[B! XSS][article] efclのブックマーク

[HackerNotes Ep. 68]: 0-days & HTMX-SS with Mathias

Hacker TLDR;HTMX Bypasses CSP Bypass: HTMX triggers can be abused to bypass CSP’s via <img src=x hx-on:htmx:load='alert(0)' /> - full writeup below. Client-side response header injection to XSS: HTMX uses certain headers to help instruct the framework for certain behaviours. This can be abused via HX-Redirect: javascript:alert(1) for XSS if you can inject a response header. Bypassing hx-disable: h

efcl 2024/04/25

HTMXを使ったXSSのパターン

XSS
article

リンク

CVE-2023-5480: Chrome new XSS Vector

Chrome XSSThe article is informative and intended for security specialists conducting testing within the scope of a contract. The author is not responsible for any damage caused by the application of the provided information. The distribution of malicious programs, disruption of system operation, and violation of the confidentiality of correspondence are pursued by law. PrefaceThis article is dedi

efcl 2024/01/27

Payments Request APIのJIT Service Workerで、Content Typeを見ずにWorkerファイルを指定できたため、ファイルアップロード機能を持つサイトでSWのレスポンス書き換えを使ってXSSが可能だった問題

リンク

Google deprecates XSS Auditor for Chrome

The age of browser XSS filters is over Google is removing XSS Auditor for Chrome after a series of vulnerabilities have plagued the hotly-contested security feature. The anti-cross-site scripting (XSS) techno logy is to be deprecated and removed, Chromium devs announced last night. XSS Auditor has generated more than a little controversy since it was implemented in Chrome v4 in 2010, with the disco

efcl 2019/07/21

MSEdgeに続いてChromeのXSS Auditorも非推奨となることについて。

リンク

Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types | Articles | web.dev

Prevent DOM-based cross-site scripting vulnerabilities with Trusted Types Stay organized with collections Save and categorize content based on your preferences. DOM-based cross-site scripting (DOM XSS) happens when data from a user-controlled source (like a username, or a redirect URL taken from the URL fragment) reaches a sink, which is a function like eval() or a property setter like .innerHTML

efcl 2019/02/16

Chrome 73でTrusted Typesがフラグ付きで実装され、76までOrigin Trialとして試せる。 TrustTypesはXSSのsinkとなる部分をポリシーでチェックする。ポリシーに一致しない場合はエラーに落とすことで回避するAPIと仕組み

リンク

Vue.js で XSS を作り込まないために気を付けること - セキュアスカイプラス

はじめにはじめまして、福岡オフィスで働いている前平です。セキュアスカイ・テクノロジーでは、すでにいくつかのカテゴリのブログを発信していますが、技術を気軽に発信したり、エンジニアが普段の業務でどのような技術に触れているのかを紹介したりすることを目的として、新しく﹁エンジニアブログ﹂が立ち上がりました。本記事では、最近になってようやく (汗) 検証した Vue.js でのクロスサイト・スクリプティング (XSS) について紹介します。なお、本記事の内容は私見に基づくものであり、所属組織を代表するものではありません。前提本記事では Vue.js を使って XSS の脆弱性を作ってしまうようなケースを説明しますが、その他の JavaScript のライブラリ/フレームワークを使った場合でも同様のリスクがある可能性があります。検証で利用したバージョン Vue.js v2.5.16 (サ

efcl 2018/08/02

Vue.jsでXSSが発生するポイントについての解説。 `v-html`、`href`のバインディグ、サーバサイドのテンプレートとCSRでのエスケープ漏れなどについて

リンク

The ultimate PHP Security Checklist

Product { this.openCategory = category; const productMenu = document.querySelector('.product-menu'); window.DD_RUM.onReady(function() { if (productMenu.classList.contains('show')) { window.DD_RUM.addAction(`Product Category ${category} Hover`) } }) }, 160); }, clearCategory() { clearTimeout(this.timeoutID); } }" x-init=" const menu = document.querySelector('.product-menu'); var observer = new Muta

efcl 2017/12/04

Node.jsの`async_hook`モジュールを使ったUser Timing APIとAsync Hooks APIを使ったパフォーマンス計測について

リンク

はてなブックマーク

タグ

関連タグで絞り込む (10)

XSSとarticleに関するefclのブックマーク (6)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス