htmlspecialchars()/htmlentities()について - 2009-10-19 - T.Teradaの日記
16 users
id:t_komuraさんの、最新の PHP スナップショットでの htmlspecialchars()/htmlentities() の修正内容についてを読みました。見ていて気になったことが1つあります。 2. EUC-JP …(省略)… (2) \x80 - \x8d, \x90 - \xa0, \xff については、そのまま出力され... 続きを読む
Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由 - 岩本隆史の日記帳
54 users
セキュリティ, RubyRails 2系のXSS脆弱性を修正するパッチが先日公開されました。4日(米国時間)、Ruby on Railsの2系すべてのバージョンにXSSの脆弱性があることがRiding Rails: XSS Vulnerability in Ruby on Railsにおいて発表された。特定のUnicode文字列を... 続きを読む
すべて表示
C/C++に文字エンコーディングバリデーション機能がないって、ほんと? - kazuhoのメモ置き場
38 users
通りすがり (2009-09-16 18:09)> PHP以外の言語は「(略)」のに対しここに挙げられている言語がWebアプリで使われる全ての言語ではない。例えば、CやC++にはない。付け足せば、PHPやPerlなどのCモジュール内部で起こった不正な文字はスルーされうる。よって、「P... 続きを読む
すべて表示
みんな!オラにやる気を分けてくれ! - ikepyonのお気楽な日々〜技術ネタ風味〜
17 users
http://blog.ohgaki.net/char_encoding_must_be_validatedまあ、当たり前にはならないでしょう。どう考えても不正な文字エンコーディングを受け付ける言語やらフレームワーク、DB、ブラウザが悪いと思う。不正な文字エンコーディングをチェックするというのはバ... 続きを読む
何故かあたり前にならない文字エンコーディングバリデーション
163 users
私が5年前(2004年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当... 続きを読む
すべて表示
本当は怖い文字コードの話:第7回 Unicodeからの多対一の変換|gihyo.jp … 技術評論社
65 users
本当は怖い文字コードの話 第7回 Unicodeからの多対一の変換 2009年8月11日 はせがわようすけ セキュリティ, 文字コード, Unicode, UTF-16LE, パストラバーサル, クロスサイ トスクリプティング 1 2 文字コードが引き起こすセキュリティ上の問題として,もっと... 続きを読む
すべて表示
エンコーディング検出ライブラリ「encdet」をリリース - spiritlooseのはてなダイアリー
8 users
さて、久しぶりなわけですが。 タイトルの通りリリースしました。http://wiki.github.com/spiritloose/encdethttp://github.com/spiritloose/encdet/tree/master Mozillaの「Mozilla Universal Charset Detector」というやつのCバインディングです。MozillaのMe... 続きを読む
第12回■主要言語別:入力値検証の具体例:ITpro
55 users
これまで2回にわたってWebアプリケーションにおける入力値検証とセキュリティ対策の関係を説明してきた。入力値検証はセキュリティ上の根本的対策ではないが,保険的な対策として効果が期待でき,特に制御コードや不正な文字エンコーディングによる攻撃対策には... 続きを読む
すべて表示
第5回■注目される文字コードのセキュリティ問題:ITpro
103 users
今回から5回にわたって,アプリケーション全体に関する文字コードの問題と対策について説明する。文字コードがセキュリティとどう関わるのか,疑問に思うかもしれないが,Webアプリケーションで文字コードを指定可能な個所は非常に多く,しかも文字コードの選定... 続きを読む
すべて表示
Windows Script Programming: cmd.exeだけで、文字コード(Unicode、UTF-8、UTF-7、JIS、EUC、SJIS)を変換する!
29 users
Unicode、UTF-8、UTF-7、JIS、EUC、SJISなどの文字コードがcmd.exeだけで変換できます。 UTF-7.cmd Unicodeファイル UTF-7ファイル start /min cmd /c chcp.com 65000 ^& cmd /c type %1 ^^^>%2 ^& chcp.com 932 UTF-8.cmd Unicodeファイル UTF-8ファイル start... 続きを読む
すべて表示
図解: Perl と Unicode 文字列 - daily dayflower
234 users
perlid:tomi-ru さんが use Encode; - 今日のCPANモジュール というとてもプラクティカルな Encode 入門をお書きになったので,わたしも違う切り口で書いてみたくなりました。 いちおうの基礎(読み飛ばし可) 文字セット, キャラクタセット, 文字集合, 文字集... 続きを読む
三菱東京UFJ銀の一部障害、直接の原因は文字コードの設定誤り:ITpro
223 users
三菱東京UFJ銀行の一部キャッシュカードが、5月12日の午前7時から約5時間セブン銀行のATMで使えなくなった原因が分かった。三菱東京UFJ銀のシステムからセブン銀のシステムに送信する取引結果データの文字コードに誤りがあり、セブン銀のシステムが取引結果を正... 続きを読む
すべて表示
Official Google Blog: Moving to Unicode 5.1
19 users
Posted by Mark Davis, Senior International Software Architect Google has just begun supporting Unicode 5.1, less than one month after it was released. It's now available in search, so people speaking languages such as Malayalam can now search... 続きを読む
