第6回 先行バイトの埋め込み | gihyo.jp
今回は、「先行バイトの埋め込み」という攻撃方法について紹介します。 ご存じのとおり、ほとんどの符号化方式(文字エンコーディング)においては、ひらがなや漢字などASCII以外のほとんどの文字は、1文字が複数バイトにて構成されています。たとえば、ひらがなの「あ」は、Shift_JISにおいては0x82 0xA0という2バイト、UTF-8においては0xE3 0x81 0x82という3バイトで表現されます。 攻撃者がマルチバイト文字の先行バイト部分だけを与えることにより、本来存在している後続の文字を無効にしてしまうのが、今回紹介する「先行バイトの埋め込み」という攻撃方法です。 先行バイト埋め込みの具体例 では、具体的な例を見ていきましょう。 たとえば、Shift_JISで書かれたHTMLとして、次のようなものがあったとします。 name: <input type=text value="" />
オレサマHTML5はごめんだ
デベロッパーのあいだでHTML5の重要性が高まってくるにつれ、各ブラウザベンダは自社のブラウザがHTML5にいかに対応しているか、あるいは今後すばらしい実装計画があるか、といったことをアピールし始めました。 Webの新しい標準となることが決定的とされているHTML5に、多くのベンダが注目し、競うように実装を進めていることは歓迎すべきことです。これからのWebが1つの標準に基づいた高い互換性と、競争によってより品質の高いソフトウェアの提供が行われると期待できます。 しかしその一方で、行きすぎた競争による残念なことも起きています。 わざと誤解を与えようとするアップル アドビのFlashはクローズで、HTML5はオープンだ、と言ったスティーブ・ジョブズ氏率いるアップルが「HTML5 Showcase」と銘打ったWebサイトのデモンストレーションコーナーを開設。しかし、「HTML5 and web
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
