RangeつきリクエストによるApacheのDoSとApache Killerの実力 | 水無月ばけらのえび日記
公開: 2011年8月30日1時45分頃 ApacheのDoSの脆弱性が話題になっていますね。 HTTP/1.1では、HTTP要求ヘッダでRangeフィールドを指定すると、コンテンツの全てではなく一部分だけを要求することができます。たとえば、以下のように指定するとデータの先頭の1バイトだけを受け取ることが期待されます。 ※これは以前にも書いたのですが、0-0で1バイト受け取るというのは微妙に直感的ではない感じがしますね。しかし正しい挙動です。 WebサーバがRangeを解釈した場合、ステータスコード 206 (Partial Content) で応答しつつ、指定された部分だけを返します。 と、これだけならRangeがない場合とサーバの負荷はほとんど変わらないのですが、実は1回のリクエストで複数の範囲を指定することができます。その場合、応答は Content-Type: multipart/
シャットダウン事件と発見者の責任 | 水無月ばけらのえび日記
公開: 2011年5月22日13時50分頃 こんなお話が。 巫女SE、脆弱性のあるサービスを独断で停止し、あわや警察沙汰に (slashdot.jp)」。巫女テスター(17歳)、システムの致命的な欠陥を発見しサーバーごとシステムをシャットダウンした一部始終 (togetter.com)巫女テスター(17歳)、欠陥システムをサーバーごとシャットダウンするに至った顛末とその後のお話 (togetter.com)とあるシステムを見ていたら「パスワード再発行フォームのメールアドレス入力画面にSQLを仕込むと全ユーザーの情報を引き出したり」といった致命的な脆弱性を発見してしまい、そして……本番環境を動かないようにしてシャットダウン。その後は警察を呼ばれそうになりつつも、クライアントの理解が得られて最悪の結果は回避できたようで。まとめには出ていませんが、「課長と部長に報告したし、埒があかないから更に上
企業のリンクポリシーが無茶な要求をする理由 | 水無月ばけらのえび日記
公開: 2010年4月7日20時5分頃 「日経新聞電子版始動、しかし個別記事へのリンクを禁止、違反者に損害賠償請求も示唆 (slashdot.jp)」。 またまた出ました。無断リンク禁止。このような主張は、古い企業にありがちなものですね。 リンクを張る場合は連絡してください。リンクはトップページへお願いします。個別記事へのリンクはお断りします。個別記事にリンクさせないのはナンセンスだ、リンクするたびに連絡しなければならないなんて手間がかかりすぎる。どうしてこんな無茶な要求をするのか全く理解できない。……そう思われる方が多いと思います。 しかし、実はこの要求には理由があります。仕事柄、大企業のWeb担当の方や法務の方と議論させていただく機会もあるのですが、「なぜこんなポリシーを作ったのか」という問いに対する答えは、おおむね以下のようなものでした。 リンク元のサイトとの関係性を誤解されたくない
DNS Rebinding問題の所在 | 水無月ばけらのえび日記
公開: 2010年2月15日23時40分頃 「かんたんログイン手法の脆弱性に対する責任は誰にあるのか (www.tokumaru.org)」。細かいところに反応しますが……。 「問題」という言葉のニュアンスが微妙なところですが、これはちょっと違和感があります。少なくともWebアプリケーション側の「不具合」ではないように思いますし、実際のところはこんな感じではないでしょうか。 iモードブラウザ2.0対応のdocomo端末は、DNS Rebindingの攻撃に対して脆弱である。端末の問題であるため端末側で対応することが望ましいが、名前解決はdocomoのゲートウェイ側で行われる場合があり、端末側では対応が難しい。docomoのゲートウェイの問題についてはdocomo側で対応することが望ましいが、問題の性質上、対応が難しい (参考: Re:「docomoケータイのDNS Rebinding問題、
サンシャイン牧場の課金システムが修正されたっぽい | 水無月ばけらのえび日記
更新: 2009年10月25日1時50分頃 サンシャイン牧場の課金システムですが、昼過ぎにとりあえずフロントのインターフェイスが停止、夕方にバックのシステムが停止しており、しばらくこのままだろうな……と思っていたら、なんと復活しているではありませんか。 問題を抱えたままの復活かと思いきや、ちゃんと修正されている模様です。修正にはもっと時間がかかるかと思っていましたが、これは速い! 良い仕事だと思います。ありがとうございます。 ※もっとも、正式な修正の報告はまだ受けていませんので、これで最終形なのかどうかはまだわかりません。 ※2009-10-25追記: いちおう、mixiコミュニティ内にて運営側から修正のアナウンスが出ています: サンシャイン牧場・課金システム修正のアナウンス ※2009-10-31追記: さらに追加のアナウンスがありました: 「サンシャイン牧場・課金システムの問題について
サンシャイン牧場 アイテム課金 | 水無月ばけらのえび日記
更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情
text/perlscript | 水無月ばけらのえび日記
更新: 2024年3月6日20時45分頃 「人気が出れば出るほど、Webブラウザは遅くなる (slashdot.jp)」という話が出ていますが、中に興味深いコメントが。 ActivePerlを使っている人は知ってると思うけど、ActivePerlをインストールするとPerlScript [activestate.com]も書けますよ。 以上、Re:JavaScriptの部分だけ別にできないの? より
