[XSS]の検索結果


2013年9月30日から2014年3月31日までの期間で実施されている、ミクシィならびにその子会社がリリースしたWebアプリケーションやクライアントアプリケーション、スマホアプリなどの未知の脆弱性を対象にした脆弱性報告制度で、脆弱性の報告者には修正が完了した後、報酬として相当額のギフト券が贈られる。

報酬額は脆弱性が与える影響範囲や成立条件によって異なり、「XSSによって、重要なユーザデータの取得、削除などが可能」な問題」は12万5000円、「SQLインジェクションによって、重要なユーザデータの取得、削除などが可能」な問題は50万円、「リモートから、Webサーバ上で、任意のコードが実行可能」な脆弱性には100万円となっている。

脆弱性報告制度 mixi Developer Center (ミクシィ デベロッパーセンター)

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践
ソフトバンククリエイティブ 著者:徳丸 浩


amazon.co.jpのカスタマーレビューを見る
powered by amalink

[2360] Posted by kagahiro at 2014/01/24 00:16:41
0 point | Link (2) | Trackback (0) | Comment (0)

PHPの開発環境でプログラムからメールを送信できるかチェックするために作成した、ごく簡単なメールフォームのサンプルスクリプト(プログラム)です。

mailmform.phpを実行すると入力フォームが表示され。送信ボタンを押す(クリック)すると入力した内容がメール送信されます。

<?php
//------------------------------------------------------------------------------
//    mailform.php - sample mailform php script
//------------------------------------------------------------------------------

mb_language("Japanese");
mb_internal_encoding("UTF-8");

define("MAILTO", "*******@****.***");

$proc = isset($_POST['proc']) ? $_POST['proc'] : '';
//echo $proc; // for debug
if ($proc == 'send') {
    _send();
}
else {
    _input();
}

// 初期表示
function _input() {
    $formdata = array();
    $formdata['subject'] = '';
    $formdata['name'] = '';
    $formdata['from'] = '';
    $formdata['body'] = '';
    _input_form($formdata, '');
}

// 入力フォーム表示
function _input_form($formdata, $message) {

    // XSS対策
    $formdata['subject'] = htmlspecialchars($formdata['subject'], ENT_QUOTES);
    $formdata['name'] = htmlspecialchars($formdata['name'], ENT_QUOTES);
    $formdata['from'] = htmlspecialchars($formdata['from'], ENT_QUOTES);
    $formdata['body'] = htmlspecialchars($formdata['body'], ENT_QUOTES);

echo <<<EOF
<html>

<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>サンプルメールフォーム</title>
</head>
<body>
<h2>サンプルメールフォーム</h2>
<p>$message</p>
<form action="mailform.php" method="post">
<input type="hidden" name="proc" value="send">
件名:<br />
<input type="text" name="subject" size="50" value="${formdata['subject']}" /><br />
名前:<br />
<input type="text" name="name" size="50" value="${formdata['name']}" /><br />
メールアドレス:<br />
<input type="text" name="from" size="50" value="${formdata['from']}" /><br />
本文:<br />
<textarea name="body" cols="50" rows="10">${formdata['body']}</textarea><br />
<br />
<input type="submit" value="送信" />
</form>
</body>
</html>
EOF;

    exit();
}

// メール送信
function _send() {

    // パラメータ取得
    $formdata = array();
    $formdata['subject'] = isset($_POST['subject']) ? $_POST['subject'] : '';
    $formdata['name'] = isset($_POST['name']) ? $_POST['name'] : '';
    $formdata['from'] = isset($_POST['from']) ? $_POST['from'] : '';
    $formdata['body'] = isset($_POST['body']) ? $_POST['body'] : '';

    // 入力チェック
    if ($formdata['subject'] == '') {
        _input_form($formdata, '件名を入力してください');
    }
    if ($formdata['name'] == '') {
        _input_form($formdata, '名前を入力してください');
    }
    if ($formdata['from'] == '') {
        _input_form($formdata, 'メールアドレスを入力してください');
    }
    else {
        if (!preg_match('/^[-+\\w]+(\\.[-+\\w]+)*@[-a-z0-9]+(\\.[-a-z0-9]+)*\\.[a-z]{2,6}$/i', $formdata['from'])) {
            _input_form($formdata, '正しいメールアドレスを入力してください');
        }
    }
    if ($formdata['body'] == '') {
        _input_form($formdata, '本文を入力してください');
    }

    // 送信
    $header = "From: " . mb_encode_mimeheader($formdata['name']) . ' <' . $formdata['from'. '>';
    $result = mb_send_mail(MAILTO$formdata['subject'], $formdata['body'], $header);
    if ($result{
        _input_form($formdata'メールを送信しました');
    }
    else {
        _input_form($formdata'メール送信に失敗しました');
    }
}

?>
[2216] Posted by kagahiro at 2012/06/13 13:04:06
0 point | Link (5) | Trackback (0) | Comment (0)


