「会社で脱いだらやばいので自重する」「id:TKSK が謝罪するから何も怖くない」とか言われてやばかった。
キャンプ始まりました。初日はオリエンテーション、基礎講座と特別講座(セキュリティコース)でした。少しだけ早めに会場入りしたら、あちこちで「チューター?参加者?」という声をかけられました。どうみても半ズボン差別です。本当にありがとうございました。 自己紹介でid:hyoshiok さんが「今回の50名弱の参加者の後ろには200名の落選者がいるわけで、参加者のみなさんには是非その200名に内容を伝えるような活動をして欲しい」と言われていたのが印象的でした。あと、id:amachang が「みなさん、結構ぼくも年代近いし、友達感覚で敬語とかもいらないよ」と言ってたのがすごいなと思いました。こちらは、プログラミングコース参加者の平均年齢が17歳だと聞いて、それだけで年齢差に距離感を感じてしまっていたのですけど、できるだけ積極的にこちらからも歩み寄ろうと思ったのでした。 id:sonodam さん達
今日はセキュリティコースを離れてプログラミングコース。id:hyoshiok さん、id:wakatono、id:amachang の講義でお手伝い。amachang の講義は手を動かしての実習も多く、Linux環境になれていない参加者は結構たいへんだったかも。終わってから amachang が「JavaScriptのおもしろさを伝えきれてないかも知れない。不甲斐ない。」と洩らす。これは、手伝いをしていてもまったく同じ思いを感じた。amachang が不甲斐ないというのではなく、参加者の隣でサポートをしていても、手順をスムーズにこなさせることばかりが優先されてしまって、せっかく前で amachang が熱く JavaScript を語っているのに、その思いを伝えるということについては全然サポートできてないなという、自分に対する不甲斐なさ。伝えるって難しいなと思った夏の午後でした。
というわけで、第01回まっちゃ445勉強会の午前のライトニングトークで、「押さえておきたいIE8のセキュリティ新機能」という感じの話をします。↓こんな感じ!
適当に買ってきた本をナニゲに開いたら、参考文献がきちんと記載されてて笑った!! セキュリティだけに関するテストの本ではないので、あんまりページは割かれていない。「サニタイズ」という語は意図して(かどうかは知らないけど)避けてるものの、「XSSを防ぐためには、(略)入力された文字列の中から(略)無害化することが必要となります。」みたいな記述がチラホラあって残念。あと、UTF-7のXSSについてAtomやRSSを組み合わせた手法などにも触れているのに、認識できないcharsetを避けるといった話題がないのも残念。 上記のImageFightについても、現状のIEではBMPにしか影響がないので、PNGに変換するのが現実的な対策なのですが、それにも触れていない。全体に、網羅する範囲が広いだけに個々の話題の細部が甘いなというのが読んだ感想です。 Webアプリケーションテスト手法 作者: 水野貴明,石
IEBlog : IE8 Security Part IV: The XSS Filter について、記事を書いた David Ross さんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこうと思います)。当然ながら、これは私が私的に訳したものであり、Microsoftによる公式な翻訳/見解ではありません。 (訳注追加) 「reflected / Type-1 XSS」というのは、攻撃コードが被害者からのリクエスト自身に含まれるタイプのXSSで、サーバ側のアプリケーションでユーザからのリクエストに含まれる攻撃コードを「反射的」に返すような種類のXSSです。典型的には「"><script>...」のような語を検索したときに <input type="text" value=""><script>..."
