AVTOKYO 2014で「CSPが切り開くWebセキュリティの未来」という題で話してきた - 葉っぱ日記
AVTOKYO2014で、にしむねあさんといっしょに「はせむねあ」というユニット名でContent-Security-Policyをテーマに話をしてきました。 Future of Web Security Opened up by CSP from Muneaki Nishimura 内容はスライドのとおりで、攻撃者はFiddlerなどを使って任意のCSP違反レポートJSONを送信可能であること、Firefoxの場合にはCSP違反レポートのJSON内に「<」「>」などが含まれるので、違反レポートを表示する管理画面でのエスケープ漏れがあると違反レポートを通じて管理画面内でXSSする、などの話を行い、実際に管理画面でのXSSのデモを行いました。 デモはあんまり細かいことは考えてなかったんですが、アドリブ苦手なにしむねあさんがいい味を出してて、横で見ていても楽しかったです。ちなみに直前の打ち合わ
OWASP AppSec APAC 2014で発表しました - 葉っぱ日記
OWASP AppSec APAC 2014 で、Masato Kinugawaさん、malaさんと一緒に、「XSS Allstars from Japan」という枠で登壇しました。3人それぞれ好きなテーマについて発表をしたのですが、僕は、Masato Kinugawaさんが活用していた、Tabular Data Controlについて発表しました。 スライドは以下で公開されています。 Bypass SOP, Theft your data // Speaker Deck Masato Kinugawaさんのスライドはこちら: The Complete Investigation of Encoding and Security // Speaker Deck malaさんのスライドはこちら: XSS with HTML parsing confusion // Speaker Deck
セキュリティ・キャンプ2013 お疲れ様でした - 葉っぱ日記
今さらという感じもありますが、セキュリティ・キャンプ2013にWebセキュリティ・クラスの講師として今年も参加しました。 Webセキュリティ・クラス以外の実施内容については様々な記事をご参照いただくとして、ここではWebセキュリティ・クラスでの講義内容をご紹介したいと思います。 今年のWebセキュリティ・クラスでは、DOM based XSSを中心に、クライアントサイドで発生する脆弱性を中心に取り上げて講義および実習を行いました(参考:▶ セキュリティ・キャンプ2013:Webセキュリティクラスのご紹介)。ビデオ内でも話していますが、取り上げる内容をクライアントサイドに限定したのは、SQLインジェクションのような古くから存在するサーバ上の問題点については根本的な解決方法も見出されているものの、DOM based XSSのようなクライアントサイドで発生する問題についてはJavaScriptコ
X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記
2011-01-06: IE8ということを追記 & ちょっと間違いを修正。あけましておめでとうございます。 年明け早々ですが、Internet Explorerの話題です。IEはご存じの通り、Content-Type だけでなくコンテンツの内容なども sniff することでファイルタイプを決定しているため、画像ファイルやテキストファイルをHTMLと判定してしまい、クロスサイトスクリプティングが発生することが昔からたびたび報告されていました*1。現在は幾分マシになったとはいえ、IEのファイルタイプの判定アルゴリズムは非常に難解であり、現在でも状況によってはWebサイト運営者のまったく意図していないかたちでのXSSが発生する可能性があったりします。そういうわけで、IEがコンテンツを sniff してHTML以外のものをHTML扱いしてしまうことを防ぐために、動的にコンテンツを生成している場合に
Using setInterval / setTimeout on WSH - 葉っぱ日記
さらに昨日の続き。いろいろ試してみると、昨日みたいに複雑なことをしなくても、window.setInterval などを呼び出すラッパ関数を作ってやれば、普通に setInterval や setTimeout も呼び出せました。というわけで、以下のような偽 window、偽 document を準備するコードを用意してやれば、jQuery.ajax を非同期で動かしたり、setTimeout で遅延実行させたり、自由自在ですね。 // ユーティリティ関数 var _util = { cat : function(f){return (new ActiveXObject("Scripting.FileSystemObject")).OpenTextFile(f,1,false).ReadAll();} }; // 偽 window、偽document、グローバルオブジェクトの準備 (fun
TAKESAKOさんのやつ - 葉っぱ日記
