■掲示板に戻る■ 全部 1- 101- 201- 301- 最新50    

■TYPEプログラミング部

1 : :2021/08/16(月) 04:11:37.51 ID:nd334xje
42 TokyoのPiscine受ける😢
だる😢

296 :/n/n:2022/05/28(土) 01:04:27.72 ID:kdVp5hmu
この一個前がソースコード何も読まんで、ページ読み込みのずいぶん早いイベントでJavaScriptでパスワード要求されて無理ぽっていう問題で
じゃあJavaScriptきればいいじゃんってことでページ読み込んだらパスワードが書いてあったみたいな、なんかとんち的な問題だったからこれもそういう感じだったりして

297 :/n/n:2022/05/28(土) 01:04:30.79 ID:kdVp5hmu
この一個前がソースコード何も読まんで、ページ読み込みのずいぶん早いイベントでJavaScriptでパスワード要求されて無理ぽっていう問題で
じゃあJavaScriptきればいいじゃんってことでページ読み込んだらパスワードが書いてあったみたいな、なんかとんち的な問題だったからこれもそういう感じだったりして

298 :/n/n:2022/05/28(土) 01:04:35.04 ID:kdVp5hmu
この一個前がソースコード何も読まんで、ページ読み込みのずいぶん早いイベントでJavaScriptでパスワード要求されて無理ぽっていう問題で
じゃあJavaScriptきればいいじゃんってことでページ読み込んだらパスワードが書いてあったみたいな、なんかとんち的な問題だったからこれもそういう感じだったりして

299 :名無しは激怒した:2022/05/28(土) 01:04:53.81 ID:kdVp5hmu


300 :名無し様:2022/05/28(土) 01:16:08.31 ID:kdVp5hmu
>>292
これCSRF攻撃対策になるのな
被害者のセッションがログイン済みじゃないとリクエスト強要は成り立たないもんな
確認画面挟んだりするのは露骨に設計書と違うからあんま好かんしめんどくさいしな

301 :匿名希望名無しさん:2022/05/28(土) 14:35:21.92 ID:0RrNu1xx
POSTリクエストでもURLにパラメータを含められる
JavaServletは一緒くたにパラメータとして読み込む
重複した場合は配列として読み込めるけども、シンプルにgetParameterとしたらURLに記載した方が優先されるのか
ほんならPOST送信するフォームのリンクにパラメータ載せて対象に踏ませたら、リンク先で送信する内容を限定できるな
対策はできるけどネットの人気投票とかで使えそう

302 :焼き鳥いかが?名無しさん:2022/05/28(土) 14:36:02.74 ID:0RrNu1xx
推しに投票したつもりが知らんやつに票が入ってたみたいな

303 :名無しより悪意をこめて:2022/05/28(土) 14:38:39.69 ID:0RrNu1xx
俺はGETリクエストの時に不要なパラメータ乗ってたらリダイレクトさせるようにしたから
上記のやつは効かないけど
POSTの方でもそうするか迷うなあ

304 :名無し特急:2022/05/28(土) 14:52:29.10 ID:0RrNu1xx
こんなに学べることあるのにホイホイ設計書に書いてあることだけやって単体テスト進めるやつの気がしれん
まだ1ヶ月あるし次の課題提示されてないだら
みんなでレビューし合うらしいからインジェクション仕掛けたろ

305 :コードネーム:NANASI:2022/05/28(土) 14:54:51.30 ID:0RrNu1xx
カスタムする許可はもらってるから
俺も別に勝手にやってるわけではない

306 :うんちくん:2022/05/28(土) 22:53:32.17 ID:kdVp5hmu
クロスサイトスクリプティング攻撃対策なんだけど、
Ajax(XMLHttpRequest )に非同期でjsonを返す用のコントローラー処理さ
エスケープ処理しなくても、レスポンスのContent-typeをapplication/jsonにすれば
スクリプトインジェクションの心配はしなくていいですよね?
同時にヘッダインジェクションされたらそりゃその限りじゃないかと思うんですけど、エスケープもした方が良いんでしょか

307 :うんちくん:2022/05/28(土) 22:56:21.98 ID:kdVp5hmu
なんか参考書にセキュリティの勉強会なるものが各地で開かれてて、新人向けのものもあり具体的な名前まで載ってた
都合がつけば行こうかな

308 :うんちくん:2022/05/28(土) 23:10:06.34 ID:kdVp5hmu
あれ?何言ってんだ俺
した方がいいな
お酒飲み過ぎ

309 :名無しの悪巧み:2022/05/29(日) 15:19:16.67 ID:SOT2bORC
月間2000万ユーザー居るWebサービスのエンジにあだけど
質もんありゅ?w

310 :以下、名無しに変わりましてTYPEがお送りします:2022/05/29(日) 15:51:25.94 ID:XMer6Gu0
初歩的な質問しかなくて恐れ多い
趣味何年とかの人で十分なんすけど

