の状態です。マイクロソフト社からの言明です。 有用な情報を適切な方法でご連絡いただき大変感謝いたしておりますが、Web サイト側での対応が困難である事が判明し、また、Internet Explorer の脆弱性が近々対応できる見込みであるため、Internet Explorer の修正により、この問題に対応する方向で作業を進めております。 (snip) また、この問題の根幹となります Internet Explorer の脆弱性については、現在鋭意対応中でございますが、こちらのリリース時期につきましては、詳細をお伝えすることができません。 誠に申し訳ございませんが、何卒ご理解とお客様

    Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです
    tsupo
    tsupo 2005/12/07
    CSSXSS のまとめ、リンク集
    リンク

  • CSSXSSでmixiのpost_keyをゲットする例 :: ぼくはまちちゃん!

    [2005/12/06 13:00] できなくなった。対応したのかな。 [2005/12/06 18:00] できるじゃん。 なおってないよ>< たとえば、これを使って mixiの名前とかamazonの「ようこそxxxxさん」とかを一緒にサーバに保存して超足あと帳とかどう? (もしそういう穴があるのなら) やっぱり、かなり怖い気がする!! [2005/12/07くらい] なおってるよ! { がすべて { に変換されてでてくるようになった!

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.