フロントエンド開発のためのセキュリティ入門

2023/02/10 352 users セキュリティ入門 フロントエンド開発 devsumi A-4

Developers Summit 2023 10-A-4 「フロントエンド開発のためのセキュリティ入門」の発表資料です。 https://event.shoeisha.jp/devsumi/20230209/session/4176/ 「HTTPS化」「CORS」「XSS」「脆弱なライブラリのチェック」について説明しています。 続きを読む

【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か？ - Flatt Security Blog

2022/08/09 131 users auth セキュリティエンジニア アクセストークン 耐性 要旨

はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む

Webサービスにおけるマイページの仕様とセキュリティ観点 - Flatt Security Blog

2022/06/27 295 users セキュリティ観点 Flatt Security Blog

はじめに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS（Cross-Site Scripting）やSQLインジェクションのような典型的な脆弱性... 続きを読む

とある通販サイトに学ぶ自動ログイン機能のバッドプラクティス

2022/03/14 338 users バッドプラクティス クロスサイトスクリプティング サマリ

サマリとある通販サイトにて「 メールアドレス・パスワードを保存する」機能がありますが、サイトにクロスサイトスクリプティング(XSS)脆弱性がサイトにあると生のパスワードが漏洩する実装となっています。本稿では、この実装方式を紹介し、なぜ駄目なのか、どうすべきなのかを紹介します。 記事の最後にはセミナーのお... 続きを読む

開発者が知っておきたい「XSSの発生原理以外」の話 - Flatt Security Blog

2022/03/03 311 users クロスサイトスクリプティング セキュリティエンジニア 本稿

はじめに こんにちは。株式会社Flatt Securityのセキュリティエンジニアの冨士です。 本稿では、XSS(クロスサイトスクリプティング)が攻撃に用いられた時のリスクの大きさを紹介していきます。以降はクロスサイトスクリプティングをXSSと記載していきます。 XSSはセキュリティエンジニアならもちろん、開発を行っている... 続きを読む

React と Vue に関する XSS アンチパターン

2020/10/18 158 users React Vue ハンズオン Vue.js 無料

React と Vue.js におけるエスケープ機構と XSS について、簡単なハンズオンを交えて説明していきます。無料で読めますが、お気に召したらご購入いただけると嬉しいです。 続きを読む

Railsエンジニアのためのウェブセキュリティ入門

2019/04/26 323 users Railsエンジニア クロスサイトスクリプティング 徳丸

Railsエンジニアのためのウェブセキュリティ入門 1. Railsエンジニアのためのウェブセキュリティ入門 EGセキュアソリューションズ株式会社 代表取締役 徳丸 浩 2. アジェンダ • 3分間クッキングデモ • OSコマンドインジェクション • クロスサイトリクエストフォージェリ(CSRF) • クロスサイトスクリプティング(XSS) • SQ... 続きを読む

PHPの脆弱性 CVE-2018-17082 によるキャッシュ汚染についての注意喚起 | 徳丸浩の日記

2018/09/24 268 users 徳丸浩 PHP 注意喚起 Apache 日記

エグゼクティブサマリPHPの脆弱性CVE-2018-17082はXSSとして報告されているが、現実にはXSSとしての攻撃経路はない。一方、Apacheのmod_cacheによるキャッシュ機能を有効にしているサイトでは、キャッシュ汚染という攻撃を受ける可能性がある。 概要PHPの現在サポート中のすべてのバージョンについて、XSS脆弱性CVE-2018... 続きを読む

Vue.js で XSS を作り込まないために気を付けること - SSTエンジニアブログ

2018/08/01 111 users Vue.js SSTエンジニアブログ

はじめに はじめまして、福岡オフィスで働いている前平です。 セキュアスカイ・テクノロジーでは、すでにいくつかのカテゴリのブログを発信していますが、技術を気軽に発信したり、エンジニアが普段の業務でどのような技術に触れているのかを紹介したりすることを目的として、新しく「エンジニアブログ」が立ち上がりま... 続きを読む