DBからの情報をjsonに詰めてクライアントに送るコントローラの処理で、
そん時にjsonの特殊文字はエスケープして送ってるけど
HTMLのタグとかは現状特に気にしてなくて、というのもContents-Typeをapplication/jsonで返してるから別にいいやって感じなんだけど
こんなもんでいいのかなってところで今迷っている

昨日試しにリクエストヘッダにaccept: text/htmlを設定してGETしてみたけどちゃんとapplication/jsonで帰ってきたから、じゃあやっぱりレスポンスヘッダを書き換えられない限りは平気なのかなって

311 :名無し@恐縮です:2022/05/29(日) 15:52:48.92 ID:XMer6Gu0
XSSを恐れているんだ

312 :名無し!お許しください!:2022/05/29(日) 15:54:20.83 ID:SOT2bORC
HTMLのタグもDBにいれてんの?

313 :名無し@恐縮です:2022/05/29(日) 15:55:45.07 ID:XMer6Gu0
クライアントの入力したやつをDBに入れてて
そん時は特にチェックしてない。文字数制限と型くらいしか縛りがない
入力時にエスケープするか、出力時にエスケープするかなら後者の方が安全かと思って

314 :名無しさん(笑):2022/05/29(日) 16:06:33.87 ID:XMer6Gu0
あ、DBにhtmlタグ入れるのは意図した使い方じゃない
DBからタグを取得するような処理は無い
ただクライアントが任意の文字入れれるから悪い人が入れるかもってだけ

315 :名無しの話し:2022/05/29(日) 16:54:17.57 ID:XMer6Gu0
<と>も追加でエスケープしたらいいか

316 :以下、名無しに変わりましてTYPEがお送りします:2022/05/30(月) 05:03:25.12 ID:XEQ3lBn0
APIはやしてDBから情報返してクライアントで表示するだけなら文字列にキャストして返すだけでええんちゃうん

317 :タイピングには自信があります:2022/05/30(月) 21:22:16.18 ID:zGsu4HSB
サーバー側ではJsonの特殊文字をエスケープしただけで
HTMLの特殊文字のエスケープはそれを受け取ったjQueryが担当してるんだけどこれでいいんやろか
やっぱりイマイチ安全性に欠ける気がする

318 :Anonymous:2022/05/31(火) 12:19:34.17 ID:UO7nuNc8
C#勉強する

319 :名無し!お許しください!:2022/05/31(火) 14:29:14.15 ID:viikHj5M
シープラプラプラプラってなにに使えるの

320 :名前を要求するニダ:2022/05/31(火) 21:05:43.53 ID:UO7nuNc8
さあ

321 :番組の途中ですがアフィサイt(ry:2022/06/01(水) 18:42:46.19 ID:eJTD6BcW
やめろよそんなん書いたらプログラムスレをチラ裏に使ってる俺のせいみたいになるだろって思いながらTYPEみてる

322 :匿名希望名無しさん:2022/06/01(水) 19:38:42.45 ID:kCgzfp19
自意識過剰

323 :名無し特急:2022/06/02(木) 18:52:35.06 ID:NZ1wJBUm
C#プログラムのテストやるから
C#においてよくある不具合や脆弱性について学ぶ必要があると思う
初体験だからよう知らんけど
例えばJavaScriptだけでエレメント書き換えてたらインジェクション大丈夫か?ってなるけどjQuery使ってたらまあ大丈夫やろうけど一応エビデンスだけ取っておくかってテンションになるもんな?なると思う

324 :だから名無しだっちゅーねん:2022/06/02(木) 18:58:31.07 ID:NZ1wJBUm
何はともあれ触っときたいけどなんも作りたいもんがない
また迷路生成プログラム作るか
あれはいい教材だった

325 :Anonymous:2022/06/02(木) 19:00:09.76 ID:NZ1wJBUm
そういえばガベージコレクタのないC#なんかはリソースの解放の工程が明示的にいるってJava勉強中に見たぞ

326 :焼き鳥いかが?名無しさん:2022/06/03(金) 13:15:42.10 ID:SUjaN/MP
なんか面倒くさいなそれ

327 :名無しの保護者です:2022/06/03(金) 19:17:04.36 ID:XaF+fFsR
研修中退していきなり結合テスト仕様書を作れって言われたが買い被りすぎでは?できる気がしないんだけども文句は墓で聞くよ

328 :名無し探してます:2022/06/03(金) 19:22:38.68 ID:XaF+fFsR
具体的な指示のもと「今のをドキュメントにおこしてくれ、テストデータは適当に考えといて」とかって話ならともかくともかくなんすけお!
やば過ぎるっピ!

329 :名無しはホモ:2022/06/03(金) 19:23:33.70 ID:XaF+fFsR
まあいないよりマシって程度の仕事できるように頑張る

330 :うんちくん:2022/06/04(土) 14:35:26.91 ID:d2i/5R4J
C#のnamespaceとjavaのパッケージの違いって
パッケージはよくあるディレクトリ構造?と互換性を持たせていて、namespaceはその必要がないもう少し自由な存在なのかな
どっちも一長一短だけど、例えばnamespaceはその性質から一つのファイルに異なるパッケージを宣言することができる的な

331 :名無し探してます:2022/06/04(土) 18:30:46.85 ID:+SDmEzMX
ソフトウェアテストの教科書ってやつと
パーフェクトC#って本買ってきた
読むべ

332 :名無しは激怒した:2022/06/04(土) 23:41:39.79 ID:JVKJADTe
色々工程があって、それは知ってたけど、具体的にどんな工程が前や後に控えてるのかを冒頭で図示してくれてて
つまりそこでやってることは俺はやらなくていいわけだからってのがすぐ解って凄く良い
いけそうな気がしてきた

333 :タイピングには自信があります:2022/06/04(土) 23:54:01.40 ID:JVKJADTe
例えば世間一般には俺の状態遷移テストとかの後に評価テストとやらが控えてて、そこにセキュリティテスト(ブラックボックステスト)が含まれてるから俺は脆弱性に対してはさほど気にしなくて良いわけだ
実際あるのかどうかってのは確認しとかなきゃいけないが

334 :名無しの話し:2022/06/05(日) 00:01:33.14 ID:TxpBdmVF
良い本買った
パーフェクトC#の方は一応買ったけど、ここに書いてあることをやればいいなら今回出番なさそうだ
同魂の士がいれば「ソフトウェアテストの教科書」をゴリゴリに勧める

335 :名無しの話し:2022/06/05(日) 18:51:59.67 ID:TxpBdmVF
3因子間以上の組み合わせテストで致命的な欠陥を見つけた経験のある人どのくらいいる?
結構ある?

336 :名無しの悪巧み:2022/06/05(日) 19:01:05.45 ID:TxpBdmVF
テストって漠然と全網羅のイメージあったけど
10個のパターンを持つ因子10個の組み合わせを施行するだけで10万通りになるっていうのは確かに現実的じゃない

337 :名無しさん@社長:2022/06/05(日) 19:17:37.54 ID:TxpBdmVF
ちゃう5個

338 :名無しの保護者です:2022/06/05(日) 23:58:17.83 ID:TxpBdmVF
比較的上流工程で完結できる脆弱性対策と
下流工程で常に気を配らなければいけない脆弱性対策で二分できると感じた
後者の存在はテスト業務においても大きな存在感がある

339 :名無しさん@ひまだお!:2022/06/06(月) 19:50:25.09 ID:u02YJNak
参考までに今年2月にベテランが作った仕様書見せてもらったけどテストケースがザックバランに決めててワロタ
設計書の丸写しでテスト実施者に丸投げやこれならいけそう
まあ順当に行くと実施者も僕なんすけど

340 :勇者名無し:2022/06/13(月) 21:47:51.22 ID:DvqzuhMr
ホワイトリストとキルスイッチ
自動再接続機能のあるVPNルーターが欲しいけど見当たらない
予定しているプロバイダーはNordVPN
ないなら作るか?って真剣に検討している
二重VPNみたいにして一層目がソレでローカルネットに配置、再接続やキルスイッチ機能持たせればいいはず

341 :名無しさん@(笑):2022/06/13(月) 21:49:38.74 ID:DvqzuhMr
そしたら普通のOpneVPN対応ルーター買えば間違い無いよな
あ、ホワイトリスト機能もいる
幸いNordVPNには使用可能なサーバーを取得するAPIが用意されている

342 :名無しくんオッスオッス!:2022/06/13(月) 21:52:42.31 ID:DvqzuhMr
LINUXベースのカスタムファームウェアをインストールしたルーターでも別の切り口できそうか
つーかそっちのほうが理にかなってるかな
有線VPNルーターに入れれるか調べてみよう

343 :名無しさん@怖くて昼も眠れません:2022/06/13(月) 21:54:07.95 ID:DvqzuhMr
無線ルーターでそれやるとせっかくメッシュwifiとかせっかくメーカーが頑張った機能に影響出そう

344 :邪智暴虐の魔王名無し:2022/06/16(木) 21:30:23.07 ID:av7TPkCA
SI環境の国マスタに邪馬台国入れてたんだけど朝見たら消されてた
別に超絶おもしろいと思って入れたわけじゃないけど消されるとなんか滑ったみたいになって恥ずかしかった

345 :名無しのごとく:2022/08/11(木) 14:36:22.38 ID:SmoFuW7k
“¥

68KB
新着レスの表示

名前: E-mail(省略可)
READ.CGI - 0ch+ BBS 0.7.2 20130511
ぜろちゃんねるプラス