サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
●はてなブックマークって?
●アプリ・拡張の紹介
●ユーザー登録
●ログイン
●ログアウト
ockeghem
id:ockeghem
●
17,090
ブックマーク
●
-
お気に入り
●
-
お気に入られ
タグ
●すべて
●
.net
(17)
●
2ch
(14)
●
E4X
(3)
●
FizzBuzz
(4)
●
Mpack
(7)
●
PR(13)
●
PSN
(9)
●
SQL Server
(4)
●
TKSK
(3)
●
UTF-7
(8)
●
actionscript
(5)
●
adobe
(5)
●
ajax
(34)
●
algorithm
(9)
●
amachang
(17)
●
amazon
(14)
●
android
(35)
●
apache
(28)
●
api
(11)
●
apple
(10)
●
archive
(3)
●
arp
(3)
●
asp
(10)
●
asp.net
(5)
●
au(15)
●
authentication
(18)
●
bad
(8)
●
bakera
(16)
●
bank
(8)
●
binary
(3)
●
bind
(3)
●
blog
(16)
●
bmp
(3)
●
bogusnews
(9)
●
book
(117)
●
books
(7)
●
bot
(5)
●
browser
(18)
●
burp
(4)
●
business
(54)
●
c#
(3)
●
cakephp
(7)
●
captcha
(12)
●
centos
(20)
●
cgi
(7)
●
chair
(4)
●
charcode
(20)
●
charset
(33)
●
china
(3)
●
chrome
(3)
●
cloud
(23)
●
compiler
(4)
●
computer
(3)
●
conference
(3)
●
cookie
(36)
●
cpi
(5)
●
crossdomain
(8)
●
csirt
(6)
●
csrf
(33)
●
css
(10)
●
cssxss
(7)
●
cwe
(4)
●
cybozulabs
(3)
●
dankogai
(37)
●
database
(9)
●
db(15)
●
db2
(8)
●
dbd
(4)
●
dbi
(3)
●
debug
(7)
●
dell
(3)
●
dena
(7)
●
design
(5)
●
development
(11)
●
devsumi2009
(7)
●
dns
(47)
●
dns pinning
(3)
●
dns rebinding
(24)
●
docomo
(58)
●
dom
(4)
●
domain
(20)
●
dovecot
(4)
●
download
(5)
●
ebook
(3)
●
ecmascript
(3)
●
encode
(3)
●
encoding
(9)
●
escape
(9)
●
esxi
(11)
●
eval
(4)
●
event
(172)
●
ez番号
(4)
●
facebook
(3)
●
ffr
(4)
●
filesystem
(3)
●
finance
(3)
●
firefox
(34)
●
flash
(12)
●
food
(4)
●
framework
(5)
●
ftp
(9)
●
gadget
(3)
●
game
(10)
●
gif
(4)
●
gigazine
(5)
●
gmail
(8)
●
good
(3)
●
google
(77)
●
greasemonkey
(4)
●
guideline
(6)
●
gumblar
(11)
●
hack
(8)
●
hackersafe
(9)
●
hamachiya2
(5)
●
hardware
(3)
●
hasegawayosuke
(35)
●
hash
(12)
●
hash-c
(3)
●
hashdos
(6)
●
hatena
(15)
●
hdd
(4)
●
health
(5)
●
hidden field
(7)
●
hiddenは危険脳
(6)
●
hidden書き換え
(4)
●
hnw
(19)
●
hp(3)
●
html
(8)
●
http
(10)
●
hyuki
(4)
●
ibm
(6)
●
ids
(4)
●
ie(38)
●
ie7
(4)
●
ie8
(4)
●
iframe
(3)
●
iis
(9)
●
ikepyon
(4)
●
image
(11)
●
imagefight
(6)
●
imode
(26)
●
imperva
(3)
●
injection
(3)
●
internet
(7)
●
ipa
(62)
●
iphone
(19)
●
ips
(6)
●
iptables
(3)
●
it(9)
●
itmedia
(4)
●
itpro
(23)
●
iモード
(3)
●
j2ee
(3)
●
j2se
(3)
●
java
(63)
●
javascript
(162)
●
jdbc
(12)
●
jpcertcc
(3)
●
jquery
(5)
●
json
(33)
●
jsonp
(13)
●
jvn
(4)
●
kanatoko
(3)
●
kazuho
(19)
●
kccs
(10)
●
kddi
(7)
●
kdl
(10)
●
kmori
(3)
●
kotoriko
(3)
●
lac
(8)
●
lasdec
(9)
●
lego
(3)
●
librahack
(3)
●
library
(5)
●
life
(8)
●
lifecycle
(10)
●
lifehack
(8)
●
lifehacks
(22)
●
