cookieのpathは基本使わない

security

cookieのpathを利用してURL上のパス毎にcookieを分けるやりかたはセキュリティ的には穴がたくさんある。例えばいずれかのパスで frameset を仕込んでそこから parent.subframe.document.cookie などとすると、別のpathのcookieを読めてしまう。らしい。高木…

2011-03-01

IE8移行ででXSSの可能性を減らすにはX-Content-Type-Options: nosniff をヘッダに付けるべし

security

X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記

2011-02-21

Firewall CircumventionとCache Poisoning

security

Flash, JavaAppletを使った時に起こりえる脆弱性。 Firewall Circumvention transparent proxy経由で、イントラのサーバへアクセスしたときに、外部のサイトにデータを届ける脆弱性 Cache Poisoning 外部サーバへのアクセス時に、悪意のあるサーバのレスポン…

2011-02-09

HTTP Response Splitting Attack

security

あとで関連記事を探して読む。具体的にどういう攻撃が出来るのか？の理解が曖昧。HTTP Response Splitting Attack - willnetの日記 - mylinuxグループ

maeshimaの日記

メモ書きです

security

cookieのpathは基本使わない

IE8移行ででXSSの可能性を減らすにはX-Content-Type-Options: nosniff をヘッダに付けるべし

Firewall CircumventionとCache Poisoning

HTTP Response Splitting Attack