TAKESAKO @ Yet another Cybozu Labs: 記号でPolyglotプログラミング♪(RejectKaigi2009) のコードのJavaScriptの解読。 もとのコード "#{",$/*"}";%#=();$^_^='?``;">)~${`&&@`{;:+`[[',$^_^='/?")-=^{(=!".=.!,!)&&>',$^_^ ='`-+|{!?``*.((-+({:^(_^',$^_=''^'+@$@&'^'^.@%@'.'$^_^"";'.$^_^"",'!~'!~('('.('`_@ ^!@'^'_$%(@,'.'$^_})'))#;_=[*'`'..%.~.]*%%%;$_=%+%++(??%?===???_[(_=~/\{/).-@+(_=~ /~/)]:%%%<<(?!*(?+-?()));_=([*%/!/..%!/!]+[*%]:]..%
アンチウイルスアプライアンス…? - 葉っぱ日記
LANケーブルを中継するように接続するだけでウイルス侵入・データ盗難の防止だそうで…。 たまたま入った店で見かけた商品。3000円くらいだったのでネタに購入すればよかった。
Shibuya Perl Mongersテクニカルトーク#11 でLTしてきました - 葉っぱ日記
昨日開催された Shibuya Perl Mongersテクニカルトーク#11で「Windowsユーザのための初めてのPerlプログラミング」というテーマでLTしてきました。なかなかゆっくり説明はできなかったので、デモとして用意しておいたコードを貼っておきます。 (追記)プレゼンテーション資料もアップロードしておきます。 http://www.slideshare.net/hasegawayosuke/windowsperl-1330816 ちなみに、「そのPPTのテンプレよく見つけたね」と言われたんですけど、手頃なテンプレがなかったので自分でハートとか並べて作ったやつです。 Perlからx86コードを呼びたいときの例。Win32 APIの SetConsoleCtrlHandler を使ってバイナリコードをシグナルハンドラに設定し、GenerateConsoleCtrlEvent で C
Vulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳 - 葉っぱ日記
レジストリでAutoRunを無効にしたときの注意点に関して、元ネタとなっている Vulnerability Analysis Blog: The Dangers of Windows AutoRun を翻訳してみました。間違いや指摘があればツッコミください。 The Dangers of Windows AutoRun By Will Dormann on April 24, 2008 7:12 PM こんにちは。私は CERT/CC 脆弱性調査チームの Will Dormann です。数か月前にディジタル写真による感染事例がメディアで報告されました。私は悪意あるコードが実行された方法について知りたかったので、Microsoft の AutoRun および AutoPlay 機能についての調査を開始しました。 Windows95 で導入された AutoRun は、大きく2つの性質があります
Shibuya.pm ustream中継 新大阪サテライト会場 - 葉っぱ日記
3時間で100名の申し込みが埋まってしまった Shibuya Perl Mongersテクニカルトーク#10 の ustream 中継を見てニヤニヤする会を新大阪で開催したいと思います。 日時 2008年11月27日(木) 18:30 - 21:00 場所 ネットエージェント株式会社 大阪支社(飲食可ですがアルコール・喫煙はできません) 定員 最大10名(先着) 注意 社内用のネットワーク回線しかありませんので、自分のPCを持ちこんでネットワークに自由に接続したいという方は適当なモバイル用の回線を自分でご用意ください。 こちらの模様もustreamで中継して会場の補助プロジェクタで映してもらおうと考えています。どうしても映るのがイヤだという方は終始後ろを向いておくなど、各自で適当に対処をお願いします。 いっしょにニヤニヤするよという方は yosuke.hasegawa -atmark- g
IEの <pre>.innerHTML で複数のスペースを入れる方法 - 葉っぱ日記
IEでは <pre>.innerHTML に連続したスペースや改行を入れると、単一のスペースに置き換わってしまいます。 例えば次のようなJavaScriptをIEとFirefoxで実行してみると: var s = "0123456789ABCDEF\n a b c d"; var pre = document.createElement( "pre" ); pre.innerHTML = s; document.body.appendChild( pre ); IEの表示: Firefoxの表示: IEでは、複数の連続したスペースや改行文字が全て単一のスペースになってしまっています。改行文字を "<br>"に置き換えて、createTextNode() すれば解決しそうな気もしますが、 var s = "<span style=\"color:red\">0123456789ABCDEF<
たすけてー - 葉っぱ日記
「会社で脱いだらやばいので自重する」「id:TKSK が謝罪するから何も怖くない」とか言われてやばかった。
IE8の話がきけるのは、まっちゃ445だけ! - 葉っぱ日記
というわけで、第01回まっちゃ445勉強会の午前のライトニングトークで、「押さえておきたいIE8のセキュリティ新機能」という感じの話をします。↓こんな感じ!
