葉っぱ日記
はじめに 久しぶりに文字コードのXSSの話が盛り上がってるので、久しぶり(3年以上ぶり!)にブログを書きました。あけましておめでとうございます。今年と来年とそのさきも3年くらいよろしくお願いします。 blog.tokumaru.org HTTPレスポンスヘッダーやHTML metaタグでの文字エンコーディング名の指定がない場合に攻撃者がISO-2022-JP特有のバイト列をHTML内に埋め込むことでブラウザーがそのコンテンツをISO-2022-JPであると誤認する、そのときに動的にJavaScript内の文字列を生成しているとするとUS-ASCIIでいうバックスラッシュではなくJIS X0201の円記号を挿入することでエスケープが無効になる、結果としてJavaScriptの文字列外に攻撃者はコードを置くことができるというのが徳丸さんの書かれている記事になります。 対策としては、徳丸さんの記
piyolog
2025年7月16日、日本生命保険は一部の報道を受けて同社からの銀行出向者が行内情報の持ち出しを行っていたと公表しました。金融庁は今回の事案について、日本生命保険に対して報告徴求命令を発出しています。ここでは関連する情報をまとめます。 社外秘資料を撮影しLINEで管理職へ送信か 日本生命保険が出向させていた従業員の出向先は三菱UFJ銀行であると報じられている(同社は固有名を公表せず、「特定の銀行」と記載)。三菱UFJ銀行は保険商品の提案力向上を目的に、保険会社から約200人規模の人員を受け入れており、出向者は保険商品の販売や人材育成を担当していた。*1 出向者が持ち出したのは、銀行窓口での保険販売に関する業績評価基準(2024年度の行員業績評価体系)、銀行の保険販売戦略、他生命保険会社の商品改定状況などに関する内部資料であり、2024年3月から4月にかけて行われた。 出向者は銀行側の上席者
徳丸浩の日記
サマリ ISO-2022-JPエンコーディングの誤判定を悪用したXSSの技法としてEncoding Differentials: Why Charset Matters | SonarのTechnique 2を紹介する。これは、HTMLの属性を囲むダブルクォート等をISO-2022-JPの2バイト文字と誤認させることによって引用符の効果を無効化させることによるXSSである。本稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない。 ここで紹介する攻撃は、はせがわようすけ氏のブログ記事ISO-2022-JPによるXSSの話 - 葉っぱ日記で紹介されている「2. 属性値やテキストノードのエスケープのバイパス」と同じ原理であり、本記事の方が条件が複雑であるが、エスケープ対象の文字に関する制約は緩やかである。 はじめに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
