security report 2015
2015
PartyTrack SDK
- MITM
Amazon
- 商品名エスケープ不備
Hootsuite
- MITM
Hipchat iOS
- MITM
Yahoo ブックストア
- 電子書籍ビューワのXSS
- 独自実装部分、BinB viewer共通部分
comic-walker
- 電子書籍ビューワのXSS
ブック放題
- 電子書籍ビューワのXSS
mail.ru
- Flash based XSS, SOP bypass
Flash
- SOP bypass
Safari
- Addressbar spoofing, SOP bypass
dhtmlx
- flash based xss
Qiita
Markdown Preview機能を利用したXSS / Editorの脆弱性について
https://gist.github.com/mala/d4dfe399ad1e717027f8
https://gist.github.com/mala/f18da2e974b7f78e6fbb
悪意のあるMarkdownをレンダリングすると、ユーザー権限で読み取り可能なファイルが外部に漏洩する
sandbox化されている場合にはアプリ固有のデータファイル等
sandbox化されていない場合にはSSH秘密鍵など
#善行