昨日2012年3月31日をもってネットエージェント株式会社を退職しました。 2008年1月からでしたので4年と少しという長くはない期間でしたが、とても密度の高い時間を過ごせたと感じています。周りには、新卒で入って1年も経っていないのにバイナリの固まりを見るだけでそのなかに埋め込まれたデータを的確に目視で抽出するような人や、再現性が恐ろしく低くなかなか原因がわからなかったバグを退治する手伝いをお願いしたら、1時間もしないうちに「だいたい原因はわかりました。xxxという関数のバッファが1バイト足りていないんだと思いますが、ちゃんと確認したいのでソースコード見せて下さい」という返事を返してくるような気違いみたいなバイナリアンが多く、どれだけ学んでも自分なんて追いつけない圧倒的な劣等感を感じさせてくれる会社でした。 また、課長や部長といった管理職への昇進だけが昇給の道ではなく、技術面で優れた人材を

今さらな感もありますが、AVTokyo お疲れ様でした。スタッフのみなさんも、参加者のみなさんも、スピーカーのみなさんも、本当にありがとうございました。楽しかったです。まさか、2011年にもなって hoshikuzu さん、kanatoko さんとCSSXSS前提でのCSRF対策について話す機会があるなんて！ とりあえず、LTで使ったスライドを公開しておきます。 http://utf-8.jp/public/20111112/galmoji-js.pptx 誰か続き作って！

すでに1年近く経っていますが、Microsoft Security Bulletin MS10-090 - Critical : Internet Explorer 用の累積的なセキュリティ更新プログラム (2416400) に含まれる「クロス ドメインの情報の漏えいの脆弱性」- CVE-2010-3348 について書いておきます。発見者は @okomekiさん。 ISO-2022-JPで作成されたWebページにおいて、HTML先頭から4096バイト目付近にエスケープシーケンスが置かれた場合、正しく文字集合を切り替えることができないというバグがありました。 例えば、 (1) : 0x1B 0x28 0x49 0x27 (ここが4096バイト目)0x1B ... http://utf-8.jp/PoC/50221-1.html という場合にはバイト列中の0x27は半角カタカナ(JIS X 0

先日、Twitterでどのように脆弱性を見つけるかに興味あるんだろうかと書いたら、意外に色々な人から反応があったので、これまでに自分が見つけた脆弱性のいくつかについてどういう経緯で見つけたのかちょっと書いてみます。 JVN#89344424: 複数のメールクライアントソフトにおける、添付ファイルによりメールクライアントソフトが使用不能になる脆弱性 これは、添付ファイル名にUnicodeの円記号を含めておくと、メーラ側でShift_JISに変換する際にバックスラッシュに変換されてしまって想定外のディレクトリに添付ファイルが展開されてしまったり、あるいは「©on」のような名前のファイルを添付しておくことでShift_JISに変換してCONというファイルを開こうとしてメーラが固まってしまうという問題です。これは、私自身が文字コードの問題について調べ始めた初期段階で、Unicodeからの変換で問題

Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u

最近のモダンなWebブラウザがサポートしている、セキュリティに関連しそうな X- なHTTPレスポンスヘッダをまとめてみました。それ以外にもあったら教えてください。 X-XSS-Protection 0:XSSフィルタを無効にする。 1:XSSフィルタを有効にする。 XSSフィルタを有効にすることでエンドユーザがXSSの被害にあう可能性が低減するが、まれに誤検知することで画面の表示が乱れることもある。IE8+、Safari、Chrome(多分) で有効。IEでは「X-XSS-Protection: 1; mode=block」という指定も可能。 2008/7/2 - IE8 Security Part IV: The XSS FilterBug 27312 – [XSSAuditor] Add support for header X-XSS-Protection X-Content-Ty

