security report 2014

2014

evernote

- appcenter.evernote.com のXSS

Androidアプリ(ブラウザ)幾つか

- addjavascriptinterface起因の任意コード実行

Apple/Adobe

- 307リダイレクトを使ったクロスドメインでのヘッダ付与

nikkei

- 広告クッションページでXSS

Plack::Middleware::Session::Cookie

- Perl, Storableを使ったRCE

Amon2

- 安全でない乱数 → RCE, CSRFトークン推測

cdnetworks

- webサイトのXSS

mycode

- self-XSS

metacpan.org

- RCE

cpan modules

- RCE

mailbox.app

- htmlメール経由のXSS, ローカルファイル読み取り