Content Security Policy Level 3におけるXSS対策 - pixiv inside

2018/10/05 99 users pixiv inside

こんにちは、セキュリティエンジニアのkoboです。ピクシブには2018年4月に入社しており、セキュリティ観点でのアプリケーション開発や脆弱性報奨金制度の運用などを行っています。 本記事では、現在ピクシブの一部のサービスで取り組んでいるContent Security Policyについて知見を共有します。 概要 Content Security P... 続きを読む

AWSでWAFを導入する理由と最適な選択 ｜ Developers.IO

2017/12/07 52 users WAF PCI AWS Developers.IO BOT対策

はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。 改めて、 なぜWAFを導入するのか を考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。 一般的なユースケースとして、 SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI... 続きを読む

PHP入門書のSQLインジェクションとXSS対策をあらためて調べてみた | 徳丸浩の日記

2015/04/21 80 users SQLインジェクション 徳丸浩 今どき 単行本 PHP入門書

2015年4月21日火曜日 PHP入門書のSQLインジェクションとXSS対策をあらためて調べてみた 継続的にPHP入門書のセキュリティ問題を確認していますが、今回は「やさしいPHP 第3版」を取り上げ、今どきのPHP入門書のセキュリティ状況を報告したいと思います。 やさしいPHP やさしいシリーズ 単行本 – 2008/2/29 やさしいPHP 第2版 (やさしいシリーズ) 単行本 – 2010/... 続きを読む

XSS対策としてのES6テンプレートリテラル

2015/02/16 35 users シングルクォート ダブルクォート ヒアドキュメント 改行 少し

XSS対策としての ES6テンプレートリテラル Shibuya.XSS Yosuke HASEGAWA ES6テンプレートリテラル ES6テンプレートリテラル ❤バッククォートで囲って改行も含められ る var x = `改行も ダブルクォート「"」も シングルクォート「'」も 使えるよ！`; alert( x ); ES6テンプレートリテラル ❤ヒアドキュメントというには少し残念 ❤円記号での... 続きを読む

PHPでCSP（Content Security Policy）を導入してXSS対策を強化してみよう — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something

2014/10/30 47 users CSP Reloaded nonce PHP kenjis

PHPで簡単にCSPを導入するためのライブラリを作成してみました。 kenjis/csp https://github.com/kenjis/php-csp-nonce-source 既存サイトへの影響を最小限にしてCSPが導入できることを目的としています。 基本的にCSP nonce-sourceを使い、nonceのないscriptタグは実行しないようにすることでXSS対策を強化します。 このラ... 続きを読む

Masato Kinugawa Security Blog: CVE-2014-0509: 上位サロゲートを使ったFlashのXSS

2014/05/30 22 users XSS helpx.adobe http 文字列処理 以下

2014/05/30 CVE-2014-0509: 上位サロゲートを使ったFlashのXSS Flashの文字列処理の方法が適切でないために、 適切にXSS対策が施されたFlashファイル上でもXSSを引き起こせる場合があった問題について書きます。 この問題は以下に掲載されているように、 2014年4月のFlash Playerのアップデートで修正されました。 http://helpx.adobe... 続きを読む

高速で安全なjQueryを書くために今できること | Dress Cording

2013/01/09 865 users jQuery jsPerf 定説 Dress Cording

先人達が模索し続けたjQueryの定説を、私はちゃんと理解できているだろうか？またそれはjQuery1.8~2.0世代の現在においても有効なのだろうか？ jsPerfよりベンチマークをシェアさせていただきつつ、パフォーマンスやXSS対策についても少しだけ。高速で安全なjQueryの書き方をまとめてみました。 jsPerfはベンチマークを自分で作成したり、他の方がつくったものをシェアできるツールです... 続きを読む

XSSを放置してたら数十分でサイトのデザインが出来上がってた件 | しょーゆ日誌

2012/10/07 146 users client jQuery XSS チャット http

作ってたオンラインゲームの通信部分らしきものがなんとなく出来上がったので、適当にチャットもどきを作り上げて公開してま(す|した)。 ここです http://osyoyu.com/client/ ところで、WebSocket+MessagePackを使った通信が実装できたことで嬉しくなって、XSS対策とか忘れてました。 そこに目をつけた @kyonfuee さんがjQueryを実行しまくってデザイン... 続きを読む

WebフレームワークXSS対策の自動化

2012/08/22 30 users Presentation Transcript 文脈 目的

WebフレームワークXSS対策の自動化 — Presentation Transcript Webフレームワークの XSS対策の自動化わく□（@kyubuns / @lmt_swallow） 目的 Webフレームワーク側で基本的な XSS対策を自動的に行うようにして 脆弱性のあるWebサイトを減らす 現在の問題点• セキュリティに詳しくない人が脆弱性 のあるサイトを簡単に作れてしまう。• 文脈を見... 続きを読む

jQuery 1.8β1登場。モジュール機能によるカスタマイズ、ベンダープレフィックスサポート、XSS対策など － Publickey

2012/06/24 50 users Publickey カスタマイズ モジュール機能

続きを読む

情報処理試験問題に学ぶJavaScriptのXSS対策 | 徳丸浩の日記

2012/04/16 106 users エントリ 徳丸浩 解答 情報セキュリティスペシャリスト試験

2012年4月16日月曜日 情報処理試験問題に学ぶJavaScriptのXSS対策 平成24年度春期の情報処理技術者試験の問題と解答（一部）が公開されていますね。情報セキュリティスペシャリスト試験（SC）の午後Ⅰ（全4問中2問を選択）では、問1と問2がWebアプリケーションに関する問題でした。このエントリでは問1について書きます。 問1は、インターネット通販A社のサイトで脆弱性検査を実施したところ... 続きを読む

携帯電話事業者に学ぶ「XSS対策」 - ockeghem(徳丸浩)の日記

2010/07/26 277 users ockeghem スクリプティング 徳丸浩 ＮＴ 挙動

NTTドコモとソフトバンクモバイルは、フィーチャーフォン（いわゆるガラケー）にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている（しようとしている）挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。NT... 続きを読む

HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」:phpspot開発日誌

2007/03/19 119 users PHPライブラリ phpspot開発日誌 HTML XSS

HTML Purifier - Filter your HTML the standards-compliant way! HTML Purifier is a standards-compliant HTML filter library written in PHP. HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」。 HTMLをちゃんとパースして、XSSに... 続きを読む