kyanny のブログ : nowa 最後の日
2009年03月31日23:59 カテゴリ nowa 最後の日 今日、 nowa がサービスを終了し、二年弱の短い歴史に幕を下ろした。 nowa について「中の人」が何か書くのは sasakill 曰く「愚か者」のすることだそうだが、俺は愚か者なので感想を書くことにする。なお、以下に書いてあることは単なる感想と回顧録です。特定の誰かを批判、非難する意図はありません。 nowa に関わったスタッフは、たぶん俺はあまり出来がいいほうじゃなかったと思うけど、それ以外の皆さんは各々がとても良い仕事をしたと思います。特に開発に携わった人たちはすごかった。俺はその人たちが書いたソースコードを毎日読んでいたので、そのすごさは良く覚えています。 nowa は俺がライブドアに入社して最初の秋冬にスタートした。最初は「PRAC(仮)」というコードネームで、これが何の略だったかはもう忘れた。「livedoor
Guide to using Auto Escape
Introduction Auto Escape is an optional mode of execution in the Template System developed to provide a better defense against cross-site scripting (XSS) in web applications. In this mode, the Template System assumes responsibility for applying the proper escaping modifiers for each variable in your template (and templates it may include). As such, the template developer no longer needs to manuall
第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp
みなさん、はじめまして。はせがわようすけと申します。 最近、文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり、参考となる情報がなかなか見当たりません。この連載では、文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。 文字コードとセキュリティが関連するもっとも大きな点は、やはり文字列の比較でしょう。「危険な文字列の検出」「安全な文字列であることの確認」といった文字列の比較は、セキュリティを考えるうえで避けて通れない処理だと思います。 文字列の比較においては、単純にバイト列を比較するだけでは不十分で、文字列がメモリ上でどのようなバイト列として格納されているのか(このルールを符号化方式あるいは文字エンコーディングと言います)に注意しなければならないこともあるでしょう。攻撃者は巧みに文字
![第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
SQLとXSSは最凶ツートップ? - 極楽せきゅあブログ
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?:川口洋のセキュリティ・プライベート・アイズ(13) - @IT これ良い記事だなあ。最近なんかセキュリティ業界のあおりすぎが鼻につく気がしていたんだよね。まあその片棒を思いっきり担いでいたりもしたので、今更何をと言われてしまうだろうけど。 この記事では、実際に即したリスクの分析をちゃんとしようぜ、ということを言っていると思うんだけど、そういうところ大事っすよね。 ただ、あっしの意見はちょっと違うかなあ。あっしは、結局SQLインジェクションとXSSってセットで考えるべきなんじゃないの、と思っていたりします。 そら細かく見れば、対策する方法や対策そのものも異なりますし、例えば「SQLインジェクションには対策を行って、かつXSSの対策は行っていない」という状況になる可能性はゼロではないでしょう。しかし現実的には、SQLインジェクション
XSS脆弱性の危険性 | 水無月ばけらのえび日記
公開: 2024年3月7日16時10分頃 「世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? (www.atmarkit.co.jp)」。 脆弱性の脅威が過剰に評価されている傾向はあると思いますね。脆弱性検査の結果なんかで「500エラーが出ている」とか「HTTP応答ヘッダでサーバのバージョン情報が出ている」とかいったものが問題にされたりしますが、「それ対応する必要あるの?」と思います。検査している方としても、「念のため」レベルで報告しているのだろうと思いますが、受け取り側はそうは受け取らない場合もあるようで。まあ、報告の書き方の問題なのかも知れませんけれども。 緊急度をざっくりいくつかに分けて考えるとすると、だいたいこんな感じなのでしょうか。 緊急: 今すぐサイトを閉鎖して対応しなければならないもの重要: 早急に対応しなければならないもの要対応: 急ぎではないが、対応が必要と考
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
未踏IT人材発掘・育成事業(ユース):2008年度上期採択プロジェクト概要(小菅PJ) | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
