2008-06-01から1ヶ月間の記事一覧

ページの閲覧履歴

有害なエントリーを書いてしまい申し訳ありませんでした | 松下健次郎のブログこの問題(CSS History Hack)への対策として作られたFirefoxのAddonがあります。https://addons.mozilla.org/ja/firefox/addon/1502https://addons.mozilla.org/ja/firefox/addo…

Scrawlrを試す

http://www.microsoft.com/japan/technet/security/advisory/954462.mspxMSが、SQL Injection対策ツールを3つほど紹介しています。そのうち、Scrawlrを試してみました。 Technical details for Scrawlr * Identify Verbose SQL Injection vulnerabilities in…

フォーマット制御文字

ECMA-262 3rd Edition(和訳)を見ていたら、7章にこんなことが書いてあるのを見つけました。 フォーマット制御文字は ECMAScript プログラムのソーステキストのどの場所に出現してもよい。これらの文字は、字句文法を適用する前にソーステキストから取り除…

WASFのカンファレンス

7/4、7/5にカンファレンスがあります。コンファレンス2008 | Web Application Security Forum - WASForum去年は受付など少しだけお手伝いさせてもらいました。今年も行くつもりです。

パスワードのハッシュ化の話

WASCのMLが、非常に盛り上がってました。The websecurity June 2008 Archive by threadSSL通信でも、ブラウザ上でパスワードをハッシュ化してからサーバに送るべきなんじゃないの? という話です。SSLプロトコル自体や実装上の欠陥がある場合や、弱い暗号が…

preg_replaceによるコード実行

最近少し調べていたのが、PHPの任意コード実行系の脆弱性です。中でも、preg_replace関数(Perl互換の正規表現による置換を行なうための関数)を不適切な方法で使った場合に発生する脆弱性について調べていました。せっかくなので、日記にまとめてみます。 3…