Error Messageにおける最もシンプルなXSS回避法 : 404 Blog Not Found
2006年12月02日04:30 カテゴリLightweight Languages Error Messageにおける最もシンプルなXSS回避法 404 Blog Not Found:perl+javascript - はてブと短縮URLのMashupのバグフィックス。 技術メモ帳 - dankogaiさんのアプリのXSS エラーメッセージを出力するときに HTMLエスケープがされてなかった。 見落とすところだった。こういう場合は、TBないしCommentなど、元記事から直接見える形で報告して欲しい。 そもそもtext/htmlとして解釈されているのはおかしいと思ってheaderを見たら、 % HEAD 'http://u.dan.co.jp/r.cgi/<script>alert('easy%20xss');</script>' 500 Internal Server Error Co
WindowsでUSB大容量記憶装置ドライバを無効にする
Windows XP SP2からは、新機能としてUSBメモリへの書き込みを禁止することができるようになった(詳細は関連記事参照)。しかしこの方法は、利用できるOSが限られるうえに、USBメモリへの書き込みは禁止できるが、読み取りは制限できない。 BIOSなどでUSBを無効にしたり、USBポートを物理的にふさいだりする方法も考えられるが、この方法では、マウスなどのUSBデバイスまで使えなくなってしまう。USBそのものの機能は生かしつつ、読み取りも含めてUSBメモリ(USBマスストレージクラス)だけを無効にする方法はないだろうか。 これには、ドライバ情報ファイルのアクセス権やレジストリの設定を変更して、USB大容量記憶装置ドライバがインストールされないようにし、さらに、すでにインストールされているドライバを無効にすればよい。 操作方法 USBの機能はそのままに、USBメモリの使用を完全に禁止す
@IT:Windows TIPS -- Tips:USBメモリによる情報窃取を防止する(USBメモリを読み出し専用にする)
必要となるデバイス・ドライバにもよるが、多くのUSBメモリは、PCのUSBインターフェイスに差し込むだけで、リムーバブル・ストレージ(外部ディスク)として認識され、ファイルのコピーなどが可能になる非常に手軽なデバイスだ。ちょっとしたファイル交換用として、常にカバンにUSBメモリを忍ばせているユーザーも少なくないだろう。 このUSBメモリ、簡単で便利なのだが、機密情報を扱っている企業などでは、情報窃取の道具として悪用される心配もある。 このような場合には、レジストリの設定を変更することで、USBメモリを読み出し専用デバイスに制限することができる。 なお、このUSBメモリの話題を始め、企業における情報漏えい対策については、以下のドキュメントが非常に詳しい。企業のシステム管理者の方はぜひご一読いただきたい。 情報漏えい対策ガイド(マイクロソフト ホワイトペーパー)
高木浩光@自宅の日記 - ケータイWebはそろそろ危険
■ ケータイWebはそろそろ危険 これまでの背景と最近の状況変化 「安全なWebサイト利用の鉄則」にある通り、フィッシングに騙されずにWebを安全に使う基本手順は、(パスワードやカード番号などの)重要な情報を入力する直前に今見ているページのアドレスを確認することなのだが、しばしば、「そのページにアクセスする前にジャンプ先URLを確認する」という手順を掲げる人がいる。しかし、それは次の理由で失当である。 ジャンプ先URLを確認する手段がない。ステータスバーは古来よりJavaScriptで自由に書き換えられる表示欄とされてきたのであり、ジャンプ先の確認に使えない。 ジャンプ先URLを事前に確認したとしても、それが(任意サイトへの)リダイレクタになっている場合、最終的にどこへアクセスすることになるか不明。 そもそも、アクセスする前から、アドレス確認の必要性を予見できるとは限らない。普通は、アクセ
JavaScript あれこれ
2005-08-31 カテゴリは Ajax だけど、その中の「j (JavaScript) 」の話。 便利なライブラリ prototype.js を使うにしても、やっぱり JavaScript の基礎が分かってないと辛い。 Object.extend = function(destination, source) { ... } Object.prototype.extend = function(destination, source) { ... } の違いとか。 といっても、 Web ページのお化粧としての JavaScript の解説ページは多々あるけど、言語そのものの機能について言及しているページはあまり見かけない。 ざっと調べた中で、読んでおいた方がよさそうなものをピックアップ。 オブジェクト指向プログラム言語としてのJavaScript JScript - Dynamic S
「MySQL,PostgreSQLとFirebirdの性能をユーザー会メンバーが徹底比較,判明...
「更新とJOINが多ければMySQL,シンプルなSELECT主体ならPostgreSQLが向いている。ストアド・プロシージャでシングル・コネクションならFirebirdは非常に速い」---6月23日に開催された「オープンソースカンファレンス2007.DB(OSC2007.DB)」で,各オープンソースDBのコミュニティのメンバーによる性能比較が披露され,従来の一般的なイメージとは異なる“意外な結果”が明らかにされた。 オープンソースカンファレンスは,オープンソース関連コミュニティが主催するイベントで,OSC2007.DBはデータベース関連のコミュニティが集まったイベントである。性能比較セッションを担当したのは,日本MySQLユーザ会の堤井泰志氏,日本PostgreSQLユーザ会の片岡裕生氏,Firebird日本ユーザー会の木村明治氏。「あくまでボランティアによる性能比較であって,最速,最新マ
見ただけで感染、IEの新しいぜい弱性を突くWebサイト現る
米シマンテックは2007年6月21日(米国時間)、6月13日に公表されたInternet Explorer(IE)のぜい弱性を悪用するWebサイトが初めて確認されたとして注意を呼びかけた。セキュリティ更新プログラム(修正パッチ)を適用していないパソコンでは、そのサイトにアクセスするだけで、悪質なプログラム(ウイルス)をインストールされてしまう。 今回確認されたWebサイトが悪用するのは、6月13日に公開されたセキュリティ情報「[MS07-033]Internet Explorer 用の累積的なセキュリティ更新プログラム (933566)」に含まれる「音声認識のメモリの破損の脆弱性 - CVE-2007-2222」。このぜい弱性の存在を検証するコード(Exploit;エクスプロイト)は公開されていたものの、実際の攻撃に悪用されたのを確認したのは今回が初めてだという。 修正パッチを適用していな
■ - hoshikuzu | star_dust の書斎
■新たに提起されたクロスサイトトレーシング攻撃手法 セキュリティホール memo の (2006.01.27 いろいろ) を読んでいたら、XST Strikes Back::SecuriTeam という記事が紹介されていて興味深かったです。 var x = new ActiveXObject("Microsoft.XMLHTTP"); x.open("\r\nTRACE","/",false); x.setRequestHeader("Max-Forwards","0"); x.send(); alert(x.responseText); IEでは 改行を入れた TRACE が発行してしまうのですか。XST(クロスサイト・トレーシング)について国分さんが以下に記事を書いていますね。XSSに似ているけれどBasic認証をも突破できるという話題が記憶に残りました。確か javascript で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
USBメモリ使用制限