タグ

ブックマーク / hasegawa.hatenablog.com (11)

  • 機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記

    WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ

    機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
    rna
    rna 2013/05/17
    「IE9、10が修正されておらず X-Content-Type-Options による保護が必要となる点については、Microsoft に問い合わせたところ仕様に基づく動作との回答を得ています」
    リンク

  • XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記

    合わせて読んでください:Flashと特定ブラウザの組み合わせでcross originでカスタムヘッダ付与が出来てしまう問題が未だに直っていない話 (2014-02/07) XMLHttpRequestを使うことで、Cookieやリファラ、hidden内のトークンを使用せずにシンプルにCSRF対策が行える。POSTするJavaScriptは以下の通り。(2013/03/04:コード一部修正) function post(){ var s = "mail=" + encodeURIComponent( document.getElementById("mail").value ) + "&msg=" + encodeURIComponent( document.getElementById("msg").value ); var xhr = new XMLHttpRequest(); xhr

    XMLHttpRequestを使ったCSRF対策 - 葉っぱ日記
    rna
    rna 2013/03/02
    いまいちあてにならないリファラのかわりに独自ヘッダを自前で付けるという方法。
    リンク

  • レジストリのタイムスタンプを表示するためのツールを書いた - 葉っぱ日記

    指定したレジストリキーのタイムスタンプを表示するツールを書きました。 hasegawayosuke's regtime at master - GitHub バイナリもそのうちどこかに置くかも。

    レジストリのタイムスタンプを表示するためのツールを書いた - 葉っぱ日記

  • 実行中のアプリケーションを外から観察するソフトウェア(Windows版) - 葉っぱ日記

    「実行中のアプリケーションを外から観察するコマンド。 - こせきの技術日記」のWindows版。Dependency Walkerを除き Microsoft 純正。以下のうちのいくつかは64ビット環境でも動くかも知れませんがあまりよく知りません。 Process Monitor http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx Windows上で外から観測する場合のほとんどのときにはこれだけで足りるくらいの強力なツール。 各プロセスのアクセスしているファイル、レジストリ、プロセスおよびスレッドの状態などのうち、設定したフィルタに応じたものだけを出力できる。 ApiMon http://www.microsoft.com/downloads/details.aspx?FamilyID=49ae8576-9bb9-412

    実行中のアプリケーションを外から観察するソフトウェア(Windows版) - 葉っぱ日記
    rna
    rna 2009/06/23
    リンク

  • アンチウイルスアプライアンス…? - 葉っぱ日記

    LANケーブルを中継するように接続するだけでウイルス侵入・データ盗難の防止だそうで…。 たまたま入った店で見かけた商品。3000円くらいだったのでネタに購入すればよかった。

    アンチウイルスアプライアンス…? - 葉っぱ日記
    rna
    rna 2009/06/23
    LAN接続スイッチ。「この感じ…ウィルスか」と察知して手動でLAN接続を切断するためのものらしい…
    リンク

  • 葉っぱ日記 - レジストリの HKCR¥MIME¥Database¥charset 以下に定義されています。

    UTF-7を利用したXSSは、charset が指定されていない場合に発生すると考えられていますが、少なくとも Internet Explorer においては、これは大きな間違いです。正しくは、Internet Explorer が認識できる charset が指定されていない場合であり、charsetが付加されていても、IEが認識できない文字エンコーディング名である場合にはXSSが発生します。 例えば、次のような HTML は(HTTPレスポンスヘッダで charset が明示されていない場合)IEが文字エンコーディング名を正しく認識できないため、その内容からUTF-7と解釈されるためにスクリプトが動作します。"utf8"という表記はUTF-8の慣用的な表現ではありますが、ハイフンが抜けており正しい表記ではありません。 <html> <head> <meta http-equiv="Co

    葉っぱ日記 - レジストリの HKCR¥MIME¥Database¥charset 以下に定義されています。
    rna
    rna 2007/07/18
    「MicrosoftがIEのこのような挙動に対して脆弱性として判断するとは思っていなかったので実に意外でした。」
    リンク

  • 第1回: Unicode から Shift_JIS への変換(その1) - 葉っぱ日記

    Windows 上で Unicode を扱う場合に発生するセキュリティ上の問題点などについて不定期に書いていくことにします。以前の内容と重なる部分も多いですし、時間的にもどこまで書けるかわかりませんけれど…。 さて第1回目は、 Windows 上で Unicode を扱う際のもっとも基とも言える WideCharToMultiByte を使用した Unicode から Shift_JIS (コードページ932)への変換についてです。 WideCharToMultiByte を使用する際に発生しやすい問題点は以下の2点です。 バッファサイズの指定ミスによるバッファオーバーフロー Unicode から Shift_JIS への変換における多対一のマッピング バッファサイズの指定ミスによるバッファオーバーフロー 変換前の Unicode の文字列は「文字数」で指定するのに対し(cchWideC