自分では対応したつもりのXSS脆弱性でしたが、まだまだ残っているという指摘を
受けたので再度見直して修正しました。使用する場合は最新版での使用をお願いします。

メールフォームCGI
Q&A CGI
ブックマークCGI
59Tracker
59bbs

なお、SourceForge.JPに置いてある「59Tracker」「59bbs」のパッケージはまだ最新版になっていない(明日までには更新する予定)ので、上記のページからダウンロードしてください。
[1893] Posted by kagahiro at 2010/05/25 09:49:41
0 point | Link (1) | Trackback (0) | Comment (0)

先日公開したQ&A CGI、ブックマークCGIにXSS(クロスサイトスクリプティング)の脆弱性があることが判明しました。Q&A CGI、ブックマークCGIの書庫ファイルを修正版に差し替えましたので、利用する場合は最新版をダウ...
[1889] Posted by kagahiro at 2010/05/20 19:33:50
0 point | Link (3) | Trackback (0) | Comment (0)

Webサイトの検索機能を利用してウイルスを送り込む攻撃が流行しているそうです。Webサイトの検索機能を悪用、「IFRAME SEOポイズニング」攻撃が流行大手のニュースサイトやショッピングサイトなどでは、サイト内の情...
[1308] Posted by kagahiro at 2009/04/27 04:03:26
0 point | Link (1) | Trackback (0) | Comment (0)

情報処理推進機構(IPA)が、シックス・アパートが開発・販売している高機能ブログソフトウェア「Movable Type 4.24」にクロスサイトスクリプティング(XSS)の脆弱性があることを公表した。悪用された場合、ユーザー...
[1305] Posted by kagahiro at 2009/04/24 22:46:06
0 point | Link (3) | Trackback (0) | Comment (0)

とりあえず収まってはいるようですが、Twitterがワームによる攻撃を受けたそうです。Twitterブログ: 週末のワーム土曜日午前2時ごろ、4つのアカウントが登録され、ワームが広がり始めました。午前7時30分から1...
[1288] Posted by kagahiro at 2009/04/13 22:13:28
0 point | Link (1) | Trackback (0) | Comment (0)

  1  


アクセスランキング

今日のアクセスランキング TOP 10

  1. SQLのSELECT文で先頭から上位(TOP)10件のレコードを取得する方法(SQL Server、Oracle、MySQL、PostgreSQL) (90 PV)
  2. 破産するする詐欺、ちぬちぬ(死ぬ死ぬ)詐欺とは (62 PV)
  3. [FX]高値更新・安値更新でエントリー、MT4向け無料スキャルピングEA「1Scalper」#システムトレード (7 PV)
  4. 安全性重視の完全無料ナンピンマーチンEA「Million Dollar(ミリオンダラー)」 #FX #ゴールド #ビットコイン (7 PV)
  5. Google News (グーグルニュース)日本版 (7 PV)
  6. MT4向け無料ヘッジ(両建て)ツール(EA)「STOPPER FREE」 #自動売買 #FX (5 PV)
  7. 自作のMT4向け無料EA(口座縛り無し、ブローカー縛り無し、使用期限無し)とゴゴジャン出品中の有料EAの一覧 #MT4 (4 PV)
  8. 時間指定で仲値トレードも簡単にできる無料EA「NAKANE3 Ver 2.02」 (4 PV)
  9. Google Finance(グーグルファイナンス)- リアルタイム株価情報、金融ニュース、日本株 (3 PV)
  10. 日銀マイナス金利解除、17年ぶりの利上げ ドル円(USDJPY)は大きく上昇 (3 PV)

今月のアクセスランキング TOP 10

  1. SQLのSELECT文で先頭から上位(TOP)10件のレコードを取得する方法(SQL Server、Oracle、MySQL、PostgreSQL) (2113 PV)
  2. Google Finance(グーグルファイナンス)- リアルタイム株価情報、金融ニュース、日本株 (363 PV)
  3. 安全性重視の完全無料ナンピンマーチンEA「Million Dollar(ミリオンダラー)」 #FX #ゴールド #ビットコイン (352 PV)
  4. [FX]高値更新・安値更新でエントリー、MT4向け無料スキャルピングEA「1Scalper」#システムトレード (311 PV)
  5. 選んではいけないEA #間違いだらけのEA選び (219 PV)
  6. Google News (グーグルニュース)日本版 (202 PV)
  7. YouTube(ユーチューブ)日本版 - 動画共有、ライブ配信 (175 PV)
  8. MT4向け無料ヘッジ(両建て)ツール(EA)「STOPPER FREE」 #自動売買 #FX (171 PV)
  9. 自作のMT4向け無料EA(口座縛り無し、ブローカー縛り無し、使用期限無し)とゴゴジャン出品中の有料EAの一覧 #MT4 (159 PV)
  10. SQLiteのSELECT文で上位 (TOP) n件のデータを取得する (110 PV)

アクセス統計

ディレクトリ

関連サイト