未踏IT人材発掘・育成事業(ユース):2008年度上期採択プロジェクト概要(小菅PJ) 1.担当プロジェクトマネージャー 竹内 郁雄(東京大学大学院 情報理工学系研究科 創造情報学専攻 教授) 2.採択者氏名 チーフクリエータ:小菅 祐史(慶應義塾大学大学院理工学研究科 修士課程) コクリエータ:なし 3.未踏ユースプロジェクト管理組織 株式会社ゴーガ 4.採択金額 2,700,000円 5.テーマ名 Webアプリケーション・セキュリティの自動検証フレームワーク 6.関連Webサイト なし 7.申請テーマ概要 Webアプリケーションのセキュリティに関する設定やプログラムの多くは、開発者によって手作業で記述され、さらにそれらの記述の正しさの検証も手作業で行われている。 そのため、間違いや見落としが発生しやすい。 さらに近年においては、Web2.0と呼ばれる技術の登場によって、Webアプリケー
Cross Environment Hopping
IBM Application Security Insider The IBM Application Security Insider is a blog devoted to dissecting today’s latest industry trends, observations and evolving threats in the growing web application security industry. The IBM AppScan portfolio provides web application security and compliance solutions that pinpoint vulnerabilities and helps manage the process of fixing them. Prologue Our research
文字コードのセキュリティ問題はどう対策すべきか: U+00A5を用いたXSSの可能性 - 徳丸浩の日記(2009-03-11)
_U+00A5を用いたXSSの可能性 前回の日記では、昨年のBlack Hat Japanにおける長谷川陽介氏の講演に「趣味と実益の文字コード攻撃(講演資料)」に刺激される形で、Unicodeの円記号U+00A5によるSQLインジェクションの可能性について指摘した。 はせがわ氏の元資料ではパストラバーサルの可能性を指摘しておられるので、残る脆弱性パターンとしてクロスサイト・スクリプティング(XSS)の可能性があるかどうかがずっと気になっていた。独自の調査により、XSS攻撃の起点となる「<」や「"」、「'」などについて「多対一の変換」がされる文字を探してきたが、現実的なWebアプリケーションで出現しそうな組み合わせは見つけられていない。 一方、U+00A5が処理系によっては0x5C「\」に変換されることに起因してXSSが発生する可能性はある。JavaScriptがからむ場合がそれだ。しかし、
Bug 481558 – Loading an untrusted stylesheet should not allow that stylesheet to inject script using XBL
User-Agent: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.9.0.6) Gecko/2009020911 Ubuntu/8.10 (intrepid) Firefox/3.0.6 Build Identifier: Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.9.0.6) Gecko/2009020911 Ubuntu/8.10 (intrepid) Firefox/3.0.6 Demonstrated by a fraudulent ebay listing which caused in-page details to be rewritten using a script hosted outside the ebay.co.uk domain. Link at http://tin
IEのinnerHTMLにおけるバッククォートバグ問題について - hoshikuzu | star_dust の書斎
id:hasegawayosukeさんによる、IEのinnerHTMLにおけるバッククォートバグ問題について脚光をあびていますが、私が最初にその問題について知ったのは以下の記事からです。2007年4月11日の長谷川さんの日記です。有益ですので当該日記のコメント欄も参照してください。 http://d.hatena.ne.jp/hasegawayosuke/20070411/p1 全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cross Site Scripting Libraryのようにほとんど全ての文字を実体参照に置き換えるものもあるので、あながち非現実的とも言えないのかも知れない)、エスケープ対象を「'」「"」「<」「>」「&」の5文字に限定しているのは何かこの記事に書かれていない理由があるはずだと思ったからです。 この5文字さ
perl - EncodeでXSSを防ぐ : 404 Blog Not Found
2009年03月03日19:00 カテゴリLightweight Languages perl - EncodeでXSSを防ぐ 良記事。 第7回■文字エンコーディングが生み出すぜい弱性を知る:ITpro だけど、問題点のみ具体例があって、対策にないのが片手落ちに感じられたので、その点を補足。 結論だけ言ってしまえば、Perlなら以下の原則を守るだけです。 404 Blog Not Found:perl - Encode 入門 すでにOSCONでもYAPCでも、あちこちそちこちでこの基本方針に関しては話したのですが、ここ 404 Blog Not Found でも改めて。 Perl で utf8 化けしたときにどうしたらいいか - TokuLog 改め だまってコードを書けよハゲ入り口で decode して、内部ではすべて flagged utf8 で扱い、出口で encode する。これが