    第1回: Unicode から Shift_JIS への変換(その1) - 葉っぱ日記

  • 対策遅らせるHTMLエンコーディングの「神話」:ITpro - 葉っぱ日記

    はてブで 「すべてをエンコードすると決めた」といいながらメタキャラクタしかエスケープしないのはなぜ? と書いたら、b:id:HiromitsuTakagi さんに /↓hasegawayosuke「なぜ」<意味不明 / と言われてしまいますた。 全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cross Site Scripting Libraryのようにほとんど全ての文字を実体参照に置き換えるものもあるので、あながち非現実的とも言えないのかも知れない)、エスケープ対象を「'」「"」「<」「>」「&」の5文字に限定しているのは何かこの記事に書かれていない理由があるはずだと思ったからです。 この5文字さえ確実にエスケープしていれば XSS が防げるかというと、多分そうでもないだろうと個人的には思うわけでして。 例えば IE ではバックク

    対策遅らせるHTMLエンコーディングの「神話」:ITpro - 葉っぱ日記
    rna
    rna 2007/04/11
    「例えば IE ではバッククォート「`」(U+0060)が引用符と同じように使用できます」Ω ΩΩなんだってー!!
    リンク

  • UTF-8 エンコーディングの危険性 - WebOS Goodies - 葉っぱ日記

    UTF-8の非最小形式による代替エンコーディングの話。古典的な攻撃方法なので、知っていて当然の話だと思っていたのですが、意外にまだ知られていないんですね。古くは Nimda の攻撃でも利用されていました…というのを調べていたら、たまたま「セキュリティホールのアンチパターン」という資料がひっかかったので紹介しておきます。あとは、ばけらさんによる説明「用語「Unicode Web Traversal」@鳩丸ぐろっさり (用語集)」がわかりやすいです。 個人的には、「UTF-8」というからには、こういうおかしなバイト列が含まれていた時点で入力全てを捨ててしまって例外などを発生させるべきで、無理やり UTF-32 とかに直すのは間違っているように思います。そうでないと、0xC0 0x32 のように、完全に壊れている UTF-8 をどうするの?とかにもなりますし。 あと、どうでもよい話: そもそもU

    UTF-8 エンコーディングの危険性 - WebOS Goodies - 葉っぱ日記
    rna
    rna 2007/02/23
    「やっぱりUTF-8は内部エンコーディングにはむいていないと思います。」そう思うけど、UNIX系フリーソフトの「unicode対応」は内部UTF-8が主流っぽい。。。
    リンク

  • ぼくはまちちゃん!(Hatena) - IPAたんからお礼が! - 葉っぱ日記

    スルー力が完全に欠如してるので、マジレスしてみるてすと。 「窓口があれば、みつけた人が教えてくれる機会がふえる」のは、 「機会がふえるような窓口があれば」→「機会がふやせる」 ではなくって、 「窓口があれば」→「個別に窓口を探す手間が省けるので放置される可能性が減る」 だと個人的には思います。 1.めんどくさくするな もっとシンプルなものにしちゃおうよ! そのとおりだと思います。 ただ、この制度以前は脆弱性を見つけてしまった場合には、運営サイト内の連絡先を個別に探し(そういう窓口は用意されていないことのほうが多い)、運良く窓口が用意されていた場合には運営サイト等がそれぞれ定める書式に従って(従わなくてもいいんだろうけど)連絡をしてやらなければいけなかったわけで、それを思えば IPA による届出制度のおかげでかなり楽はできていると思います。 2. つたない内容でも良いから、知ってること教えて

    ぼくはまちちゃん!(Hatena) - IPAたんからお礼が! - 葉っぱ日記
    rna
    rna 2007/02/04
    リンク

  • 葉っぱ日記 - [雑記] [security] 『ネットランナー』にはまちちゃんインタビュー - 児童小銃 .456 11:41

    # Hamachiya2 『 > 脆弱性の公開は、修正後が基です。 え!それって誰ちゃんと誰ちゃんの間での基ルールなんでしょうか! よかったら、ぼくもこんど仲間に入れてね…!』 # otsune 『>え!それって誰ちゃんと誰ちゃんの間での基ルールなんでしょうか! いろいろ海外Security界隈で話し合った結果の「脆弱性を報告する善意な人」のルールかなぁ。(当然Crackerはそのルールを守ることを期待されていないので除外される) 逆説的に、そのルールを理解出来ないし守るつもりもみられない人は「わざととぼけたCracker」と見なされる。という話。』 # Hamachiya2『 otsuneさま教えてくれてありがとう! わーキホンだったのか、ぼくそんなの知らなくてどうしよう!とか思ってたんだけど、それをきいて安心したよ! どこかの国のセキュリティの話題が好きな人たちの集まりでのロー

    葉っぱ日記 - [雑記] [security] 『ネットランナー』にはまちちゃんインタビュー - 児童小銃 .456 11:41
    rna
    rna 2006/03/30
    はまちちゃんのキャラが見る見る黒くなっている件
    リンク
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.