mixi Scrap Challenge 2012に参加してきました。出題内容に付いては書けないようですので概要と感想。このScrap Challengeは仮想的に用意されたmixiみたいなWebアプリケーションに対して脆弱性を発見するコンテストで，３人１チームで設問に対して実際に攻撃…

Chromeのcanary build(17.0.933)でuserAgentを変更できるようになりました！！Ctrl+Shift+I もしくはメニューからツール→デベロッパーツールを選択してデベロッパーツールを開きます。 右下の設定ボタンで設定画面を開きます。 Override User Agentより他の…

クリックジャッキング対策として各ブラウザがx-frame-optionsに対応してる。 各ブラウザでx-frame-optionsを使用したページをiframeで参照した様子 IEとOperaはそれ用のエラーページが表示される。そのページのリンクからframeが参照しようとしてたページに…

Apache KillerというApacheの脆弱性(CVE-2011-3192)をつくDoSツールが出回ってますね。ソースも割りと簡単に手に入るので読んでみたところ、結構単純なHTTPリクエストを送ってるだけだった。これはJSで書き直せると思ってJSで書き直してみた。特に意味はない…

ChromeのDeveloper toolで実行すると良く分かるのだが，XHRにおいてsetRequestHeaderでCookieを設定しようとすると以下のように表示される． xhr = new XMLHttpRequest(); xhr.open("GET","/"); xhr.setRequestHeader("Cookie","0"); Refused to set unsafe …

StrictモードにFireFox 4betaがいち早く対応しましたが Chrome Canary build の方もStrictモードに一部対応し始めてる様ですね．以下のように，コードの先頭，もしくは関数の先頭に"use strict"と記述することで使用できます．非対応ブラウザでも文字として…

PHPのOAuthライブラリで間抜けながらハマった点． Firefox Firefoxからライブラリのサンプルページを確認するとページが存在しないと言うエラーが返って来た．Apacheも動作しているし，そのPHPも存在していたので原因がとんと分からなかったが，Chromeでアク…