html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確…

システムのパッケージをあげようとしたら、珍しくtcpdumpが現れたのでちょっと気になった。 changelogでも読もうかと www.tcpdump.org にアクセスしてみたが、なぜか4.9.0が見つからない。 でも手元でtcpdump –helpすると4.9.0と出ている。 気になったので少…

nvd で xml をダウンロードして CVE ID や対象ソフトウェアの取得ができた。 ソフトウェアは CPE という表記になっているので、ベンダーやプロダクト名で分類すれば自分が欲しいような検索もできるようになりそう。 もうちょっとデータ構造を考えて手を動か…

しばらくソフトウェア運用をやっているとセキュリティの問題に触れる機会が多くなり､結果的に脆弱性情報が気になるようになった｡ 体系的に学んだわけではないが､自分の理解をまとめておく｡ 脆弱性が見つかると､MITRE社によってCVEというIDが採番される｡ 採番…

[security] Go 1.7.4 and Go 1.6.4 are released(google groups) Go 1.7.4 と 1.6.4 が security fix としてリリースされたので内容を確認してみた｡ 修正は2点｡ crypto/x509 osxの証明書に関する問題 ユーザの設定でroot証明書を信頼しないように設定してい…

XSS game というサイトを紹介する｡ 攻撃側として xss の脆弱性を悪用するゲームで xss 対策啓蒙の一貫として google が公開したらしい。 悪用と言っても alert を出すところまで。 (とはいえalertができたらセッションハイジャックもできるわけで実際にでき…