JSONのエスケープをどこまでやるか問題 - 葉っぱ日記

2011/07/06 378 users JSON valid Ajax 葉っぱ日記 サーバ

Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSSそれぞれの詳細については後述します。 ... 続きを読む

「東京は希望」「東京には何もない」山内マリコ×中條寿子の女子と地方 - サイゾーウーマン

2012/11/21 373 users サイゾーウーマン ジャスコ 退屈 ファミレス 山内マリコ氏

『ここは退屈迎えに来て』（幻冬舎） 山内マリコ氏の処女小説『ここは退屈迎えに来て』（幻冬舎）が、地方生まれの女子の大きな共感を呼んでいる。全8章の主人公たちは、いずれも地方出身か在住者。生まれ育った田舎を肯定することができず、「ここではないどこか」を求めて悶え苦しむなか、エスケープの最大手段として、大都会へ出て行くことに憧れと希望を抱いている。 ドン・キホーテやジャスコ、ファミレスが国道沿いに立ち... 続きを読む

ElectronアプリのXSSでrm -fr /を実行する - Qiita

2016/05/21 338 users Qiita チャットアプリケーション XSS チャット 想定

Electronアプリでxssを発生させると任意のコードが実行できるらしいので rm -fr / を試してみます。 想定 web版とelectron版のあるチャットアプリケーションという設定です。攻撃者が用意したリンクをクリックすると、PC内のすべてのファイルを消し去るというシチュエーションを考えてみます。 用意 expressでリストとフォームからなる脆弱性のあるチャットをつくります。エスケープ... 続きを読む

間違いだらけのSQL識別子エスケープ | 徳丸浩の日記

2013/12/25 329 users 徳丸浩 本稿 合意 議論 間違いだらけ

2013年12月25日水曜日 間違いだらけのSQL識別子エスケープ これから3回連載の予定で、SQL識別子のエスケープの問題について記事を書きます。SQL識別子のエスケープについてはあまり解説記事などがなく、エンジニア間で十分な合意がないような気がしますので、これらの記事が議論のきっかけになれば幸いです。 3回の予定は以下のとおりです。 間違いだらけのSQL識別子エスケープ(本稿) SQL識別子エ... 続きを読む

仮想化製品多数に「ゲストVM脱出」の脆弱性、影響は極めて重大 - ITmedia エンタープライズ

2015/05/13 278 users ITmedia エンタープライズ 脆弱性 影響 仮想マシン

悪用された場合、攻撃者がゲストVMから抜け出してホストシステムにアクセスし、任意のコードを実行できてしまう恐れがある。 XenやKVMなど多数の仮想化プラットフォームで使われている仮想フロッピードライブのコードに、極めて重大な「仮想マシン（VM）エスケープ」の脆弱性が発覚した。セキュリティ企業CrowdStrikeの研究者が発見して5月13日に情報を公開した。 CrowdStrikeによると、この... 続きを読む

JSONのエスケープ

2013/11/16 257 users Application JSON JSON形式 オブジェクト

JSONはJavaScriptのオブジェクトや配列を表現する方式でRFC 4627で定義されています。メディアタイプはapplication/json、ファイル拡張子はjsonと定義されています。 PHPにJSON形式のデータに変換するjson_encode関数とjson_decode関数をサポートしています。 JSON関数がサポートされている話は簡単！となれば良いのですが、 いろいろ考慮しなけれ... 続きを読む

text-hatena.js 公開 [tech.nitoyon.com]

2005/11/22 225 users text com ライセンス HTML cookie

本家 Text::Hatena で Text::Hatena を用いている部分は実装できていません。 URL の自動リンクや HTML のエスケープなどは実装できていません。 Cookie を利用するようなサイトに text-hatena.js を利用するのはお勧めできません。 ライセンスは Text::Hatena と同等とします。 参考リンク Text：：Hatena (A mere typo... 続きを読む

SQLでエスケープなんてしたら負けかなと思ってる。 - めもおきば

2013/12/11 221 users プレースホルダ プリペアードクエリ おきば SQL 議論

「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめエスケープとプレースホルダをめぐる議論 - TogetterまとめSQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 - TogetterまとめIPAの「安全なSQLの呼び出し方」が安全になっていた ... 続きを読む

Python でシェル経由でコマンド実行するときのバッドノウハウ - methaneのブログ

2013/12/22 173 users kill subprocess バッドノウハウ シェル 問題

2013-12-23 Python でシェル経由でコマンド実行するときのバッドノウハウ PHPだってシェル経由でないコマンド呼び出し機能が欲しい コマンド実行でシェルが怖いなら使わなければいいじゃない どちらの記事でも Python の subprocess を使ってシェルを介在せずにコマンドを実行する方法が紹介されています。 シェルを介在すると、エスケープの問題考えるのが面倒だったり、 kill... 続きを読む