何か話すたびに「それの元ネタどこ?」って聞かれたりするので、たまには参考文献のない日記を書いてみます。 -- 昨日、今日とOSC 2008 Kansai 行ってきました。 金曜日: 参加人数もそれほど多くなかったので、落ち着いて展示をみたり講演聴いたりできました。 知ってる顔が何人もいたので、まったりと話をしたりしつつ、夕方会社にお客さんが来るということで早めに退散。 土曜日: パンスト祭りShibuya.js が10時から開始だと思い込んで、10時に京都駅についたので走っていったら、実は10時15分から開始だったりでショボーン(´・ω・`) せっかく id:amachang に「id:TAKESAKO が臭いって言ってたよ」とか言ってやろうと思っていたのに、どうみてもこちらのほうが汗だくで見るからに臭そうです本当にありがとうございました。 それにしても、発表者全員、技術力ありすぎですごい
実はこれ登録してるんですけど使い方がイマイチよく分かりません(>_<) hasegawaでユーザー登録しています★ Twitterではこのアカウントが取れなかったので今回は取れて満足です(^_^) ドコでXSSを知ったかと言うとWassrのid:tokuhiromさんの発言と WassrのAPI仕様書です(//∇//) みんなWasser Wassrで盛り上がってるようなのでこっそり便乗しちゃいましたΣ(゚Д゚|||) Twitterも知らない間にalert(1)が動いたりするらしいのでみんな乗り換えてるのかなぁとか思ってもいます(´‐公‐`) id:takesako id:TAKESAKOさんを是非汚したいので使い方ちゃんと理解したいと思いますo(`・ω・´)○ (今日の参考文献:http://d.hatena.ne.jp/snow-bell/20080706/1215351886)
関数呼び出しの( )は演算子としての( )で、呼び出しとかには「foo( )」とはあまり書かない。Wikipedia (ja)くらいである。複数の引数を持つ場合は「Call Wikipedia(ja, en)」と書くことが多い。口語では「Wikipedia ja, en」だろうがなんでもいいが「Wikipedia(ja, en)」とか書かれると大丈夫かなと思う。MsgBoxをたむけんよろしく「alert」と読んでないか心配である。「でばっぐの確認には「alert」を呼び出しする」とか書いてくれそうでそれは期待。 そしてコメント記述の醍醐味であるRem文を使っていない。せっかくのメタキャラクタを避けた書き方を覚える機会を捨てている。WAFのエラーを消すためだけに'でサニタイズしてないか心配である。 関数の返り値は関数名と同じ変数への代入だが、何度でも読み書きできることを書いてもいいよ
諸君、私は id:TAKESAKO が好きだ 諸君、私は id:TAKESAKO が好きだ 諸君、私は id:TAKESAKO が大好きだ サイボウズラボが好きだ わっふるが好きだ ppencodeが好きだ イメージファイトが好きだ Namazuが好きだ Shibuyaで もみじで デブサミで YAPCで セキュリティキャンプで この地上に存在するありとあらゆる id:TAKESAKO が大好きだ 開始直前まで修正され続けるプレゼンが好きだ 5分前の会話がプレゼンでネタにされている時など心がおどる あちこちに貼られた伏線のようなネタが好きだ ページの最後に小岩井のペットボトルが映し出された時など胸がすくような気持ちだった web polyglotが好きだ GIF画像がHTMLでPerlでJSだった時など感動すらおぼえる invalidなHTMLなどもうたまらない staticなHTMLがブ
…すいませんすいませんすいません。めちゃくちゃ尊敬している人なので「そろそろ吉岡さんに一言だけ申し上げてもよいでしょうか」と書こうと思ったのに、気がついたらこんなタイトルになっていました。 それはともかくユメのチカラ: 勉強会のことを読んで思いだしたりしたこと。 昔、セキュリティ界では id:hideakii さん主催によるPort139勉強会という勉強会が定期的に開かれていました。当時、私はセキュリティに対する興味も知識もなかったのですが、それでもMLに流れている案内やそれに続くやりとりを見ているととても楽しそうで、「東京ってこういうイベントがあって楽しそうでいいな」と思ったのでした。しばらくして、Port139 MLの終了を受けて、 id:ripjyr が京都で勉強会やるぞゴルァと吠えていたので、「なんだよ『まっちゃだいふく』って。胡散臭いな」と思いつつも、「せっかくの関西でのイベント
最近、日経SYSTEMSが間違いだらけの記事を公開した件について XSS Mongers から痛烈に DIS られたりしているのだが、それについて解説しておこう。 発端はライブドアの伊勢さんのこの記事http://itpro.nikkeibp.co.jp/article/COLUMN/20080528/304429/である。この記事は2007年9月に発表された記事の再掲である。この記事の最大の問題点は「クロスサイトスクリプティングを理解していないこと」にあります。クロスサイトスクリプティングは、現在では*基本的に*ローカル・ディスクのデータを改竄(ざん)されたりするといった被害は直接的には発生しません。おりしも、この記事が公開される何年も前から サニタイズ言うなキャンペーンが展開され、XSS対策のあり方について周知しようという高木浩光氏の動きがあった中で、このような間違いだらけの記事がでた
