プライバシーポリシー

2025年1月6日月曜日

ISO-2022-JP自動判定を用いたHTMLコンテキスト破壊によるXSS

サマリ ISO-2022-JPエンコーディングの誤判定を悪用したXSSの技法として Encoding Differentials: Why Charset Matters | Sonar のTechnique 2を紹介する。これは、HTMLの属性を囲むダブルクォート等をISO...
2024年12月31日火曜日

ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)

サマリ ISO-2022-JPという文字エンコーディングの自動判定を悪用したクロスサイト・スクリプティング(XSS)攻撃について説明する。これは、文字エンコーディングを適切に指定していないウェブコンテンツに対して、文字エンコーディングをISO-2022-JPと誤認させることで...
2 件のコメント:
2024年4月1日月曜日

「はじめて学ぶ最新サイバーセキュリティ講義」の監訳を担当しました

 日経BPから4月4日発売予定の『 はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける 』の監訳を担当したので紹介させていただきます。 本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3...
2 件のコメント:
2023年4月3日月曜日

2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか

サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリッ...
2023年3月27日月曜日

[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法

サマリ ハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売) を読んだ。本書は、Web APIに対するセキュリティテストの全体像と具体的なテスト方法を記載している。ペンテスターは、APIの検出、APIエンドポイントの分析、攻撃(テスト)を行...
2022年12月20日火曜日

Ruby cgi gemのHTTPヘッダインジェクション脆弱性CVE-2021-33621の概要と発見の経緯

この記事は Ruby Advent Calendar 2022 の第20日の記事です。前日の記事は @ydah さんによる「 RuboCopのバージョンを最新に保つ技術 」でした。 2022年11月22日に、Ruby cgi gemの HTTPヘッダインジェ...
2022年9月9日金曜日

PHPカンファレンス2022にてSPAセキュリティ超入門の話をします

今年もPHPカンファレンスにてトークさせていただくことになりまして、以下のようなお話をいたします。 日時:9月25日(日) 14:40〜15:40 場所: 大田区産業プラザPiO   および YouTube 費用:無料 講演タイトル: SPAセキュリティ超入門 申し込み: con...