alertを出したいんだ俺たちは - 葉っぱ日記

2019/03/12 269 users alert 俺たち

利用者に対してメッセージを意識的に伝えたり、あるいは何かしらの行動を促すために、ダイアログボックスを表示するための機能がブラウザーには複数実装されている。以下はそのまとめである。 機能 UIの占有など 機能、特徴 javascriptの window.alert メソッド タブモーダル 任意のメッセージが表示可能。繰り返し表示... 続きを読む

[SECURITY] podcast 第1回 セキュリティの『アレ』 - 葉っぱ日記

2017/04/23 8 users Podcast security Media ポッドキャスト

@ntsuji さん、 @MasafumiNegishi さん、 mtakeshi さんのポッドキャスト「セキュリティの『アレ』」の収録にお邪魔してきました！ 第1回 動画のアレからポッドキャストのアレに帰ってきたよ！スペシャル « podcast - セキュリティの『アレ』 http://tsujileaks.com/media/are_170423.mp3 人に聞かせるために話すっていうよりは... 続きを読む

安全な脆弱性の作り方 - 葉っぱ日記

2016/12/16 167 users 脆弱性 演習 講義 作り方 Webアプリケーション

この記事は 「 脆弱性"&' \ Advent Calendar 2016 」16日目の記事です。具体的な脆弱性の話でなくてすみません。いろいろコードを書いていると、安全に脆弱性を発生させたくなるときがあります。って書くとさっぱり意味がわからないと思いますが、セキュリティの講義のための演習環境とかそういうやつです。 受講生自身の手でWebアプリケーションの脆弱性を探してもらうような演習では、検査対... 続きを読む

Visual Studio Code における任意コード実行の問題 - 葉っぱ日記

2016/11/09 128 users 任意コード実行 Visual Studio Code 本件

Microsoftの提供するテキストエディタ Visual Studio Code にはローカルに保存されている特定の名前のファイルを起動時に読み込み、その内容をコードとして実行してしまう問題があります。現在のv1.7.1では問題は解消されていますが、問題が発生することを確認したv0.8.0との間のどのバージョンで問題が修正されたのかは不明です。 Microsoftでは本件を脆弱性として取り扱って... 続きを読む

Electronのwebview要素ではallowpopups属性をつけてはいけない - 葉っぱ日記

2016/01/24 80 users Electron example.jp WebView 属性

Electronを使ってブラウザのようなアプリケーションを作る場合には webview タグが使用される。例えば、アプリケーション内にexample.jpのサイトを表示するには以下のようにHTMLに記述する。 webview src = "http://example.jp/" > webview > ここで、webviewタグに allowpopups 属性を付与すると、example.jpサイ... 続きを読む

クロスサイトスクリプティング対策 ホンキのキホン - 葉っぱ日記

2016/01/06 142 users キホン クロスサイトスクリプティング対策

本稿は CodeZineに2015年12月28日に掲載された記事 の再掲となります。 クロスサイトスクリプティング(XSS)は、古くから存在し開発者にもっともよく知られたセキュリティ上の問題のひとつでありながら、 OWASP Top 10 でも2010年に引き続き2013年でも3位と、未だに根絶できていない脆弱性です。 本記事では、Webアプリケーションの開発においてXSSを根絶するために必要な対... 続きを読む

Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記

2015/12/25 503 users XSS Electron 根性 気合い うち

そのうちもう少しきちんと書きますが、とりあえず時間がないので結論だけ書くと、タイトルが全てでElectronでアプリを書く場合は気合いと根性でXSSを発生させないようにしなければならない。 これまでWebアプリケーション上でXSSが存在したとしても、影響範囲はそのWebアプリケーションの中に留まるので、Webアプリケーションの提供側がそれを許容するのであればXSSの存在に目をつむることもできた。し... 続きを読む

セキュリティ・キャンプ全国大会2015資料まとめ - 葉っぱ日記

2015/08/14 308 users

セキュリティ・キャンプ全国大会2015の講義で使用された資料のまとめ。公開されていない講義が多いので、すべての講義資料があるわけではありません。随時追加。WebプラットフォームのセキュリティJavaScript難読化読経HTTP/2, QUIC入門SSL/TLSの基礎と最新動向フレームワークに見る Web セキュリティ対策(これからのWebセキュリティ)ツイートする 続きを読む

ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記

2015/01/30 311 users Markdown XSS mar HTML ブラウザ上

不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、mar... 続きを読む

脆弱性"&'<<>\ Advent Calendar 2014 (17日目) - 葉っぱ日記

2014/12/16 256 users Twitter Wassr Advent Calendar

この記事は脆弱性"&'\ Advent Calendar 2014の17日目の記事です。今日は少し昔話をしようと思います。がはは。かつて、日本製TwitterのようなWassrというサービスがありました。当時、Twitterは数日に一度くらいはサービスが落ちていて、Twitterユーザーも「またか」と思いながら我慢して使うようなサービスであり、Twitterが落ちるたびにWassrはユーザーを増や... 続きを読む

脆弱性"&'<<>\ Advent Calendar 2014 (12日目) - 葉っぱ日記

2014/12/12 59 users hasegawayosuke data-url share

この記事は\ Advent Calendar 2014の12日目の記事です。Enjoy!\ Advent Calendar 2014 (12日目) - 葉っぱ日記 (id:hasegawayosuke)" data-url="http://d.hatena.ne.jp/hasegawayosuke/20141212/p1" href="http://twitter.com/share">ツイートす... 続きを読む

AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記

2014/11/17 21 users CSP Webセキュリティ 未来

AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 続きを読む

JavaScriptでリンク先URLがhttp/httpsか確認する方法 - 葉っぱ日記

2014/10/30 79 users https http JavaScript リンク先URL

JavaScriptで動的にリンクを生成する際に、DOM-based XSSを防ぐためにリンク先がhttpあるいはhttpsに限定されていることを確認したい場合がある。典型的には以下のようなコードとなる。 var div, elm; // 変数 url は攻撃者がコントロール可能な文字列 if( url.match( /^https?:\/\// ) ){ div = document.getEl... 続きを読む

ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記

2014/09/26 223 users ShellShock XSS bash CGI サーバ

会社のブログにも書いてますが、ファイアウォール内に置いてあるサーバで攻撃者が直接アクセスできないからといってbashの更新を怠っていると、条件によっては攻撃が可能となります。条件としては、 そのサーバにはシェルを経由して外部コマンドを起動するCGI等が動いている(通常のShellshockの攻撃と同条件) そのサーバにはXSSのあるWebアプリケーションが存在している 攻撃者は1.および2.の両方... 続きを読む

LINE株式会社 に行ってきた！ - 葉っぱ日記

2014/08/11 25 users LINE株式会社

台風一過！はせがわです。というわけで、Shibuya.XSSの会場を快く貸してくださったLINE株式会社さんに行ってきた！サイボウズのバグハンター合宿で疲れた体を引きずりながら大勢で魔宮である渋谷駅を抜けヒカリエへ。出迎えてくれたのはおなじみのコニー、ブラウン、ムーンをはじめとする愛らしいキャラクターの面々。ジェームズとジェシカもお出迎え。見晴しのいい窓際にも。遠くには夕焼けの富士山も見える！大量... 続きを読む

mXSS - Mutation-based Cross-Site-Scripting のはなし - 葉っぱ日記

2014/05/08 83 users innerHTML 亜種 DOMツリー DOM構造 はなし

ここ数年、XSS業界の最先端で盛り上がっている話題として mXSS というものがあります。mXSS - Mutation-based XSS とは、例えば innerHTML などを経由してすでに構築されているDOMツリーを参照したときに、本来のDOM構造とは異なる結果を得てしまい、そのためにHTML構造の破壊を引き起こすという類のDOM based XSSの亜種とも言えます。mXSSに関しては以... 続きを読む