like
(3)
●
linux
(38)
●
livedoor
(6)
●
m&a(3)
●
mac
(17)
●
machu
(4)
●
mail
(10)
●
mala
(9)
●
malware
(12)
●
manual
(9)
●
matcha445
(10)
●
material
(6)
●
matz
(3)
●
mcafee
(11)
●
md5
(5)
●
mdb2
(5)
●
media
(4)
●
medical
(4)
●
memo
(3)
●
mental
(4)
●
microsoft
(23)
●
mime
(5)
●
mixi
(5)
●
mobile
(410)
●
mod_security
(4)
●
modsecurity
(3)
●
moriyoshi
(8)
●
mozilla
(3)
●
ms(13)
●
mssql
(6)
●
music
(6)
●
mysql
(78)
●
nessus
(3)
●
neta
(245)
●
netwatch
(12)
●
network
(13)
●
news
(19)
●
nhk
(4)
●
ntt
(4)
●
oauth
(4)
●
ockeghem
(5)
●
office
(4)
●
ogochan
(10)
●
openid
(11)
●
opensource
(4)
●
opera
(6)
●
optimization
(4)
●
oracle
(28)
●
oss
(8)
●
otsune
(6)
●
owasp
(5)
●
p2p
(3)
●
pascal
(3)
●
password
(72)
●
paypal
(4)
●
pc(9)
●
pcidss
(23)
●
pcj09
(16)
●
pdf
(4)
●
pdo
(10)
●
pear
(5)
●
performance
(4)
●
perl
(80)
●
phishing
(23)
●
photo
(5)
●
php
(411)
●
php4
(5)
●
phpmyadmin
(5)
●
phs
(5)
●
png
(6)
●
postfix
(8)
●
postgresql
(28)
●
pptp
(4)
●
privacy
(31)
●
programming
(67)
●
proxy
(6)
●
python
(4)
●
q&a(6)
●
quote
(3)
●
rails
(6)
●
rakuten
(4)
●
ratproxy
(3)
●
rebinding
(4)
●
reference
(17)
●
referer
(4)
●
regexp
(27)
●
rfp
(4)
●
rss
(3)
●
ruby
(46)
●
saas
(3)
●
safari
(3)
●
salt
(3)
●
scanner
(13)
●
science
(17)
●
search
(4)
●
secuity
(6)
●
security
(2266)
●
security scanner
(3)
●
seo
(20)
●
server
(8)
●
service
(3)
●
servlet
(3)
●
session
(20)
●
session fixation
(8)
●
shell
(4)
●
shibuya.js
(6)
●
shibuya.pm
(3)
●
shift_jis
(4)
●
si(3)
●
sns
(3)
●
softbank
(39)
●
software
(4)
●
sonodam
(3)
●
sony
(11)
●
spam
(16)
●
sql
(79)
●
sqli
(93)
●
sqlインジェクション
(99)
●
ssd
(3)
●
ssh
(4)
●
ssl
(60)
●
sst
(4)
●
stalkdaily
(3)
●
storage
(3)
●
struts
(10)
●
sun
(6)
●
support
(3)
●
symantec
(4)
●
takesako
(19)
●
tax
(7)
●
tdiary
(6)
●
technology
(3)
●
teracc
(36)
●
test
(11)
●
tips
(30)
●
todo
(3)
●
token
(3)
●
tomcat
(12)
●
tool
(45)
●
toread
(32)
●
trendmicro
(6)
●
tv(5)
●
twitter
(63)
●
ubuntu
(9)
●
uid
(3)
●
unicode
(49)
●
unix
(5)
●
usb
(5)
●
utf-8
(8)
●
utf8
(10)
●
validation
(9)
●
virus
(8)
●
vista
(3)
●
vm(9)
●
vmware
(27)
●
vpn
(4)
●
vps
(4)
●
vulnerability
(7)
●
waf
(82)
●
warm
(3)
●
was
(47)
●
wasbook
(101)
●
wasf
(20)
●
wasf2008
(13)
●
wasforum
(16)
●
wassr
(4)
●
web
(51)
●
web2.0
(11)
●
webapi
(3)
●
webappsec
(6)
●
webservice
(3)
●
webサービス
(8)
●
webデザイン
(3)
●
web制作
(5)
●
web開発
(12)
●
whitelist
(6)
●
wifi
(15)
●
wii
(11)
●
wikipedia
(6)
●
willcom
(6)
●
windows
(38)
●
winny
(13)
●
wordpress
(3)
●
worldcup
(3)
●
worm
(4)
●
xen
(5)
●
xml
(3)
●
xp(4)
●
xss
(281)
●
yahoo
(4)
●
yahoo!
