はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ XSS脆弱性

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 25 / 32件)

ECサイトのクロスサイトスクリプティング脆弱性を悪用した攻撃 - JPCERT/CC Eyes | JPCERTコーディネーションセンター公式ブログ

2021/07/06 このエントリーをはてなブックマークに追加 19 users Instapaper Pocket Tweet Facebook Share Evernote Clip JPCERT クロスサイトスクリプティング XSS 攻撃 以下

2021年4月28日に、Trend MicroからECサイトのクロスサイトスクリプティング(以下、XSS)脆弱性を悪用した攻撃(Water Pamola)が報告[1]されていますが、JPCERT/CCでも類似した攻撃を複数確認しています。JPCERT/CCで確認したインシデントでは、EC-CUBEを使用して構築されたECサイトにXSS脆弱性があったために、攻撃... 続きを読む

セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」 - ITmedia NEWS

2019/07/04 このエントリーをはてなブックマークに追加 256 users Instapaper Pocket Tweet Facebook Share Evernote Clip 検証 ソースコード セブン&アイグループ ECサイト 本番用

「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング... 続きを読む

Chrome拡張「5000兆円コンバーター」にXSS脆弱性 最新版にアップデートを - ITmedia NEWS

2018/06/15 このエントリーをはてなブックマークに追加 38 users Instapaper Pocket Tweet Facebook Share Evernote Clip Chrome拡張 ITmedia News アップデート

「5000兆円欲しい!」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」にXSS脆弱性が見つかったとJVNが注意喚起している。 「5000兆円欲しい!」と書かれたテキストを、太字の画像に変換するChrome拡張「5000兆円コンバーター」の「v1.0.6」に、クロスサイトスクリプティング(XSS)の脆弱性が見つかったと、脆弱性対策情報提供サイト「JVN」(Ja... 続きを読む

PHP - XSS脆弱性を見つけてしまったので報告したい(115233)|teratail

2018/02/27 このエントリーをはてなブックマークに追加 19 users Instapaper Pocket Tweet Facebook Share Evernote Clip teratail SQL Injection PHP 結論

前提・実現したいこと 結論からすると手間を掛けずに簡単に、匿名で報告したいです。 私とは全く関係ないとある企業のWebサイトの検索ページにXSS脆弱性を偶然にも見つけてしまったのでサイト管理者に報告したいです。 自分がWebサイトを作成する側という事もあり検索ボックスを見るとついついXSSやSQL Injectionがないかなんとなく心配になって調べてしまう事が何度かあるのですが(Webサイトの作... 続きを読む

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech

2018/01/03 このエントリーをはてなブックマークに追加 101 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech XSS 利息キャッシング 金利 ブラウザ

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか 18:28 | XSS脆弱性 があった場合にそのサービスで使っている パスワード を盗むことが可能かどうかについて書く。 XSS を通して パスワード を盗むことができるのか? 「現在の パスワード を表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス... 続きを読む

Twitterクライアント「Janetter」に脆弱性、最新バージョンで修正済み - ITmedia NEWS

2017/05/02 このエントリーをはてなブックマークに追加 37 users Instapaper Pocket Tweet Facebook Share Evernote Clip Janetter クロスサイトスクリプティング XSS 同社

PC向けTwitterクライアントソフト「Janetter」にXSS脆弱性があることが発覚した。最新版が5月2日にリリースされ、問題は修正された。 ジェーンが提供しているWindows/Mac向けTwitterクライアントソフト「Janetter」に、任意のコードがクライアント上で実行されてしまうXSS(クロスサイトスクリプティング)脆弱性があることが5月1日から話題になっている。問題を受けて同社... 続きを読む

WordPressのXSS脆弱性をVAddyで検出してみる - Qiita

2016/12/15 このエントリーをはてなブックマークに追加 13 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita VAddy クロスサイトスクリプティング XSS

