ユーザ入力値をCookieの値に設定して返すアプリケーションを構築する際は、 入力値に改行コードが含まれていた場合の危険性を考慮しなければならない。 http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html javax.servlet.http.Cookieに改行コー…

SQLインジェクション対策は小難しいことを考えなくても機械的な対応が出来ると思う。JavaだったらPreparedStatementを使わずに生のStatementを使用しているコードを検出 したらIDEレベルで警告を出してあげるようにする事と、パラメータバインドを使えない o…

XSSの脆弱性が修正されたもよう。 こんな脆弱性があったとは、全く気付かなかった。 http://www.hacktics.com/AdvStrutsNov05.html・・・ってか、Tomcat上では再現しないと書いてあるようだけど、 それならStrutsの脆弱性じゃなくて、アプリケーションサーバ…

デフォルトでは外部マシンから接続できないです。 セットアップ時に setup securitymode=sql sapwd=password disablenetworkprotocols=0 の指定が必要でした。

Secure属性の付いたCookieをJavaScriptから触るときの挙動。 HTTPのページで、javascript:document.cookie = 表示されない。 HTTPSのページで、javascript:document.cookie = 表示される。ちゃんと切り分けされている。 サーバへの送信時にのみ、関連する属…

以下の４つ & " HTMLEncodeを自分でかましてあげないとダメです。 (´･д･`) ﾔﾀﾞ

c:outでは以下がサニタイジング対象 & ' " escapeXml属性がtrueならばサニタイジング Default=true

ActionFormの役割は入力値のラップです。 出力時の値セットにはPOJOを使用しましょう。不要な依存関係は出来る限り削除することを念頭に設計していきたいですね。

StrutsのActionクラスを独自拡張した抽象クラスに、インスタンス変数が使用されてい るケースをみかけることがよくあった。（使用しても問題ない場合もあるけれど、みか けたケースは問題がある使い方をしていた。） Servletは通常マルチスレッド-シングルイ…

ネットで拾える情報しかみていないのだけれど、VS2005の静的コード分析機能が気に なってしょうがない。 現時点でどの程度の機能を持っているのだろう？ 開発経験はJ2EEがメインだったので、コード分析じゃセキュリティ上の問題を潰すこ とは出来ないだろう…

XSS対策は入力チェックで行うべきではありません。 HTMLに依存する問題なんだから、HTMLを生成する段階で無害化するのが筋でしょう。 本質から外れた対応を行っていた場合、様々な問題が発生します。A社はPC向けのコミュニティサイト作成にあたり、入力時に…

画面遷移を行いつつ、ファイルをダウンロードさせる時などに使用したくなる。 普通はJavaScriptで実現させるが、以下のような形でも出来る。 Opera、FireFoxなどでは使えるが、IEがサポートしていないので事実上使えない。 java" contentType="multipart/mix…

動的リストをActionFormで使用したい http://wiki.apache.org/struts/StrutsCatalogLazyList さらにvalidatorも使用したい indexedListProperty さらにJavaScriptでエラー内容をポップアップ表示したい 動的リストのJavaScriptチェックはサポートされていな…

→ > & → & " → " ’→ '

エクセルの書式情報は HSSFWorkBook-WorkBook-formats-FormatRecordインスタンスの field_1_index_codeと結びついている。 この値はHSSFCellStyle#getDataFormat()で取得できる。 ただし、ここで返される値はshort値。 FormatRecordとして登録されているレコ…

HSSFWorkbook#createFont(String)において生成したフォントがセルにセットされたエク セルファイルをWindows98,Meクライアントで参照した場合、セル内の日本語が縦長の□□ に化ける現象が発生する。 原因: HSSFWorkbook.createFont(String)で生成されるHSSFFo…

http://issues.apache.org/bugzilla/show_bug.cgi?id=17039

思い通りのエクセルが吐き出せない・・・困った時にはBiffViewer。 org.apache.poi.hssf.dev.BiffViewer fileName １．エクセルアプリからファイルを作る。 ２．POIからファイルを作る。 ３．１と２のdiffを取って違いを調べる。 突っ込んだ調査をするときは…