">

顔文字のJavaScriptを生成する aaencode を書いた。こういう↓JavaScriptが簡単に生成できる。 ﾟωﾟﾉ= /｀ｍ´）ﾉ ~┻━┻ //*´∇｀*/ ['_']; o=(ﾟｰﾟ) =_=3; c=(ﾟΘﾟ) =(ﾟｰﾟ)-(ﾟｰﾟ); (ﾟДﾟ) =(ﾟΘﾟ)= (o^_^o)/ (o^_^o);(ﾟДﾟ)={ﾟΘﾟ: '_' ,ﾟωﾟﾉ : ((ﾟωﾟﾉ==3) +'_') [ﾟΘﾟ] ,ﾟｰﾟﾉ :(ﾟωﾟﾉ+ '_')[o^_^o -(ﾟΘﾟ)] ,ﾟДﾟﾉ:((ﾟｰﾟ==3) +'_')[ﾟｰﾟ] }; (ﾟДﾟ) [ﾟΘﾟ] =((ﾟωﾟﾉ==3) +'_') [c^_^o]; (ﾟДﾟ) ['c'] = ((ﾟДﾟ)+'_') [ (ﾟｰﾟ)+(ﾟｰﾟ)-(ﾟΘﾟ) ];(ﾟДﾟ) ['o'] = ((ﾟДﾟ)+'_') [ﾟΘﾟ];(ﾟoﾟ)= (ﾟД

html5security - Project Hosting on Google Code HTML5 Security Cheatsheet 足りてない攻撃パターンとか日本語訳もぼちぼちとcommitしていきますので、間違いとかツッコミあったら教えてくださいませ。

javascript:(ﾟΘﾟ)=ﾟωﾟﾉ=3, (/｀ｍ´）ﾉ ~┻━┻ //*´∇｀*/)javascript:(ﾟДﾟ) =_=3; /^_^/ [-_-1] - /;*_*/ とりあえずエラーなく動くというだけで、実行結果にも絵にもまったく意味はないです。任意のコードをAAだけで実行させるのは、まだまだ遠い道のりです。

「XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会」を読んで。 IPAを通じて脆弱性の報告が来るということは、脆弱性の発見者がセキュリティ専門家だったりするため、対策が取られるまで公開されないことが予測できる。つまりIPAから脆弱性の報告が来る=緊急ではないという図式が成り立ってしまう！！XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会よりううむ。個人的には、脆弱性を発見した場合にはむしろ専門家以外の素人ほどIPAを通じて報告するほうがよいと思っている。理由は以下の通り。 連絡先の把握が困難 Webサイトにもよりますが、脆弱性報告のための窓口を用意しそれを明確に示しているWebサイトはあまり多くはありません。そのような連絡先をサイトごとに逐一探すくらいであれば、IPAに連絡するほうが手間が圧倒的に少なくて済みます。また、一般的な問い合わせ窓口

見落としてないよ。 アルファベット禁止でjavascriptを書いてみた - sub Diary (仮) …ね、簡単でしょう？ お詫びというのも変だけど、もっと複雑にしてみた。 これで、alert 出す JavaScript からアルファベットと数値を取り除けます(Firefox限定)。今は固定で deadbeef! という文字列を alert してるけど、あと一歩で jjencode できそう。 _ = []|[]; $ = _++; __ = (_<<_); ___ = (_<<_)+_; ____ = __+__; _____ = __+___; $$ = ({}+"")[_____] + ({}+"")[_] + ({}[$]+"")[_] + (($!=$)+"")[___] + (($==$)+"")[$] + (($==$)+"")[_] + (($==$)+"")[__]

言語牧場 (Kanasansoft Web Lab.) じゃあ、JavaScriptとVB6を交配してみよう。 ... それってJScript!!! IE限定ならクライアントサイドVBScriptでいいじゃん!!! VBScript と JScript はとっても仲がいいので、かんたんに交配させることができます。 例えば、1から10の合計を求めるプログラムはこんな感じ。 i = 1 s = 0 while( i <= 10 ) rem =function(){ s = s + i i = i + 1 ''}(); ''/* wend ''*/ WScript.Echo( s ) 例えば、これを bokujo.txt などというファイル名で保存しておいて、コマンドラインから C:\>CScript //E:VBScript bokujo.txtのように実行するとVBScriptとして実行され

やぁ、みんな，元気？長谷川陽介です。今日はIE8 RC1のXSSフィルタの改善点をこっそり教えちゃうよ。 いつもは攻撃側でひらがなの名前でやってるんだけど，きょうは防御側ということで，名乗りも漢字に変えたんだ。だってさ，Microsoft SWIのDavid Rossさんから翻訳許可もらったのにひらがなとか失礼じゃないか。 では始めよう。 //blogs.technet.com/swi/archive/2009/01/30/xss-filter-improvements-in-ie8-rc1.aspx">XSS Filter Improvements in IE8 RC1:http://blogs.technet.com/swi/archive/2009/01/30/xss-filter-improvements-in-ie8-rc1.aspx 月曜日にIE8 RC1がリリースされました。