外来語の長音記号の表記 - 葉っぱ日記
まっちゃさんところに反応。3音以上の語尾のハイフンを省略するというルールになってるのは、JIS Z8301:2005 です。というか、前に某所で書いたメールを転記。 関連するリソース的には - JIS Z8301 - 平成3年 内閣告示第二号「外来語の表記」 http://www.yamanouchi-yri.com/yrihp/techwrt-2-4s/t-2-4s07a-1.htm - 平成3年 国語審議会答申「外来語の表記」 http://www.mext.go.jp/b_menu/hakusho/nc/t19910207001/t19910207001.html JIS Z8301:2005 では、3音以上の語尾のハイフンは省略する、などと なっていますが、後二者は原則的に長音記号を表記するというルールに なっています。 JIS に完全に従うと、ハイパリンク/ハイパテキストのような
そろそろ日経SYSTEMSがDISられた理由について解説しておくか - 葉っぱ日記
最近、日経SYSTEMSが間違いだらけの記事を公開した件について XSS Mongers から痛烈に DIS られたりしているのだが、それについて解説しておこう。 発端はライブドアの伊勢さんのこの記事http://itpro.nikkeibp.co.jp/article/COLUMN/20080528/304429/である。この記事は2007年9月に発表された記事の再掲である。この記事の最大の問題点は「クロスサイトスクリプティングを理解していないこと」にあります。クロスサイトスクリプティングは、現在では*基本的に*ローカル・ディスクのデータを改竄(ざん)されたりするといった被害は直接的には発生しません。おりしも、この記事が公開される何年も前から サニタイズ言うなキャンペーンが展開され、XSS対策のあり方について周知しようという高木浩光氏の動きがあった中で、このような間違いだらけの記事がでた
E4Xを知っておくとよいたった一つ(かどうか知らない)の状況 - 葉っぱ日記
史上空前のクラムチャウダーを飲んで帰国ブームの間に何か書こうと思ってたのにブームが去ってしまったので、史上空前というほども流行っていないE4Xブームにのってみる。 E4Xという機能を使うと、JavaScript内にリテラルXMLを記述できる。徳丸さんのサンプルがわかりやすい。 var order = <order> <name>Webアプリケーションのセキュリティ完全対策</name> <author>徳丸浩他</author> <price>3990</price> <ISBN>4822229718</ISBN> </order> JSONで書いた例も徳丸さんのサンプルから借りてくる。 var order = { name : "Webアプリケーションのセキュリティ完全対策", author : "徳丸浩他", price : 3990, ISBN : "4822229718" } 確か
Internet Explorer への Web 標準対応に関するフィードバック - 葉っぱ日記
史上空前の簡単なお仕事ブームのなか、現在の Internet Explorer 6/7 における Web 標準技術への対応における問題点や要望をフィードバックするだけの簡単なお仕事があるそうです。ユーザ登録するだけで誰でもできる簡単なお仕事です。 五寳さんのブログ「徒然 SBS - TUREZURE SBS: Mozilla24 イベントを終えて」より。ユーザ登録の方法はこちら。 とりあえず以下のような内容のものを1件提出してみました。これ以外にもいろいろ思うところはありますのでヒマをみて出してみます。 要望 サーバから返される Content-Type: に従ってファイルタイプを決定して欲しい。 Content-Type:が未知の場合はダウンロードダイアログを表示するようにして 欲しい。 現状の問題点 Content-Type:がレジストリに未登録の場合、(諸々の条件はあるが、概ね) U
第1回 Ajaxとクロスサイトスクリプティング|gihyo.jp - 葉っぱ日記
JVNの常連である福森さんの記事。 1ページ目の最終段が このように不正なスクリプトを入力されたとしても,それをそのまま出力しないでエスケープ処理を行ってから出力することが,クロスサイトスクリプティング対策になります。で終ってますが、ここで終ってしまうよりは、せっかくAjaxしてるので createTextNode するような安全な実装を示して欲しいなと思いました。(2007/06/28追記。このコードは脆弱です!) if (req.readyState == 4) { var t = document.createTextNode( req.responseText ); document.body.appendChild( t ); // document.write(req.responseText); document.write は使わない } (2007/06/28追記) ↑こ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
備忘録 - 葉っぱ日記
右からきた会計収支を左へ受け流す歌 - 葉っぱ日記