情報処理推進機構:情報セキュリティ:ソフトウエア等の脆弱性関連情報に関する届出状況2008年第1四半期 件数はともかくとして気になったのは以下の点です。 これは、ウェブサイトが文字コードを指定しない場合におけるウェブブラウザの文字コードの解釈に関するもの(UTF-7)や、スクリプトに該当する文字列(Internet Explorerのexpressionプロパティ)に関するものです。クロスサイト・スクリプティング対策をしていても、対策が不十分なウェブサイトが多く見うけられます。(情報処理推進機構:情報セキュリティ:ソフトウエア等の脆弱性関連情報に関する届出状況2008年第1四半期)「スクリプトに該当する文字列(Internet Explorerのexpressionプロパティ)に関するもの」というのが意味不明ですが、expressionを使ってのXSSというからには、おそらくこういう感じの
IPAによる「安全なウェブサイトの作り方」の改定第3版が出ていました。あちこちにUTF-7によるXSSネタが出てきているんですが、いくつか気になる点がありました。 まずはP.25から。 HTTP のレスポンスヘッダのContent-Type フィールドには、「Content-Type:text/html; charset=us-ascii」のように、文字コード(charset)を指定することができますが、この指定を省略した場合… 安全なウェブサイトの作り方 改定第3版 (P.25)より。charset をきちんとつけようという例で US-ASCII を示すのはあまり頂けないなと思います。Internet Explorer においては、US-ASCIIの場合は最上位ビットを無視するという問題が2006年から放置されてますので、US-ASCIIを指定してもそれはそれでWebアプリケーション開発
なんかめちゃくちゃ乗り遅れてるし、Haskell なんて1行も書いたこともないので適当なタイトルだけど。 とりあえず、バレンタインの日に仕事が思ったより早く終わったので、id:TAKESAKO にメールしてデブサミ組の飲み会に合流。id:TKSK からの penetration をかわしつつ、id:snow-bell と話す。彼女はプログラミングはまったくの初心者だけど、とりあえず Haskell を始めたそうです。最初の言語として Haskell を選んだ理由が「今流行っている JavaScript とか Rubyとか Python に手を出しても、覚えるころには時流が終わってる。今、次のさらに次の世代の言語と言われてる Haskell を覚え始めれば、使えるようになるころには世の中が Haskell (をベースにした言語)の時代になってるから」だとか。プログラミング言語を何か勉強しよう
たぶん UTF-7 XSS Cheat Sheet を読んだ人の感想: http://twitter.com/nyaxt/statuses/596330132より 残念ながら違います。伝え方がヘタクソでごめんなさい。 UTF-7によるXSSを防ぐには、以下の対策をとれば大丈夫です。 文字エンコーディング(charset)を明示する(できればHTTPレスポンスヘッダがよい) HTTPレスポンスヘッダではなく、<meta> で指定する場合には、<meta> より前に攻撃者がコントロール可能な文字列をおかない 指定する文字エンコーディング名は、ブラウザが確実に認識できる名称とする この3点を守っている限り、UTF-7を利用したXSSは発生しません。 iframeを使用するのは、攻撃者の作成した罠ページです。ターゲットとなるページのcharsetが不明瞭な場合、罠ページ内でターゲットとなるページを
一昨日のWizard Bibleで紹介されていたブックマークレット本体を外部に置く方法を見ていて、似たようなのを読んだ気がしていたのを思い出したので書いてみます。 本日の参考文献: Windows Script Programming: セキュリティレベルを上げるとブックマークレットが使えなくなる。 IEでローカルにおいてあるHTMLファイルを file: (だったり単純に C:\path\... だったり) で開いた状態でブックマークレットを実行しようとすると、ローカルコンピュータゾーンのロックダウンにより「セキュリティ保護のため、コンピュータにアクセスできるアクティブ コンテンツは表示されないよう…」という警告が表示され、ブックマークレットはすぐには実行されません。また、「制限付きサイト」に登録してスクリプトの実行を禁止した状態では、警告の表示もないままスクリプトの実行はブロックされま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く