lepton9のブックマーク / 2011年6月28日

lepton9 id:lepton9

2011年6月28日のブックマーク (5件)

ockeghem(徳丸浩)の日記 - XSS対策:どの文字をエスケープするべきなのか－コメント#1
ITproの連載中に、id:hasegawayosukeさんから以下のようなコメントをいただいていました。対策遅らせるHTMLエンコーディングの「神話」：ITpro - 葉っぱ日記全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cross Site Scripting Libraryのようにほとんど全ての文字を実体参照に置き換えるものもあるので、あながち非現実的とも言えないのかも知れない)、エスケープ対象を「'」「"」「<」「>」「&」の5文字に限定しているのは何かこの記事に書かれていない理由があるはずだと思ったからです。はてぶの方は見ていましたが、日記の方を見落としていまして、お返事が遅れました(_ _)。なぜ、「<」、「>」、「&」、「"」、「'」の5種類の文字をエスケープするのかについては、色々考えるところがあります。
lepton9 2011/06/28
html

security
リンク
対策遅らせるHTMLエンコーディングの「神話」
クロスサイト・スクリプティングという言葉は元々，WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では，HTMLのエンコードによる画面改変などを含むこともある。前回述べたように，クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず，一向になくならない。その理由として，クロスサイト・スクリプティング対策あるいはHTMLエンコード注1）に対する「神話」があり，正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。注1）実体参照（entity reference）というのが正式だが，あまり普及していない用語なので，HTMLエンコードという用語を用いる「すべからくHTMLエンコードすべし」が鉄則 HTM
lepton9 2011/06/28
security

html
リンク
そろそろ入力値検証に関して一言いっとくか: Webアプリケーション脆弱性対策としての入力値検証について - 徳丸浩の日記(2007-09-05)
_ Webアプリケーション脆弱性対策としての入力値検証について Webアプリケーションのセキュリティ対策としての「入力値検証」について色々言われている。セキュアコーディングの基本は入力値検証だといわれたり、さほど重要でないと言われたりしている。本当のところはどうなのだろうか。以下、バイナリデータを扱う場合の多いミドルウェア(Webサーバーなど)と対比しながら、この問題を掘り下げたい。バイナリデータの場合(≒ミドルウェアの場合) バイナリデータでは、入力検証が重要である。少し前にmod_imagefightを取り上げた(画像版サニタイズ言うな(2))ので、ビットマップ画像を例に説明しよう。その際に使用したBMP形式の説明を再掲する。 0000:MARK(2) ='BM' 0002:ファイルサイズ(4) * 0006:予約1(2) =0 0008:予約2(2) =0 000A:ビットマップ
lepton9 2011/06/28
入力チェック

security

development
リンク
「サニタイズ言うなキャンペーン」私の解釈
高木浩光さんの「サニタイズ言うなキャンペーン」という言葉自体はずいぶん前から存在したのだが、続・「サニタイズ言うなキャンペーン」とはにて高木さん自身がいくつも誤解の例を挙げているように、そしてまた最近も駄目な技術文書の見分け方その1にて「まだわからんのかね」と言われているように、「わかりにくい」概念なんだろうとは思う。そこで、僭越ながら、「サニタイズ言うなキャンペーン」について、私なりの解釈を書いてみようと思う。もっともこれが正解であるという保証はないのだが、間違っていたらどなたかツッコミいただけることを期待しています(_o_) そもそも何のせいで「エスケープ」しなければならないのかたとえば住所氏名を登録させるWebアプリケーションは珍しいものではないと思う。そこで、私が「Taro&Jiro's castle サウスポール」とかいう恥ずかしい名前のマンション(?)
lepton9 2011/06/28
programming

security

html
リンク
高木浩光＠自宅の日記 - WASF Times版「サニタイズ言うな！」
■ WASF Times版「サニタイズ言うな！」技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。「サニタイズしろ」だあ？ Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか？「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの？プログラムの内容からして必要のないことなのに？そう
lepton9 2011/06/28
programming

development

security
リンク
- 2011年6月29日
- 2011年6月28日
- 2011年6月27日