199
1
(本文から引用)
[PR] 留学トップ«前の日記(2007-08-21)最新次の日記(2007-09-01)»編集過去の日記2007-122007-112007-092007-082007-072007-062007-052007-08-29 TwitterのXSS対策は変だ● Twitterのクロスサイト・スクリプティング(XSS)対策は変だ Twitterが流行している。私もヘビーユーザとは言えないものの、結構愛用している(http://twitter.com/ockeghem)。このTwitterのXSS対策が変だなと思う事象があったので報告する。
あらかじめお断りしておくが、TwitterにXSS脆弱性がある(実際にはあったようだが)という報告ではなく、対策の方法がおかしいという報告である。
まずは、どうも変だと思うようになった事例を紹介する。
事例1 モバイル版の二重エスケイプ
私は主に、通勤などの移動中に、W-Zero3で閲覧・書き込みしている。モバイル版(http://m.twitter.com/)を主に利用しているが、「<」などの記号が二重にエスケープされていることに気がついた。
twitt...
この記事をクリップしたユーザー一覧
-
amigoさん 2007/08/31 09:58
- タグ:
みんなのおすすめ商品(Amazon.co.jp)
|
|
|
|
|---|---|---|---|
ああっ女神さまっ 40 (アフタヌーンKC)16人がクリックしました
著者:藤島 康介 |
のだめカンタービレ #23 (講談社コミックスキス)22人がクリックしました
著者:二ノ宮 知子 |
DVD付き限定版 のだめカンタービレ 第23巻 (講談社コミックスキス)17人がクリックしました
著者:二ノ宮 知子 |
他にもこんなクリップがオススメ
-
第1回 悪意のJavaScriptで情報が漏えい:ITpro 本文へ
Zone-Hの事件ではXSSのぜい弱性が使われた / クッキーを盗み、Zone-Hサイト管理者のメール・アドレスあてにサイト管理用パスワードを再発行させ,これを盗んでページを改ざん -
Webアプリケーションを作る前に知るべき10の脆弱性 - @IT 本文へ
-
「取りあえず管理者アカウントで」という思考停止はもうやめよう − @IT 本文へrunas はセキュリティと利便性のトレードオフを高次でまとめるのに重宝するからね。安易に RunAs 系のサービスを止めちまえという自称 TIPS が溢れる光景というのはセキュリティを低下させているのよね。RunAs を止められるということはすべての作業を root で行うことを意味するから。
593同じサイトでクリップされている記事
-
徳丸浩の日記 - mod_imagefight考 - 画像版サニタイズ言うな 本文へ画像に攻撃用文字列を忍び込ませる手法とその対策。サニタイズ的手法では防ぎきれない。
-
徳丸浩ã®æ¥è¨ - ããããSQLã¨ã¹ã±ã¼ãã«é¢ãã¦ä¸è¨ãã£ã¨ãã - SQLã®ã¨ã¹ã±ã¼ãåè 本文へSQLインジェクションの解説
-
徳丸浩の日記 - 複文が利用できるデータベースの調査 - SQL Serverが狙われるには理由がある 本文へ> 広く利用されているデータベースでは、SQL ServerとPostgreSQLで複文が利用できることは、攻撃者の立場から考えると、ターゲットにしやすいプラットフォームということになる。PostgreSQLは日本では人気があるが、世界的には他の三種のデータベースほど普及していない。
へぇ。PostgreSQLのはやり具合ってそんなにないのか
