文字コードの脆弱性はこの3年間でどの程度対策されたか?

4. デモ1:半端な先行バイトによるXSS • 半端な先行バイトとは – Shift_JIS、EUC-JP、UTF-8などマルチバイト文字の1 バイト目だけが独立して存在する状態 – 次の文字が、マルチバイト文字の2バイト目以降の文 字として「食われる」状況になる – input要素などの引用符「”」を食わせて、イベントハ ンドラを注入する攻撃 Copyright © 2010-2014 HASH Consulting Corp. 4 5. デモ１：PHPソース <?php session_start(); header('Content-Type: text/html; charset=Shift_JIS'); $p1 = @$_GET['p1']; $p2 = @$_GET['p2']; ?> <body> <form> PHP Version:<?php echo htmlspeci

[hasegawayosuke]

MS10-090のCVE-2010-3342の記述は修正されるそうです。ちなみにCVE-2010-3348も俺だった

[mi1kman]

「文字コードの脆弱性」というよりは「文字コードが原因で起こる脆弱性」かな

[ockeghem]

2014/2/19 OWASP Night 10thの資料公開します

[moguno]

ミュータントさめたすたす wrote: 文字コードの脆弱性はこの3年間でどの程度対策されたか? http://t.co/DTAxHFtkAL

[criticabug]

気を付けたい：“文字エンコーディングとして不正”, “文字集合が自動で変わる”

[cocu_628496]

ヤバい世界だ…

[iww]

攻性ユニコード問題

[spacefrontier]

文字列の中に「制御文字」なるものが存在するのが諸悪の根源かな。7bit ASCII時代から同じ。そういう意味では命令コードとデータコードの区別のないノイマン型コンピュータも同じ。初期の機会のリソース節約術があだに

[tk666]

あとで読む

[rfvgoo]

文字コードの脆弱性はこの3年間でどの程度対策されたか?

[baca-aho-doji]

うーん。今までじゃないシステムしか作ってなかったから完全に意識してなかったけど、最近のお仕事ではこの辺も覚えておかないとなぁ。分かり易いし勉強になりました。

[raimon49]

Unicodeエスケープ大事、やってないWeb APIたまに見る。

[burnworks]

アプリ側で文字エンコーディングのバリデーションをしなくても脆弱性にならないことが本来の姿 / 文字集合の問題は残る課題

[wkubota]

なかなか意識していない所だね。