構造化ログのフォーマット logfmt vs JSON lines - methaneのブログ

2024/03/04 139 users methane クォート プラクティス 改行 フォーマット

構造化ログのプラクティスをあちこちで調べていたら、logfmtを推奨する記事を見つけたので調べてみました。 先に結論を言うと、JSON linesを使っておくのが良さそうです。 logfmt について logfmtとはスペース区切りで key=value を並べたフォーマットです。文字列にはクォートとエスケープによってスペースや改行を含め... 続きを読む

JavaScript: / の \ によるエスケープのみによるセキュリティ対策は禁止

2013/11/16 135 users char escape セキュリティ対策 禁止 定義

RFC 4696をもう一度読みなおしてみると/もエスケープ可能文字に定義してありました。JavaScriptのエスケープシークエンスの処理の部分も間違っていたので全面的に書き直します。 RFC 4696の定義では char = unescaped / escape ( %x22 / ; " quotation mark U+0022 %x5C / ; \ reverse solidus U+005... 続きを読む

JavaScript文字列のエスケープ

2013/11/02 129 users

これらの中で注目すべきは ' と " と \ です。シングルクォート、ダブルクオートは文字リテラルを作成する為に利用され、\ でエスケープできることです。つまり、文字リテラルの最後に \ が現れると文字列の終端が無くなります。単独で不正なJavaScriptの挿入が可能になる訳ではありませんが、プログラムの構造が破壊される事を意味します。 PHPにはJavaScript文字列用のエスケープ関数が用... 続きを読む

macska dot org » 反ポルノ・売買春団体「エスケープ」十年前の方向転換と、暴力をふるう「反暴力」活動家たち

2011/07/11 124 users 反ポルノ macska dot org 暴力 反暴力 方向転換

最近、ツイッターで反ポルノ・売買春運動をしている人や、そういった人たちが進める「児童ポルノ単純所持規制」「ロリコン表現・メディア規制」に反発している人たちの発言がよく目に入ってくる。ちなみに今週メールマガジン「αシノドス」に掲載予定（だと思う、まだ確認取れてないけど、数日前に入稿しているし、ボツだとは言われていない）でも、その児童ポルノ規制に関連して「子どもの人身売買反対運動」について書いたのだけ... 続きを読む

バリデーション、エスケープ、フィルタリング、サニタイズのイメージ - 徳丸浩のtumblr

2013/12/10 118 users サニタイズ tumblr alert script 文脈

バリデーション、エスケープ、フィルタリング、サニタイズの用語は分かりにくいので、イメージで説明します。 "><script>alert(‘xss’);</script> という入力文字列が、それぞれどうなるかを示します。 ※1 厳密な定義ではありません（要件や文脈により変化します） ※2 バリデーションという用語は非常に幅があります（ここの「名称補足」参照）。 ※3 サニタイズという用語は非常に幅... 続きを読む

Kazuho@Cybozu Labs: JavaScript の文字列定数でエスケープが必要な文字

2006/11/06 92 users Kazuho@Cybozu Labs 文字列定数 文字

IE、 Firefox、 Safari ともに ECMAScript の仕様を満たしていません。IE6 は ECMAScript の仕様に対して上位互換だと言えるでしょうから、実質的に問題を抱えているのは Firefox のみ、ということになるのでしょうか。JSON を使う際には、注意が必要、と。 Firefox に関して言えば、 (Control Character があるとエラーになるのではな... 続きを読む

MySQL の SQL エスケープ - @tmtms のメモ

2013/12/15 84 users tmtms ビッグウェーブ MySQL SQL 空前

2013-12-15 MySQL の SQL エスケープ MySQL この記事は MySQL Casual Advent Calendar 2013 の15日目の記事です。 今、空前の SQL エスケープブームみたいなので、このビッグウェーブに乗っかってみます。 でも面倒なのでセキュリティについての話はしません。カジュアル！ 文字列リテラルとエスケープ MySQL では SQL 中の文字列リテラル... 続きを読む

データベースのデータを信用してはいけないか? - 徳丸浩のtumblr

2013/04/15 80 users フィルタリング tumblr 初級 出力 記述

ネットを見ていたら「問題集 ： PHP技術者認定・初級」というのを見つけました。 【セキュリティ対策】 セキュリティ対策について、正しいものを1つ次の記述の中から選択せよ。 入力のフィルタリングのみ行う。 出力のエスケープのみ行う。 少なくとも、入力のフィルタリングと出力のエスケープを行う。 データベースのデータは信頼してよい。 ITトレメ PHP技術者認定・初級 － ＠IT自分戦略研究所より引用... 続きを読む