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
2年前に入社したはまちや君は、全然仕事をしません。
履歴書には、うちには勿体ないような経歴が書かれていたので採用しましたが、 ふたを開けてみたら、 寝坊していつまでたっても職場に出社してこないし、 お願いした書類を一ヶ月かかっても書き上げることができないし、 プロジェクトを任せてもいい加減で彼女とけんかを始めたり、 全く困ったもんなんです。 でもね、もうフリーダム過ぎる彼を首にしてしまったら、 次に雇ってくれるところはないんじゃないかと思って、我慢しています。 そんな彼ですが、仕事へのやる気はまるっきりだめでも、 実はセキュリティホール探しを任せたらピカイチってことに最近気付きました。 根気よく使っていれば、長所が見つかるもんです。 このように、うちはエリートの集まりではありません。 Lanタソから、「この子、ニートにしておくのはもったいないですよ」と 頼まれて仕方なく採用したり、公募で採用してもはまちや君のような人しかきません。 それでも
CakePHP - Build fast, grow solid | PHPフレームワーク
New CakePHP 5.0 Chiffon. Faster. Simple. Delicious. What's new in version The migration guide has a complete list of what's new in. We recommend you give that page a read when upgrading. A few highlights from 5.0 are: PHP 8.1 required. Improved typehints across the framework. CakePHP now leverages union types to formalize the types of many parameters across the framework. Upgraded to PHPUnit 10.x
朝のビーチ - モスマン
出張中。コアラやカンガルーを見に行きたいのですが、連日夜遅くまで飲み会があってそんな時間はとれないです。仕方ないので朝早くおきて、近くのビーチを散歩。 人の少ない海辺ですが、波の音と温かな風が楽しい気分にさせてくれます。 某大学で。新入生向けの説明会の日だったらしく、クリスピークリームのドーナツを無料で配ってました。 出席している会議にとてもチャーミングなオーストラリア人の女性がいてみんなのアイドル状態。コンサル会社でペンテスト系をやってるらしく、めちゃくちゃ詳しかった。XSSやInput Validationという言葉も彼女の口から発せられるとなんか、僕らが普段扱っているものとは別物に思えてきます。
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
HTML Purifier 3系最終バージョン登場、XSSフィルタ・HTML標準化 | エンタープライズ | マイコミジャーナル
HTML Purifier ? Standards-Compliat HTML Filtering 16日(米国時間)、HTML Purifierの最新版となるHTML Purifier 3.3.0が公開された。HTML PurifierはPHPで開発されたHTMLフィルタライブラリ。HTMLをより標準規約に準拠したものへ変換する手助けをするほか、XSSとして知られている危険性のあるコードの削除などを実施できる。プラグインも提供されておりWordpressやDrupal、Joomla、Symfonyなど著名なCMSで利用できる。 HTML Purifier 3.3.0ではオーバーフローCSSプロパティのサポートが追加されたほか、特定のFirefoxバージョンで発生していたYouTubeレンダリング問題の修正、CSSDefinitionプリンタ関連の修正、iconv関連バグの修正、そのほかい
自作検査ツール - XSS編 - 2009-01-31 - T.Teradaの日記
ちょっと時間があいてしまいましたが、自作ツールのXSS検査について書きます。 XSSシグネチャ 検査文字列は基本的には2種類のみです。 □タイプA XXXXXX【元の値】'"<9 :&(;\qYYYYYY □タイプB XXXXXX【元の値】'":&(;\qYYYYYY ※ XXXXXX、YYYYYYはランダムな英数文字列ツールは、これらの文字列をパラメータとして与えて、HTMLのどのような文脈に出力されるのか(何らかの属性の値なのか、あるいはSCRIPTタグの内側かなど)、そして出力の際にどのようなエンコードやフィルタが施されるのかを調べて、脆弱性が存在する可能性を調べていきます。 例えば、パラメータ値が「'」や「"」で括られていない属性値に出力されるとします。 <INPUT type="text" name="foo" value=【ここに出る】>この場合、(正確に言うと一部例外はありま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SiteGuard サイトガード 機能評価