VAddyは、 継続的なWeb脆弱性検査が簡単に実現できるSaaSです 。 昨日はVAddyの基本的な使い方を説明しました。 10分でWebアプリの脆弱性検査ができた!VAddyでWordPressをスキャンしてみる たった3ステップで脆弱性診断が手軽にでき、特別な知識が不要だと感じてもらえたら嬉しいです。 今日は昨日の記事でスキャンしたWordPressにクロスサイトスクリプティング(XSS)の... 続きを読む

実例に学ぶXSS脆弱性の発見と修正方法/line_dm 16 20160916 how to find and fix xss // Speaker Deck

2016/10/02 このエントリーをはてなブックマークに追加 394 users Instapaper Pocket Tweet Facebook Share Evernote Clip Speaker Deck 実例 発見 修正方法

実例に学ぶXSS脆弱性の発見と修正方法/line_dm 16 20160916 how to find and fix xss 続きを読む

エラーメッセージによるXSSにご用心 | 徳丸浩の日記

2015/05/01 このエントリーをはてなブックマークに追加 45 users Instapaper Pocket Tweet Facebook Share Evernote Clip XSS クロスサイトスクリプティング php.ini 徳丸浩

2015年5月2日土曜日 エラーメッセージによるXSSにご用心 以前の記事「PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む」では、php.ini等でdisplay_errorsを有効にしていると、スクリプトに脆弱性がなくてもXSS(クロスサイトスクリプティング)脆弱性が入り込む可能性が高いことを指摘しました。 しかし、display_errorを無効にしていても、... 続きを読む

2ちゃんねるにXSS脆弱性が見つかる、投稿に任意の文字列を埋め込み可能に | スラッシュドット・ジャパン IT

2015/03/03 このエントリーをはてなブックマークに追加 47 users Instapaper Pocket Tweet Facebook Share Evernote Clip スラッシュドット・ジャパン 文字列 2ちゃんねる 投稿

今回の 2ch の XSS については、2chのサーバが外部のサービス経由のデータをHTMLに組み入れる際に、Shift_JIS において文字として完結していない半端バイトと、HTMLタグの属性値のダブルクォート (") が結合して Shift_JIS の2バイト文字としてブラウザが扱うことにより、属性値の終了を意味するダブルクォート (") が消失してしまい、メールアドレスとして入力した不正な ... 続きを読む

Qiita Markdownのコードハイライト部分にXSS脆弱性 - Qiita

2015/01/27 このエントリーをはてなブックマークに追加 73 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qiita XSS 一体どん プレビュー機能 手間

はじめてQiitaに日記を投稿します。よろしくお願いします。 先日友人から「レポートを生成するためにQiita Markdownを使っているが、どこかにXSSがある気がする」という話を聞き、これは面白そうだとQiitaを覗きに来てみると、投稿画面にはプレビュー機能が付いているようです。Qiita Markdownをインストールする手間が省けたぞと喜んだあと、Qiita Markdownには一体どん... 続きを読む

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ - Engadget Japanese

2014/06/02 このエントリーをはてなブックマークに追加 232 users Instapaper Pocket Tweet Facebook Share Evernote Clip セキュリティチーム クロスサイトスクリプティング XSS

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ By Ittousai posted 2014年06月02日 08時57分 0 Google が XSS (クロスサイトスクリプティング) 脆弱性を学ぶサイト XSS game を公開しました。現実のウェブサイトやアプリでたびたび話題になる Cross-site scripting について、実際のウェ... 続きを読む

ブラウザ上で動作するテスティングフレームワーク上でXSSが可能な事例 - 金利0無利息キャッシング – キャッシングできます - subtech

2013/10/22 このエントリーをはてなブックマークに追加 67 users Instapaper Pocket Tweet Facebook Share Evernote Clip XSS subtech Selenium archives

少し前にこちらのXSS脆弱性について報告をした。 http://www.ark-web.jp/blog/archives/2013/10/a-series-20131011.html のだけれど、その際に同梱されているSeleniumのtest runner用のHTMLにXSSがあるのを見つけた。 開発中に使うものだし、パブリックにアクセス可能な箇所にtest runnerのHTMLファイルが設置... 続きを読む

脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定 | スラッシュドット・ジャパン セキュリティ

2013/10/06 このエントリーをはてなブックマークに追加 15 users Instapaper Pocket Tweet Facebook Share Evernote Clip 苦情 改定 スラッシュドット・ジャパン 報奨金プログラム 本家

バグの発見者に対する報奨金プログラムを導入する企業が増えており、高額な報奨金が支払われることもあるが、米Yahoo!のXSS脆弱性1件に対する報奨金額は12.5ドルだったという(High-Tech Bridgeの記事、 本家/.)。 スイスのセキュリティー企業High-Tech Bridgeは、Yahooの報奨金プログラムの内容を確かめるため、XSS脆弱性を見つけて報告してみたそうだ。最初の1件は... 続きを読む

Yahoo!知恵袋にXSS脆弱性 ユーザーの指摘受けヤフーが修正 - ITmedia ニュース

2013/07/22 このエントリーをはてなブックマークに追加 32 users Instapaper Pocket Tweet Facebook Share Evernote Clip Yahoo 知恵袋 修正 ユーザー ITmedia ニュース

「Yahoo!知恵袋」にクロスサイトスクリプティング(XSS)の脆弱性があるというユーザーからの指摘を受け、ヤフーは7月22日までに脆弱性を修正した。 脆弱性があったのは、「あなたが最近見たQ&A」機能。複数のユーザーが知恵袋の投稿などを通じて指摘しており、脆弱性について解説するブログも話題になっていた。 ヤフーは、ブログの指摘を見た社員からの報告を受け、22日朝に脆弱性を認知し、22日昼までに対... 続きを読む

Yahoo!知恵袋にXSS? - yhgnの「自分に向けて書く」ブログ

2013/07/21 このエントリーをはてなブックマークに追加 85 users Instapaper Pocket Tweet Facebook Share Evernote Clip XSS alert script function ソート

2013-07-22 Yahoo!知恵袋にXSS? <script>alert("xss");</script> これであなたもおしまいです。 - Yahoo!知恵袋 ryosuke_i_628さん「あなたが最近見たQ&A」にXSS脆弱性があるみたいですね・・・ あー、そうみたいですね。history.jsで // タイムスタンプでソート items.sort(function(a, b) { r... 続きを読む

Node.jsで作られたチャットを実際に使う際の危険性(XSS脆弱性)OpenGL ESからJBulletまで3DAndroid入門@プロバナ

2013/06/25 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip htmlSpecialChars PHP チャット 問題視

はじめに Node.jsのリアルタイムチャットアプリはグーグル先生に聞けば何十件もヒットし、使いたくなったらこのまま自分のサイトにアップすればいいんでね?とか思います。やめてください。 問題なのはテキストボックスからHTMLタグを入れると、どうなるかです。 PHPではhtmlspecialchars()で行われているので、あまり問題視はしないと思うのですが、JavaScriptではhtmlspec... 続きを読む

PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む | 徳丸浩の日記

2013/04/04 このエントリーをはてなブックマークに追加 114 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 PHP 冒険 日記 環境下

2013年4月4日木曜日 PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む 先に、「CVE-2008-5814を巡る冒険」にて、CVE-2008-5814脆弱性があるとdisplay_errorsがOnの環境下でXSS脆弱性となる場合があることを説明しました。しかし、display_errorsがOnの環境下ではCVE-2008-5814脆弱性がなくても、XSS脆弱... 続きを読む

神奈川県警はXSS脆弱性も見抜けなかったのか? : ネット規制ニュース

2012/10/16 このエントリーをはてなブックマークに追加 22 users Instapaper Pocket Tweet Facebook Share Evernote Clip 神奈川県警 ネット規制ニュース

メカAG 「PC遠隔操作、TBSに“犯行声明メール”」 News i - TBSの動画ニュースサイト   http://news.tbs.co.jp/newseye/tbs_newseye5156862.html   | この事件はウイルスではなく、別の方法でやったと記されています。警察が改めて明大生のパソコンを解析したところ、実際にネット掲示板に何者かが仕掛けたURLをクリックしたわずか数秒後、... 続きを読む

Masato Kinugawa Security Blog: jQuery Mobile 1.2 Beta未満は読み込んでいるだけでXSS脆弱性を作ります

2012/09/06 このエントリーをはてなブックマークに追加 71 users Instapaper Pocket Tweet Facebook Share Evernote Clip jQuery Mobile beta mobile タイトル

2012/09/06 jQuery Mobile 1.2 Beta未満は読み込んでいるだけでXSS脆弱性を作ります jQuery Mobile 1.2 Betaがさきほどリリースされたようです。 タイトルの通り、それに満たないバージョンのjQuery Mobileには読み込んでいるだけでXSS脆弱性を作ってしまう問題があります。お使いの方はアップデートをお勧めします。 jQuery Mobile ... 続きを読む

jQuery MobileのXSSについての解説 - 金利0無利息キャッシング – キャッシングできます - subtech

2011/07/11 このエントリーをはてなブックマークに追加 130 users Instapaper Pocket Tweet Facebook Share Evernote Clip リリースバージョン XSS subtech 承知 beta1

この記事執筆時点でのjQuery Mobileの最新のリリースバージョンであるbeta1を含む全てのバージョンにはXSS脆弱性があり、その結果jQuery Mobileを使ってるサイトの多くにXSS脆弱性があり、未修正の状態のサイトを危険にさらすのは承知の上で書いてますけど、周知させたほうが良いと考えてブログに書いている次第です。 http://jquerymobile.com/blog/2011... 続きを読む

jQuery.socialbuttonにXSS脆弱性があるのでアップデートしましょう:phpspot開発日誌

2011/05/07 このエントリーをはてなブックマークに追加 25 users Instapaper Pocket Tweet Facebook Share Evernote Clip jQuery.socialbutton エントリ 金利 複数

jQuery.socialbutton プラグインを作ったよ | アイトランス株式会社 複数のニュースサイトで外部サイトにシェアするボタンの実装方法に問題がある件 - 金利0無利息キャッシング ? キャッシングできます - subtech jQuery.socialbuttonのXSS脆弱性が4/29に発見されました。 連休中ということでエントリ起こしが遅くなってしまいました。申し訳ありません! ... 続きを読む

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech

2011/04/28 このエントリーをはてなブックマークに追加 311 users Instapaper Pocket Tweet Facebook Share Evernote Clip subtech メールアド 利息キャッシング 金利 ブラウザ

XSS脆弱性があった場合にそのサービスで使っているパスワードを盗むことが可能かどうかについて書く。 XSSを通してパスワードを盗むことができるのか? 「現在のパスワードを表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス変更+パスワード再送で現在使っているパスワードが返ってくるケース(そういう機能があるサービスはおかしい) パスワード取得はできないが、メールアド... 続きを読む

XSS脆弱性が調査できるFirefoxアドオン『XSS Me』 | AUTHORITY SITE

2010/08/16 このエントリーをはてなブックマークに追加 292 users Instapaper Pocket Tweet Facebook Share Evernote Clip AUTHORITY SITE Firefoxアドオン 欠陥

動的なウェブサイトを作るときには、クロスサイトスクリプティング (Cross Site Scripting、XSS) の脆弱性をなくすことを意識しますが、Twitter や mix でもセキュリティの欠陥はあるので、初心者には難しいと思います。(両方とも、はまちちゃん がアレしたw) Firefox アドオンの 『XSS Me』 では簡単な XSS脆弱性発見ができます。 1. XSS Me のイン... 続きを読む

セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」 - ITmedia News

2009/12/18 このエントリーをはてなブックマークに追加 256 users Instapaper Pocket Tweet Facebook Share Evernote Clip セブ 流出 ITmedia News 検証 ソースコード

ニュース セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」 「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 2009年12月18日 21時26分 更新 セブンネットショッピング セブ... 続きを読む

 
(1 - 25 / 32件)