マイ・ブロークン・マリコ 第1話 エスケープ - 無料コミック ComicWalker

2019/07/16 62 users マリコ マイ・ブロークン 少女 女同士 行動

友達のマリコが死んだ。突然の死だった。 柄の悪いＯＬのシイノは、彼女の死を知りある行動を決意した。 女同士の魂の結びつきを描く鮮烈なロマンシスストーリー！ コミックブリッジ,COMIC BRIDGE,大人向け,女性向け,シリアス,ブロマンス,ロマンシス,forgirls,夢見る少女じゃいられない 続きを読む

SQL識別子は結局どうすればよいか | 徳丸浩の日記

2013/12/27 62 users 徳丸浩 本稿 SQLインジェクション対策 パク SQL文

2013年12月27日金曜日 SQL識別子は結局どうすればよいか 今まで2回にわたって、SQL識別子のエスケープの問題を取り上げました。 間違いだらけのSQL識別子エスケープ SQL識別子エスケープのバグの事例 3回目となる本稿では、SQL識別子の取り扱いに関する問題を整理して､一般的な原則を導きたいと思います。 SQL文が動的に変化する場合のSQLインジェクション対策 「間違いだらけの…」で示し... 続きを読む

＜家づくり＞固定概念からエスケープ。家具やものの使い方は一つじゃない。 - My Midcentury Scandinavian home 〜北欧ミッドセンチュリーの家〜

2018/09/19 54 users 北欧ミッドセンチュリー 固定概念 家具 家づくり

ワゴンが緑化？！ ナウガ親分「前回リメイクした イケアのワゴンに緑があるゾォ」 そうなんだ。 ご飯の配膳用に使うつもりだったけど 実はまだ決めかねてるんだ。 こんな使い方どうかなって 試してみた。 これもいいなあ。 まだ決まりでないけどね。 ナウガJr「え？でもワゴンってさ キッチンで使うものじゃないの？」 ... 続きを読む

複雑な WordPress のエスケープ関数を整理してみる – ミルログ

2017/07/11 42 users エスケープ関数 Echo WordPress GET 関数

WordPress でセキュリティを考える時に大事なのは文字列のエスケープです。ただ、エスケープの関数だけでもかなりの数がありややこしいので、よく使うものをまとめてみました。 前提知識 the_* 関数と get_* 関数の違い 基本的に the_ 関数は get_ 関数を echo しているだけですが、一部の関数ではエスケープされて出力されています。 ですので安全面を考えると、 echo get... 続きを読む

逃げた新城幸也が敢闘賞獲得！グライペルがゴールスプリントを制す | cyclowired

2012/07/04 41 users cyclowired 新城幸也 ユーロップカー 敢闘賞 ユー

ツール・ド・フランス2012第4ステージ速報 逃げた新城幸也が敢闘賞獲得！グライペルがゴールスプリントを制す2012年7月4日、スタート直後にアタックを仕掛けた新城幸也（ユーロップカー）がラスト8kmまでエスケープ。逃げ切りは叶わなかったが、その積極的な走りが評価され、敢闘賞を獲得した。落車多発のゴールスプリントはアンドレ・グライペル（ドイツ、ロット・ベリソル）が制している。 新城幸也（日本、ユー... 続きを読む

fluentd - td-agentで--use-v1-config - Qiita

2014/12/19 28 users td-agent Qiita fluentd リテラル 互換性

td-agent2からはデフォルトがv1で起動 v0互換性は完全互換ではないことに注意 1.1.1X系では対応していない(--use-v1-configは使えない) fluentd-0.10.55でv1でもv0との同じ設定で動作させることが出来るようになった。(それ以前のv1はリテラルのエスケープなど記述方法が異なっている。) が、プラグインによっては問題があるらしい(自分は今のところ遭遇していな... 続きを読む

KAYAC Advent Calendar 2021:三角締めからのエスケープについて - KAYAC engineers' blog

2021/12/03 14 users KAYAC engineers Twitterトレンド

技術部の竹田です。 2021年の話題といえばtwitterトレンドにもなった三角絞めではないでしょうか？ 【試合結果】Yogibo presents RIZIN.28 第10試合／朝倉未来 vs. クレベル・コイケ - RIZIN FIGHTING FEDERATION オフィシャルサイト 一部では朝倉選手がタップを拒否した末の失神とも言われてますが、対応・エスケープを... 続きを読む

【自転車】トレック7.4とエスケープR3で迷っています。 : 自転車 情報まとめ

2015/10/21 11 users 自転車 情報まとめ タイヤ 値段 休み

170>ツール・ド・名無しさん2015/10/10(土) 02:22:29.12ID:/UQJ3V/x.net トレック7.4とエスケープR3で迷っています。 値段もそこそこ違うのは理解してます。 7.4はカーボンフォークやタイヤが太いというのも。 気になるのが、エスケープと7.4で金額並みの違いはあるのでしょうか？ 休みの日に30-50キロくらい走ろうと思ってます。 171>ツール・ド・名無しさ... 続きを読む