(4)
●
yamagata21
(7)
●
yapc
(4)
●
yapcasia2008
(5)
●
youtube
(10)
●
yugui
(4)
●
あとで読む
(114)
●
お役立ち
(4)
●
かんたんログイン
(22)
●
これはすごい
(25)
●
これはひどい
(27)
●
はてな
(8)
●
はまちちゃん
(7)
●
ばけら
(64)
●
また上野宣か
(21)
●
まとめ
(7)
●
りゅう
(6)
●
アサヒる
(5)
●
アスペルガー症候群
(4)
●
イメージファイト
(10)
●
ウェブ健康診断
(13)
●
オレオレ証明書
(4)
●
クロスドメイン
(4)
●
ケータイ
(12)
●
ゲーム
(9)
●
サイエンス
(6)
●
サニタイズ
(5)
●
サニタイズ脳
(4)
●
サポート
(10)
●
サポートポリシー
(7)
●
システム開発
(5)
●
セキュリティ
(97)
●
セキュリティー
(4)
●
セッション管理
(4)
●
セルクマ
(308)
●
チューニング
(5)
●
ドリコム
(10)
●
ニュース
(6)
●
ネタ
(60)
●
ネットワーク
(4)
●
パスワード
(9)
●
ビジネス
(12)
●
フィッシング
(5)
●
フリーソフト
(5)
●
ブラックリスト
(4)
●
プログラミング
(5)
●
マネジメント
(4)
●
マーケティング
(5)
●
モチベーション
(5)
●
モバイル
(5)
●
リテラル
(6)
●
三輪信雄
(7)
●
不正アクセス
(22)
●
中国
(12)
●
事件
(43)
●
事故
(11)
●
人事
(7)
●
仕事
(22)
●
仕事術
(9)
●
仮想化
(6)
●
企業
(11)
●
便利
(4)
●
個人情報
(13)
●
入力値検証
(4)
●
処理系
(4)
●
別人問題
(5)
●
労働
(4)
●
勉強会
(5)
●
勝村幸博
(15)
●
医療
(4)
●
増田
(24)
●
大垣靖男
(61)
●
宇宙
(4)
●
宣伝
(10)
●
小野和俊
(8)
●
小飼弾
(5)
●
後で
(47)
●
後で読む
(36)
●
情報漏えい
(4)
●
情報漏洩
(8)
●
技術
(4)
●
採用
(5)
●
携帯
(5)
●
携帯電話
(11)
●
政治
(9)
●
教育
(12)
●
文字エンコーディング
(39)
●
文字コード
(29)
●
文字列
(6)
●
文字化け
(5)
●
書評
(5)
●
椅子
(4)
●
楽天
(4)
●
正規表現
(4)
●
池田雅一
(10)
●
法律
(4)
●
特許
(4)
●
環境
(6)
●
用語
(6)
●
画像
(8)
●
知恵袋
(54)
●
社会
(18)
●
福森大喜
(7)
●
福田康夫
(4)
●
科学
(4)
●
科学技術
(7)
●
税務
(5)
●
素材
(6)
●
経営
(12)
●
経済
(22)
●
統計
(4)
●
脆弱性
(27)
●
脆弱性診断
(8)
●
著作権
(5)
●
虚構新聞
(5)
●
裁判
(5)
●
訃報
(6)
●
詐欺
(4)
●
認証
(9)
●
読み物
(11)
●
資料
(10)
●
起業
(10)
●
軍事
(7)
●
転職
(7)
●
軽く紹介するための10本
(7)
●
酒
(4)
●
金床
(5)
●
開発
(8)
●
高木浩光
(81)
●
高橋信頼
(26)
●
security
(2266)
●
php
(411)
●
mobile
(410)
●
セルクマ
(308)
●
xss
(281)
●
neta
(245)
●
event
(172)
●
javascript
(162)
●
book
(117)
●
あとで読む
(114)
関連タグで絞り込む (5)
●
hidden field
●
hiddenは危険脳
●
security
●
セルクマ
●
価格詐称
タグの絞り込みを解除
hidden書き換えに関するockeghemのブックマーク (4)
●
4 users
●
ockeghem.hatenablog.jp
●暮らし
ヤマガタさんとこ経由、ITmedia Newsから カナダのパスポート申請情報、単純なURL書き換えで丸見えに オンタリオ州ハンツビルにあるAlgonquin AutomotiveのITスタッフ、ジェイミー・ラニング氏は11月29日にeWEEKに、米国への旅行のためにオンラインでパスポートを申請していたときに、Passport Canadaのオンライン登録プロセス中にURLを書き換えると、直前にオンライン申請した人の申請情報を見られることに気づいたと語った。 ラニング氏はブラウザのURLのうち1文字を﹁M﹂から﹁L﹂に書き換えただけだった。パスポート申請者の社会保障番号、生年月日、運転免許証番号、住所などのデータを閲覧できることに気づいたという。 http://www.itmedia.co.jp/news/articles/0712/06/news106.html またまた、パラメータ書き