Google Cloud上のサービスをDDoS攻撃から守る新機能「Cloud Armor」公開。XSSやSQLインジェクションも防御可能 － Publickey

2018/03/22 122 users YouTube Publickey DDoS攻撃 Gmail

Google Cloud上のサービスををDDoS攻撃から守る新機能「Cloud Armor」公開。XSSやSQLインジェクションも防御可能 Googleは、Google SearchやGmail、YouTubeなど自社で提供するサービスがDDos攻撃を受けてもサービスが停止しないよう、DDoS攻撃に対抗できる機能を自社のグローバルネットワークとクラウドの仕組みとして備えています。 同社は、そうした... 続きを読む

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか - 金利0無利息キャッシング – キャッシングできます - subtech

2018/01/03 101 users subtech XSS脆弱性 利息キャッシング 金利 ブラウザ

WebサイトにXSS脆弱性があった場合にブラウザのパスワード保存機能で保存したパスワードを読み取り可能かどうか 18:28 | XSS脆弱性 があった場合にそのサービスで使っている パスワード を盗むことが可能かどうかについて書く。 XSS を通して パスワード を盗むことができるのか？ 「現在の パスワード を表示する機能」があるなら出来る(そういう機能があるサービスはおかしい) メールアドレス... 続きを読む

Janetter、ネタツイートのXSSが刺さり無限に「んほぉぉ！イッぐぅぅ！！」とダイアログが出る体にさせられる - Togetterまとめ

2017/05/01 490 users alert script text 湯婆婆 Janetter

湯婆婆「契約書だよ。そこに名前を書きな。働かせてやる。」 千尋> <script type="text/javascript">for(;;){alert("んほぉぉ！イッぐぅぅ！！");}</script> 湯婆婆「フン。んほぉぉ！イッぐぅぅ！！んほぉぉ！イッぐぅぅ！！んほ 続きを読む

Yahoo広告配信用 s.yimg.jp ドメインでのXSSの解説 · GitHub

2017/02/07 163 users GitHub script repository's web

Clone via HTTPS Clone with Git or checkout with SVN using the repository's web address. 2017年。最初に報告したもの(1/17 返信あり) Y!の広告配信用ドメインでXSSがあるのを見つけました。 isSafeUrlの判定処理でホスト名部分を取得する正規表現が間違っているため、外部のscriptを読み込み可能... 続きを読む

ElectronアプリのXSSでrm -fr /を実行する - Qiita

2016/05/21 338 users Qiita チャットアプリケーション エスケープ チャット

Electronアプリでxssを発生させると任意のコードが実行できるらしいので rm -fr / を試してみます。 想定 web版とelectron版のあるチャットアプリケーションという設定です。攻撃者が用意したリンクをクリックすると、PC内のすべてのファイルを消し去るというシチュエーションを考えてみます。 用意 expressでリストとフォームからなる脆弱性のあるチャットをつくります。エスケープ... 続きを読む

Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記

2015/12/25 503 users Electron 根性 気合い うち 結論

そのうちもう少しきちんと書きますが、とりあえず時間がないので結論だけ書くと、タイトルが全てでElectronでアプリを書く場合は気合いと根性でXSSを発生させないようにしなければならない。 これまでWebアプリケーション上でXSSが存在したとしても、影響範囲はそのWebアプリケーションの中に留まるので、Webアプリケーションの提供側がそれを許容するのであればXSSの存在に目をつむることもできた。し... 続きを読む

ssig33.com - 最近見つけた意外な XSS

2015/07/24 109 users ssig33.com

ほぼ出オチに近いんですが。 これで発動する XSS を実際に見かけました。 iOS アプリと Web アプリが両方あるアプリである Web アプリがわにアカウントにひもづいているデバイスを一覧できる画面や投稿元デバイス名が表示される画面がある そこでデバイス名がエスケープされてない という事例です。一昔前は Rails や CakePHP やらがテンプレートエンジンで普通に HTML を出力すれば... 続きを読む