5分でテンションを上げる方法 - 葉っぱ日記

2014/02/14 67 users テンション 恰好 PowerPoint 方法 5分

ちょっとテンションを上げたくなる時ってありますよね！今日はそんなときに簡単にテンションをあげる方法をお伝えします！ まず、PowerPoint(画像は2010)に適当な写真を張り付け 四角形を置き、写真と同じ大きさの四角形を置きます。 四角形の枠線を「なし」にし、「塗りつぶし」の図を先ほどの写真にします。これで同じ写真が2枚ならぶ恰好になります。 「図ツール 書式」から「背景の削除」を選び、顔と首... 続きを読む

JPCERT/CCの「HTML5(中略)調査報告書」が安全になっていた - 葉っぱ日記

2013/12/20 34 users JPCERT Research 中略 エントリ PDF

JPCERT/CCは「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」(PDF))を以下のURLから公開しています。http://www.jpcert.or.jp/research/html5.html「HTML5を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」はお勧めである、とするエントリを書こうかと思い、久しぶりにJPCERT/CCのトップ... 続きを読む

Chromeで(☝ ՞ਊ ՞)☝ウイーン - 葉っぱ日記

2013/12/03 35 users ウィーン Chrome

この記事はEject Advent Calendar 20133日目の記事です。ちなみに今日は僕の誕生日ですかつて一世を風靡し世界中のChromeユーザーを病院送りにしたCD-ROM トレイを取り出せる Chrome拡張、「chrome-eject」ですが、内部でNPAPIを使っていたために近い将来確実に動かなくなります。Chromium Blog: Saying Goodbye to Our O... 続きを読む

バグハンティング生活 - 葉っぱ日記

2013/11/20 27 users

セキュリティの専門家が錦糸町の小さな会社についたとき、JVNに一人のバグハンターが乗っていた。JVNの中には数種のXSSが載せられていた。 そのセキュリティ専門家はバグハンターにバグの品質を褒めて、見つけるのにどれくらい時間がかかったのか尋ねた。バグハンターは答えた。 「ほんの少しの間さ」「何故、もう少し続けてもっとバグを見つけないのかい？」「これだけあれば、家族が食べるのには十分だ。」「でも、君... 続きを読む

空前の脆弱性ハンティングブーム - 葉っぱ日記

2013/11/10 46 users 空前

自社製品やWebサイトの脆弱性を報告することで報奨金や謝辞が出るのは Google や Mozilla をはじめ海外では様々なものがありましたが、ここにきて日本でもいよいよ脆弱性報告に報奨金を支払う著名サイトが出てきました。脆弱性報告制度 未知のXSSやSQLインジェクションなどの報告者に：ミクシィが「脆弱性報告制度」開始、報奨金も用意 - ＠ITサイボウズグループ | ニュース | サイボウズ、... 続きを読む

HTML5関連のセキュリティ情報 - 葉っぱ日記

2013/09/25 137 users HTML5関連 セキュリティ情報

HTML5に関連したセキュリティの話題で、とりあえずこれまでに話した資料の一覧や、考察した記事。今後もっと増える予定です。「このAPI使う上で気を付けることないの？」みたいなリクエストもあればぜひ言って下さいませ。JavaScript Security beyond HTML5 (2013-09-20 Developers Summit Kansai 2013)HTML5セキュリティ その1:基礎... 続きを読む

機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

2013/05/17 557 users JSON nosniff JSON内 やり取り サーバ間

WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Ty... 続きを読む

Same-Origin Policy とは何なのか。 - 葉っぱ日記

2013/03/30 207 users オリジン 同一オリジンポリシー 概念 Webアプリケーション

ちょっと凝ったWebアプリケーションを作成していたり、あるいはWebのセキュリティに関わっている人ならば「Same-Origin Policy」という言葉を一度は聞いたことがあると思います。日本語では「同一生成元ポリシー」あるいは「同一生成源ポリシー」などと訳されることもありますが、個人的には「オリジン」は固有の概念を表す語なので下手に訳さず「同一オリジンポリシー」と書いておくのが好きです。さて、... 続きを読む

IPAから「クリックジャッキング」に関するレポート出ました - 葉っぱ日記

2013/03/29 22 users IPA クリックジャッキング CSRF HTTPリクエスト

Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者（被害者）に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、i... 続きを読む