ockeghem
2007/12/07
●security
●hidden field
●hidden書き換え
●
17 users
●
ockeghem.hatenablog.jp
●テクノロジー
昨日の日記で予言したように、今回はhiddenフィールドの典型的な誤用を紹介しよう。タイトルに(2)が付いているのは、価格詐称が(1)というココロである。 シナリオとしては、会員制ハンバーガーショップ*1にて、自分自身の会員情報を教えてもらうと言う想定だ。 客: こんにちは。 店員: いらっしゃいませ。○○バーガーへようこそ。お客様番号と合言葉をどうぞ。 客: お客様番号:4508、合言葉:メタ文字タン です。 店員: 徳丸浩様ですね。メニューの中からお選びください 1.ハンバーガーの購入 2.お客様情報(4508)のお知らせ 3.お客様情報(4508)の変更 4.退会(4508) 客: 1.お客様情報(4508)のおしらせ、をお願いします。 店員: かしこまりました。お客様情報は以下の通りです お客様番号:4508 氏名:徳丸浩 住所:横浜市金沢区■■■ ●-●-● 電話番号:080-▲
ockeghem
2007/11/07
●セルクマ
●hidden field
●hiddenは危険脳
●hidden書き換え
●
4 users
●
ockeghem.hatenablog.jp
●テクノロジー
一昨日の日記hiddenのあまりにも馬鹿げた使い方 - ockeghem(徳丸浩)の日記で、hiddenパラメータの書き換えによる価格偽装の話を書いたら、はてなブックマークの反応が二つに分かれた。その典型例を引用させていただく。 NOV1975 えええええっーー3年前…いや5年前の記事かと思ったよ… KoshianX 昨日買物しようとしたサイトがそういうサイトでIPAに報告出しといたっすよ(TT結局欲しかったものは買えず…… すなわち、﹁えっ、5年前ならいざ知らず今時あるの?﹂というパターンと、﹁あるある、そうそう﹂というパターンである。 昨日の日記hidden書き換えで単価の変更できるサイト - ockeghem(徳丸浩)の日記に書いたように、hidden書き換えで単価を変更できるサイトは、5年前からかなり減少はしたものの、なくなってはいない。古いサイトが残っているのではなく、新規開発
ockeghem
2007/11/06
●セルクマ
●hidden field
●hiddenは危険脳
●hidden書き換え
●価格詐称
●
6 users
●
ockeghem.hatenablog.jp
●テクノロジー
昨日の日記(hiddenのあまりにも馬鹿げた使い方 - ockeghem(徳丸浩)の日記)では、yohei-y:weblog: ステートレスとは何かを引用させていただいて、hidden書き換えの危険性を説明した。その例として、ECサイトにて単価が変更できる場合を挙げたのだが、﹁本当にそんなサイトあるのか?﹂という疑問、ないし驚きをもたれた方も多いようだ。 私が直接見た中でも、単価をhidden(ないしCookie値)で平文で保持していて書き換えのできるECサイトはいくつか経験している。しかし、実際に1円で購入できるかどうかは試したことはない。犯罪行為になる可能性が高いからだ。 現実には、そのようなしょぼいサイトは、バックオフィス作業は手作業でやっているケースが多いと思う。よくあるのは、注文内容が担当者にメールで飛んできて、担当者がEXCELかなにかで手集計して商品手配やら入金確認なら発送を
ockeghem
2007/11/05
●セルクマ
●hidden field
●hiddenは危険脳
●hidden書き換え
1
お知らせ
ランキング
月間はてなブックマーク数ランキング︵2024年6月︶
ランキング
今週のはてなブックマーク数ランキング︵2024年6月第5週︶
ランキング
今週のはてなブックマーク数ランキング︵2024年6月第4週︶
もっと読む
公式Twitter
●@HatenaBookmark
リリース、障害情報などのサービスのお知らせ
●@hatebu
最新の人気エントリーの配信
処理を実行中です
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
●総合
●一般
●世の中
●政治と経済
●暮らし
●学び
●テクノロジー
●エンタメ
●アニメとゲーム
●おもしろ
●アプリ・拡張機能
●開発ブログ
●ヘルプ
●お問い合わせ
●ガイドライン
●利用規約
●プライバシーポリシー
●利用者情報の外部送信について
●ガイドライン
●利用規約
●プライバシーポリシー
●利用者情報の外部送信について
●公式アカウント
●ホットエントリー
●はてなブログ
●はてなブログPro
●人力検索はてな
●はてなブログ タグ
●はてなニュース
●ソレドコ
Copyright © 2005-2024 Hatena. All Rights Reserved.
設定を変更しましたx