2007-04-01から1ヶ月間の記事一覧

DeXSSを試した

DeXSSはJavaのアンチXSSライブラリです。掲示板やWebメールなどのアプリで、HTMLタグを許容しながら、JavaScriptを除去したい場面で使用します。XSS攻撃対策用のライブラリ - DeXSS 1.0登場 | エンタープライズ | マイコミジャーナル DeXSS -- Java program …

Piece Frameworkを試した

Piece FrameworkはPHPのフレームワークです。セキュリティに強い、そして日本人が開発している、というのが特徴のようです。【PHPウォッチ】第34回 セキュアでロバストなPHPフレームワーク「Piece Framework」:ITPro Piece Framework - A stateful and secu…

ITmedia エンタープライズ:Google Readerにログイン妨害の脆弱性

それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在する。Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が…

htmlspecialcharsと不正な文字の話

PHPでは、HTMLエスケープ用の関数としてhtmlspecialcharsが用意されています。今日の日記では、htmlspecialcharsについて書きます。これと近い働きをするhtmlentitiesについても触れます。 htmlspecialcharsの基本 こんな感じで使います。 関数の引数は3つ…

Yahooのログインシール

Yahoo! Japanが新たなフィッシング対策を導入したそうです(産総研との共同実験のとは別物です)。 ヤフーは26日、フィッシング詐欺対策として、Yahoo! JAPAN IDのログイン画面に、ユーザーが設定した写真や文字列を表示する「ログインシール」機能を追加し…

HDIV (Http Data Integrity Validator)

WebAppSecのMLで知ったのですが、HDIVというStrutsのextensionがあるそうです。HDIVには色々な機能があるようですが、 完全性hiddenの値、プルダウンやラジオボタンの取りうる値、リンク、Cookieなどの改竄を検知する。 機密性HTML内に現れるデータを隠蔽す…

Jiktoのソース

Jeremiah Grossman氏のブログなどに書かれていますが、非公開としていたJiktoのソースコードが流出したそうです。あわせて、先月のShmooConでのプレゼン資料が公開されています(概要だけならば、この資料の方が理解しやすいです)。ソースコードとプレゼン…