2007-08-01から1ヶ月間の記事一覧

Mozilla Aims At Cross-Site Scripting With FF3 - InternetNews.

GNUCITIZEN経由。ついにXMLHttpRequest(XHR)でクロスドメインなアクセスが!Flashのcrossdomain.xmlみたいなセキュリティモデルを採用したXHRが、Firefox3のAlpha7に実装されるそうです。ベースはW3CのDraftである「Cross-Origin Resource Sharing」とのこ…

Dark Reading | Security | Protect The Business - ...

CGISecurity.com経由。JSON、Ajaxのセキュリティというと、eval云々や、XSSやJavaScript Hacking的なことが話のメインになってしまうことがあります。でも、最大の危険性は別のところにあるよ、という話です。簡単に言うと、この記事では、従来サーバ側にあ…

脆弱性検査手法に関する特許問題

Dark Reading | Security | Protect The Business - ...脆弱性検査の手法(欠陥挿入=Fault Injection)に関する特許を持つCenzicが、SPIを特許侵害で訴えたという話です。関連:・Cenzicの特許 United States Patent: 7185232・Sanctum(Watchfire/IBM)も…

水槽の立ち上げ準備

引越し以来、狭い水槽に入れていた熱帯魚を、やっと60cm水槽に移動。今回は、掃除がしやすい大磯砂を底に敷いた。それから、魚が隠れる場所を作るために、とりあえずお菓子の蓋やら茶碗を水槽に入れる。今はだいぶ格好悪いけど、最終的にはお菓子の蓋などは…

マキシムでランチ

ランチ券みたいのを入手したので、土曜日は銀座のマキシムでランチ。暑くて思わず店の中でジャケットを脱ごうとしてしまい、お店の人にたしなめられる。料理はそれなりに美味しかったけど、カジュアルなお店の方が性に合っているなあと思う。帰りに、三越で…

Preventing XSS with Data Binding. The PoC

PDFのUXSSなどの発見で有名なStefano Di Paola氏のPoCです。現状の一般的なXSS対策とは異なり、バリデーションやHTMLエスケープ(バインド)処理を、ブラウザ側で行なおうというものです。 バインド処理 例えば、サーバからブラウザに以下のようなHTMLを返し…

Web Application Security Scanner Evaluation Criteria

WASC(Web Application Security Consortium)が新しいプロジェクトを立ち上げるそうです。The Web Application Security Consortium / Web Application Security Scanner Evaluation CriteriaWebアプリケーションのセキュリティ検査に使用するスキャナを評…

Security Restriction

WASCのWeb Security MLで、「Security Restriction」(以降SRと略します)という新しいセキュリティ機構の案が提示され、議論されています。The websecurity August 2007 Archive by threadこの方(Agarwal氏)のメールはいつも見づらいのですが、その辺は置…

CGISecurity.comの記事より

eEyeがWebセキュリティ分野に参入 Dark Reading | Security | Protect The Business - ... 良いWebアプリケーションスキャナを作ってくれそうです。 XPath Injection対策の話(IBM) http://www.ibm.com/developerworks/xml/library/x-xpathinjection.html P…

ImageFight2

先日の日記を見て頂いたようで、id:TAKESAKOさんがmod_imagefightをアップデートされていました。ソースを見ると、height/widthがそれぞれ最大6000pixelに変更されていました。むむむ・・・これは厳しい(今日は完全に攻撃者の視点になってます)。 しつこく…

MOPB Exploits taken down

MOPB(Month Of PHP Bugs)のStefan Esser氏のブログの記事です。http://blog.php-security.org/archives/91-MOPB-Exploits-taken-down.htmlドイツで、コンピュータへの侵入に使われうるソフトウェアについて、その作成・配布・使用を禁止する法律ができたとの…

ウェブアプリケーションセキュリティ

ウェブアプリケーションセキュリティ作者: 金床出版社/メーカー: データ・ハウス発売日: 2007/07/21メディア: ハードカバー購入: 3人 クリック: 66回この商品を含むブログ (23件) を見るついに我が家にもきましたぜ。

ImageFight

画像を用いたXSSとRFI対策のためのApache Moduleが出たようです。LL魂お疲れ様でした[LLSpirit] | TAKESAKO @ Yet another Cybozu Labsもう夜遅いので、気づいた事を少しだけ書きます。とりあえずは、PNGのXSS対策の部分についてだけ。 このプログラムは、IH…