セキュリティ

AWS WAF & Shields

CSSとPNGファイルとがWAFのXSSに引っかかった【AWS備忘録】

先日AWS WAF配下にある、WordPressの作業をしていたら、WAFに引っかかった。CSSとPNGファイルのアップロードがXSSルールに引っかかったとのことなので、記録代わりにメモ。 1.事象の詳細 作業としては、PNGファイルのアッ...
Programming

タリーズの情報流出についてまとめてみた【セキュリティ対策】

10/4の報道でタリーズの情報が流出したという報道があった。今回はその原因を考察・解説してセキュリティに関して活かしていけたらと思う。 Togetterまとめにはある程度の情報があったのだが、もう少し整理、深堀りして、エンジニアっぽい解説を...
Programming

XSSとHTMLエスケープ処理を見直す-インサート前にエスケープ処理すべきでない理由-

こんにちは。かじです。 今回はクロスサイトスクリプティングってなんだっけというテーマで書いていきたいと思います。 徳丸さんの記事を読んでいたら ある時、フレームワークによる脆弱性対策について下記の記事を読んでいました。 そしたらこんな箇所が...