2020/06/16

2日連続サウナに行ってみました。気持ちいい!

 

やったこと

競技プログラミング

ABC063C  Bugged:少し時間がかかってしまいましたが解けました。動的計画法でもできるのか…

 

・安全なWebアプリケーションの作り方:4.1~4.3再読

- インジェクション系脆弱性:データの中に引用符やデリミタなど"データの終端"を示すマークを混入させて、その後の文字列の構造を変化させる。XSS、HTTPヘッダインジェクション、SQLインジェクション、OSコマンドインジェクション、メールヘッダ・インジェクション

- 正規表現での全体一致は\Aと\zで示す。^と$は行の先頭と末尾を示すものなので、$が改行にマッチすることから、^と$をデータの先頭・末尾として使うと不具合が生じる場合がある

- XSS脆弱性:Webアプリケーションの外部からの入力に応じて表示が変化する箇所について、HTML生成の実装に問題があると生じる

- XSS脆弱性がある場合

  - ブラウザ上で攻撃者の用意したスクリプトの実行によりクッキー値を盗まれる

  - サイト利用者の権限でWebアプリケーションの機能を悪用される

  - 偽の入力フォームが表示され、フィッシングにより利用者が個人情報を盗まれる

- XSS脆弱性の対策:HTMLで特殊な意味を持つ記号文字をエスケープすること

- XSS攻撃は常にJavaScriptを使うとは限らないため、script要素だけに注目した対策は攻撃者に対策される危険性がある。

- HTMLについては、文字参照によりエスケープすることがXSS対策の基本