様々なブラウザで、ID・パスワードを含むURLでBASIC認証できるか確認してみた

調査

BASIC認証が必要となるWebサイトにアクセスする場合、URLにIDとパスワードを埋め込んでBASIC認証の入力ダイアログを表示させずに認証する方法があります（RFC 3986 3.2.1）。この認証方法を調べていたところ、Internet Explorer では MS04-004 以降無効にな…

2010-07-18

XMLHttpRequestオブジェクトを使ったTRACEメソッド送信のブラウザ対応状況を確認してみる

調査

HTTPのTRACEメソッドを悪用する古い攻撃手法に「Cross Site Tracing(XST)」というものがあります。この攻撃手法を悪用すると、第三者が Cross Site Scripting（XSS）の脆弱性が存在するWeb サイトとブラウザの間でやり取りされる HTTP リクエスト・ヘッダを…

2009-11-20

2009年1月から10月までのウェブサイトにおける改ざん事件まとめ

調査

Gumblar、Gumblar.x により改ざんされたウェブサイト自体は耳にするが、改ざんまでの手法・原因等はあまり話にあがってこない気がする。実際にどうなのかなーと思い、2009年1月から10月までに起こったウェブサイト改ざん事件をインターネットの公開情報から…

2009-08-02

短縮URL提供サービスまとめ

調査

最近Twitterを使い始めたら、短縮URLにお目にかかる機会が多くなった。信頼できるユーザの短縮URLであれば特に気にしないのだが、信頼してもよいか判断が難しいユーザの短縮URLはアクセスするかどうか、躊躇してしまう。フィッシングサイトや攻撃コードが仕…