2011-01-01から1年間の記事一覧

最近買った本

Web Application Obfuscation: '-/WAFs..Evasion..Filters//alert(/Obfuscation/)-'作者: Mario Heiderich,Eduardo Alberto Vela Nava,Gareth Heyes,David Lindsay出版社/メーカー: Syngress発売日: 2010/12/10メディア: ペーパーバック クリック: 105回この…

オープンリダイレクト検査:Locationヘッダ編

オープンリダイレクタを脆弱性とみなすべきかは議論が分かれるところです。Google等の一部のサイトは、自サイトのオープンリダイレクタを脆弱性としてはみていません。一方で、脆弱性検査の現場では、見つかれば脆弱性として報告することが多いと思います。…

他人のCookieを操作する

脆弱性検査をしていてしばしば出くわすのは、他人のCookieの値を操作できるとXSSやセッション固定等の攻撃が成功するようなWebアプリケーションです。このようなアプリがあると、業界的には「Cookie Monsterという問題がありまして、、、でも、、、基本的に…

GoogleのReward Program

少し前の話ですが、Googleが自身のWebサイトの脆弱性発見者に対して、報酬(現金 500 USD以上)を支払うプログラムをはじめています。Google Online Security Blog: Rewarding web application security research過去にも、脆弱性の発見者に報酬を支払うプロ…