タグ XSS対策
人気順 5 users 50 users 100 users 500 users 1000 usersContent Security Policy Level 3におけるXSS対策 - pixiv inside
こんにちは、セキュリティエンジニアのkoboです。ピクシブには2018年4月に入社しており、セキュリティ観点でのアプリケーション開発や脆弱性報奨金制度の運用などを行っています。 本記事では、現在ピクシブの一部のサービスで取り組んでいるContent Security Policyについて知見を共有します。 概要 Content Security P... 続きを読む
AWSでWAFを導入する理由と最適な選択 | Developers.IO
はじめに AWS環境にWAFの導入をお考えのかたが多くなったと感じています。 改めて、 なぜWAFを導入するのか を考え、最適な選択をするために必要な情報を整理したいと思います。 WAFを導入する一般的な理由 AWS Black Belt Tech Webinarで「なぜWAFを使うのか」が紹介されています。 一般的なユースケースとして、 SQLi対策、XSS対策、BOT対策、DDoS緩和、PCI... 続きを読む
PHP入門書のSQLインジェクションとXSS対策をあらためて調べてみた | 徳丸浩の日記
2015年4月21日火曜日 PHP入門書のSQLインジェクションとXSS対策をあらためて調べてみた 継続的にPHP入門書のセキュリティ問題を確認していますが、今回は「やさしいPHP 第3版」を取り上げ、今どきのPHP入門書のセキュリティ状況を報告したいと思います。 やさしいPHP やさしいシリーズ 単行本 – 2008/2/29 やさしいPHP 第2版 (やさしいシリーズ) 単行本 – 2010/... 続きを読む
XSS対策としてのES6テンプレートリテラル
XSS対策としての ES6テンプレートリテラル Shibuya.XSS Yosuke HASEGAWA ES6テンプレートリテラル ES6テンプレートリテラル ❤バッククォートで囲って改行も含められ る var x = `改行も ダブルクォート「"」も シングルクォート「'」も 使えるよ!`; alert( x ); ES6テンプレートリテラル ❤ヒアドキュメントというには少し残念 ❤円記号での... 続きを読む
PHPでCSP(Content Security Policy)を導入してXSS対策を強化してみよう — A Day in Serenity (Reloaded) — PHP, FuelPHP, Linux or something
PHPで簡単にCSPを導入するためのライブラリを作成してみました。 kenjis/csp https://github.com/kenjis/php-csp-nonce-source 既存サイトへの影響を最小限にしてCSPが導入できることを目的としています。 基本的にCSP nonce-sourceを使い、nonceのないscriptタグは実行しないようにすることでXSS対策を強化します。 このラ... 続きを読む
Masato Kinugawa Security Blog: CVE-2014-0509: 上位サロゲートを使ったFlashのXSS
2014/05/30 CVE-2014-0509: 上位サロゲートを使ったFlashのXSS Flashの文字列処理の方法が適切でないために、 適切にXSS対策が施されたFlashファイル上でもXSSを引き起こせる場合があった問題について書きます。 この問題は以下に掲載されているように、 2014年4月のFlash Playerのアップデートで修正されました。 http://helpx.adobe... 続きを読む
高速で安全なjQueryを書くために今できること | Dress Cording
先人達が模索し続けたjQueryの定説を、私はちゃんと理解できているだろうか?またそれはjQuery1.8~2.0世代の現在においても有効なのだろうか? jsPerfよりベンチマークをシェアさせていただきつつ、パフォーマンスやXSS対策についても少しだけ。高速で安全なjQueryの書き方をまとめてみました。 jsPerfはベンチマークを自分で作成したり、他の方がつくったものをシェアできるツールです... 続きを読む
XSSを放置してたら数十分でサイトのデザインが出来上がってた件 | しょーゆ日誌
作ってたオンラインゲームの通信部分らしきものがなんとなく出来上がったので、適当にチャットもどきを作り上げて公開してま(す|した)。 ここです http://osyoyu.com/client/ ところで、WebSocket+MessagePackを使った通信が実装できたことで嬉しくなって、XSS対策とか忘れてました。 そこに目をつけた @kyonfuee さんがjQueryを実行しまくってデザイン... 続きを読む
WebフレームワークXSS対策の自動化
WebフレームワークXSS対策の自動化 — Presentation Transcript Webフレームワークの XSS対策の自動化わく□(@kyubuns / @lmt_swallow) 目的 Webフレームワーク側で基本的な XSS対策を自動的に行うようにして 脆弱性のあるWebサイトを減らす 現在の問題点• セキュリティに詳しくない人が脆弱性 のあるサイトを簡単に作れてしまう。• 文脈を見... 続きを読む
jQuery 1.8β1登場。モジュール機能によるカスタマイズ、ベンダープレフィックスサポート、XSS対策など - Publickey
情報処理試験問題に学ぶJavaScriptのXSS対策 | 徳丸浩の日記
2012年4月16日月曜日 情報処理試験問題に学ぶJavaScriptのXSS対策 平成24年度春期の情報処理技術者試験の問題と解答(一部)が公開されていますね。情報セキュリティスペシャリスト試験(SC)の午後Ⅰ(全4問中2問を選択)では、問1と問2がWebアプリケーションに関する問題でした。このエントリでは問1について書きます。 問1は、インターネット通販A社のサイトで脆弱性検査を実施したところ... 続きを読む
携帯電話事業者に学ぶ「XSS対策」 - ockeghem(徳丸浩)の日記
NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(しようとしている)挙動が観測されましたので報告します。この内容は、オレ標準JavaScript勉強会でネタとして使ったものです。NT... 続きを読む
HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」:phpspot開発日誌
HTML Purifier - Filter your HTML the standards-compliant way! HTML Purifier is a standards-compliant HTML filter library written in PHP. HTMLを許可しつつXSS対策を行えるPHPライブラリ「HTML Purifier」。 HTMLをちゃんとパースして、XSSに... 続きを読む