Dec
22
プログラムのメモ帳
Dec
16
“次に、CSRFを利用した攻撃例 * hamachanは罠を仕込んだWebサイトwana.netを用意し、danが閲覧するのを待つ * danがwana.netを閲覧する o JavaScriptが実行され、悪意を持ったパラメータをmaitterにポストするよう指令する。パラメータには「俺、実はPerl嫌いなんだ….」が含まれる o danのブラウザ上でmaitterに上記パラメータをポストする。Cookie値はdanのものであるため、danのセッションとして受理される。 * danの発言として「俺、実はPerl嫌いなんだ….」が表示される”
XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記
“まずは、XSSを利用した攻撃例 * hamachanは罠を仕込んだWebサイトwana.netを用意し、danが閲覧するのを待つ * danがwana.netを閲覧する。 o JavaScriptが実行され、danのブラウザはmaitterに攻撃用JavaScriptを含む内容をポストする o danのブラウザ上でmaitterが表示される。表示には攻撃用JavaScriptを含んでいる o 攻撃用JavaScriptが実行され、maitterドメインのcookie値を読み、wana.netにポストする * hamachanは、wana.netにポストされたcookie値を悪用してdanになりすます * hamachanは、maitter上でdanになりすまし、「俺、実はPerl嫌いなんだ….」と発言する”
XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記
“Is CSRF and Cross-site Scripting the same thing? Cross-Site Scripting exploits the trust that a client has for the website or application. Users generally trust that the content displayed in their browsers was intended to be displayed by the website being viewed. The website assumes that if an ‘action request’ was performed, that this is what the user wanted and happily performs it. CSRF exploits the trust that a site has for the user.”
The Cross-Site Request Forgery (CSRF/XSRF) FAQ
“Cross Site Request Forgery (also known as XSRF, CSRF, and Cross Site Reference Forgery) works by exploiting the trust that a site has for the user. Site tasks are usually linked to specific urls (Example: http://site/stocks?buy=100&stock=ebay) allowing specific actions to be performed when requested. If a user is logged into the site and an attacker tricks their browser into making a request to one of these task urls, then the task is performed and logged as the logged in user. Typically an attacker will embed malicious HTML or JavaScript code into an email or website to request a specific ‘task url’ which executes without the users knowledge, either directly or by utilizing a Cross-site Scripting Flaw. Injection via light markup languages such as BBCode is also entirely possible. These sorts of attacks are fairly difficult to detect potentially leaving a user debating with the website/company as to whether or not the stocks bought the day before was initiated by the user after the price plummeted.”
The Cross-Site Request Forgery (CSRF/XSRF) FAQ
“Hacking CSRF Tokens using CSS History Hack”
Hacking CSRF Tokens using CSS History Hack | SecureThoughts.com
“About
What is Cross Site Request Forgery?
Who discovered CSRF?
What can be done with CSRF?
Is CSRF and Cross-site Scripting the same thing?
What are common ways to perform a CSRF attack?
Is this vulnerability limited to browsers?
Can applications using only POST be vulnerable?
How do I detect if a website is vulnerable?
Can CSRF be prevented by implementing referrer checking?
Has a vulnerability in a major site been discovered?
What can I do to protect myself as a user?
What can I do to protect my own applications?
References and Additional Reading” The Cross-Site Request Forgery (CSRF/XSRF) FAQ
What is Cross Site Request Forgery?
Who discovered CSRF?
What can be done with CSRF?
Is CSRF and Cross-site Scripting the same thing?
What are common ways to perform a CSRF attack?
Is this vulnerability limited to browsers?
Can applications using only POST be vulnerable?
How do I detect if a website is vulnerable?
Can CSRF be prevented by implementing referrer checking?
Has a vulnerability in a major site been discovered?
What can I do to protect myself as a user?
What can I do to protect my own applications?
References and Additional Reading” The Cross-Site Request Forgery (CSRF/XSRF) FAQ
Nov
8
“
2008-10-29 (via gkojay) (via takaakik) (via uessai-text)
Ruby における tDiary や hiki や gonzui は多くの初心者を育てたと思う。プラグインを作るのは、大きなソフトウェアを構築するよりは簡単だ。目的がはっきりしているし、お手本にできるコードもたくさんある。ほとんどコピペでもなんとなく動く。そして、それをコミュニティに見せると評価される。「アイディアがいいのにコードがまずい」なんてときは、熟練のメンテナが指導してくれる。大きなソフトウェアの開発者の一人として、ビッグネームが並んでいるところの末席に名前をのせてもらえる。敷居が低くて、気楽に参加できる。先人のコミュニティ運営テクニックも学べる。コミッターがたくさんいるプロジェクトでの、コミッターのまとめ方は、やっぱり大きいコミュニティを運営している人のやり方が参考になる。
実際、tDiary の Plugin から ruby に入った人も多いというし、実際自分は gonzui の plugin ではじめて本格的にオープンソースコミュニティに参加した。
perl のコミュニティに参加したのも、Sledge の Plugin を書いていたのが最初だし。その後で、じょじょに大きいものを自分で作れるようになっていった。自分自身でもプラグイン機構を備えたオープンソースソフトウェアをいくつかつくっている(mobirc, Archer, Assurer, HTTP::MobileAttribute など)。
# Perl においてプラグイン機構のあるソフトウェアを簡単に作れる Class::Component を開発した yappo++
だから私はプラグイン機構があるソフトウェアは、初心者を育てると私は思うのです。
” TokuLog 改めB日記 - プラグイン機構のあるソフトウェアは初心者を育てる (via kakutani) (via otsune) tDiaryのプラグインを作ろうと何度かRuby入門書に手を出したものの撃沈した私。とほほほほ (via yuco)2008-10-29 (via gkojay) (via takaakik) (via uessai-text)
Nov
1
“とはいえ、プログラムには命令と条件分岐しかない、ということは一生覚えておいてください。プログラミング言語では、自然言語より遥かに覚えなければならないことは少なく、なぜ少ないかといえばプログラムは命令と条件分岐だけで書けてしまうからなのですから。”
404 Blog Not Found:アマグラマーのすすめ - プログラムの言の葉
← Older posts
Page 1 of 23