色んなXSS | Nootropic.me-blog

2015/04/13 687 users PoC 後生 アウトプット セキュリティ キャンプ

その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものも... 続きを読む

ブラウザ上でMarkdownを安全に展開する - 葉っぱ日記

2015/01/30 311 users Markdown mar 葉っぱ日記 HTML ブラウザ上

不特定のユーザーが入力したMarkdownをブラウザ上でJavaScriptを使ってHTMLに変換するという場面においては、JavaScriptで変換してHTMLを生成するという処理の都合上どうしてもDOM-based XSSの発生を考えないわけにはいかない。かといって、MarkdownをパースしHTMLを生成するという処理すべてをXSSが存在しないように注意しながら自分で書くのも大変だし、mar... 続きを読む

ファイアウォール内のサーバに対するShellshockを利用した攻撃 - 葉っぱ日記

2014/09/26 223 users ShellShock bash CGI サーバ シェル

会社のブログにも書いてますが、ファイアウォール内に置いてあるサーバで攻撃者が直接アクセスできないからといってbashの更新を怠っていると、条件によっては攻撃が可能となります。条件としては、 そのサーバにはシェルを経由して外部コマンドを起動するCGI等が動いている(通常のShellshockの攻撃と同条件) そのサーバにはXSSのあるWebアプリケーションが存在している 攻撃者は1.および2.の両方... 続きを読む

あなたのハッキングスキルを試すことができる『Game of Hacks』 | 100SHIKI

2014/08/05 342 users 100SHIKI あなた SQLインジェクション スコア 友達

ちょっと不安定ではあるが、なかなか楽しかったのでご紹介。 Game of Hacksでは、あなたのハッキングスキルを試すことができる。 SQLインジェクションやXSSなどなど、「このコードのどこがおかしい？」をあてるゲームである。 また友達とスコアを競うこともできるようだ。 こうしたスキルは悪用してはいけないが、きちんと身につけておきたいところですな。 Game of Hacks http://w... 続きを読む

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ - Engadget Japanese

2014/06/02 232 users セキュリティチーム クロスサイトスクリプティング うえ 現実

Googleのセキュリティチーム、XSS脆弱性を突くハッキング学習ゲームを公開。ご褒美はケーキ By Ittousai posted 2014年06月02日 08時57分 0 Google が XSS (クロスサイトスクリプティング) 脆弱性を学ぶサイト XSS game を公開しました。現実のウェブサイトやアプリでたびたび話題になる Cross-site scripting について、実際のウェ... 続きを読む

ブラウザでXSS攻撃について学ぶことができる『XSS game』 | IDEA*IDEA

2014/05/29 155 users IDEA XSS攻撃 XSS game ブラウザ 課題

ブラウザ上でXSSについて学べるサイトです。課題が出るのでそれを解いていけばOK。 ↑ 大事な知識ですよね。 ↑ こうした情報をもとに攻撃していきます。 なお、最後まで行った人にはご褒美にケーキがもらえるようです（まだ行っていないからなんのことやらですが）。 » XSS game 続きを読む

HTML5時代の「新しいセキュリティ・エチケット」（3）：知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 (1/2) - ＠IT

2014/03/17 210 users XMLHttpRequest ネットエージェント ハセ 攻撃

HTML5時代の「新しいセキュリティ・エチケット」（3）：知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 (1/2) 皆さんこんにちは。ネットエージェントのはせがわようすけです。前回は、同一オリジンポリシーを突破する攻撃の代表的事例であるXSSについて、特にDOM based XSSと呼ばれるものについて解説しました。今回はその続きとして、XMLHttpRequestに... 続きを読む

XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス | 徳丸浩の日記

2013/11/29 440 users SQLインジェクション 異論 徳丸浩 エントリ 両方

2013年11月29日金曜日 XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス メールアドレスの「ルール」に関する話題が盛り上がっていますね。 「メールアドレスのルール」系まとめがそろって間違ってるのでご注意を 「メールアドレスのルール」なんて使ってはいけない3つの理由 これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322な... 続きを読む

Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった

2013/09/11 466 users インターネット プロバイダ 兆候 理由 リクエスト

2013/09/11 たぶんXSSが理由でインターネットがとまった 昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒... 続きを読む