PostgreSQLセミナー2009春〜セキュリティ事故のケーススタディ〜 | 水無月ばけらのえび日記
公開: 2009年5月10日21時10分頃 セキュリティホールmemo (www.st.ryukoku.ac.jp)より、「PostgreSQLセミナー2009春〜セキュリティ事故のケーススタディ〜 (www.ipa.go.jp)」(PDF)。 良い資料だと思いますが、ちょっと思ったところをメモ。 p10.「ショッピングサイトの裏側」……なんでHTMLの構造が? ここで言う「裏側」ってそういう意味ではないと思うのですが、適切な画像がなかったのでしょうか……。 ※どうでも良いですが、こういう構造だと、お知らせの文言が増えたときや文字サイズ拡大時に、シンボルマークとロゴタイプ(なのか?)が泣き別れになりそうな気がしますね。いや、そこはつっこむところではありませんが。
文字列に変換してSQLインジェクションを100%防ぐ? | 水無月ばけらのえび日記
公開: 2009年4月29日13時55分頃 「WEBマーケティング研究会: 第1回・SQLインジェクション (www.webdbm.jp)」。 この記述には度肝を抜かれました。 SQLインジェクションは、予期しない変数や命令文に対処できないアプリケーションの脆弱性です。根本的な対策としては、アプリケーションに渡す変数をすべて文字列に変換すれば、SQLインジェクションを100%防ぐことができます。 文字列に変換すれば100%防げる!? SQLインジェクションはそもそも、「1 OR 1=1--」とか「foo' OR 1=1--」とかいった文字列を渡して攻撃するのです。文字列を文字列に変換しても何も起きないわけでして、全く意味のない話だと思うのですが……。よく見ると、続きにはこう書いてあったりします。
MinazukiBakeraのブックマーク - はてなブックマーク
※2014年2月28日(金) 13:19追記 頻繁にサーバーから切断されてしまう現象(エラーコード DQX-100-893-X)への対策を行ったメンテナンス作業を2014年2月28日 13:17に終了いたしました。 メンテナンスへのご理解とご協力ありがとうございます。今後とも「ドラゴンクエストX」をよろしくお願いいたします。 -------------------------------------- ※2014年2月28日(金) 11:30追記 頻繁にサーバーから切断されてしまう現象(エラーコード DQX-100-893-X)について2月28日朝方に根本原因について判明し、検証中とお伝えしておりましたが、検証が終了したため 12:00より14:00頃まで、緊急メンテナンス作業を実施いたします。 引き続きご不便、ご迷惑をお掛けしますが、何卒ご了承くださいますよう宜しくお願い申し上げます。
はてなのexpressionのXSSが修正された | 水無月ばけらのえび日記
と書くと、「危険な文字」とみなされた "expression" と "cookie" がサニタイズされて以下のようになります。
XSS脆弱性の危険性 | 水無月ばけらのえび日記
公開: 2024年3月7日16時10分頃 「世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? (www.atmarkit.co.jp)」。 脆弱性の脅威が過剰に評価されている傾向はあると思いますね。脆弱性検査の結果なんかで「500エラーが出ている」とか「HTTP応答ヘッダでサーバのバージョン情報が出ている」とかいったものが問題にされたりしますが、「それ対応する必要あるの?」と思います。検査している方としても、「念のため」レベルで報告しているのだろうと思いますが、受け取り側はそうは受け取らない場合もあるようで。まあ、報告の書き方の問題なのかも知れませんけれども。 緊急度をざっくりいくつかに分けて考えるとすると、だいたいこんな感じなのでしょうか。 緊急: 今すぐサイトを閉鎖して対応しなければならないもの重要: 早急に対応しなければならないもの要対応: 急ぎではないが、対応が必要と考
制御文字をどうするのか | 水無月ばけらのえび日記
公開: 2009年3月11日0時12分頃 正規表現で「制御文字以外」のチェック (d.hatena.ne.jp) 個人的には、RLO(U+202E)みたいなUnicode系の制御文字をどう扱うべきなのかで悩みますね。入れられると困る気もするし、入れられないと困るような気もするし……。結局入れられるようにしてしまう事が多いのですが、RLOを入れられると表示が乱れたりする事があるわけで。 「制御文字をどうするのか」にコメントを書く関連する話題: Web
cubeLabo PHP,Javascript,Web標準などWeb制作覚書
cube Labo Web標準,Javascript,PHPなどWeb制作に関する覚書を書いています。興味を持った分野について幅広く書いていこうと思います。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
発注者のためのWebシステム/Webアプリケーション セキュリティ要件書 | 水無月ばけらのえび日記
組織の幹部は公にしない方針 | 水無月ばけらのえび日記
攻撃が増加中? | 水無月ばけらのえび日記
届出状況2008Q4 | 水無月ばけらのえび日記
ケツハラ | 水無月ばけらのえび日記
特定のユーザースタイルシートを…… | 水無月ばけらのえび日記