続: そろそろUTF-7について一言いっとくか - 葉っぱ日記
史上空前のEUC-JPブームはとりあえずおいておいて、今日も最強の文字コードであるUTF-7について。 これまで私の中では、UTF-7によるXSSを避けるためには、Shift_JISやUTF-8といった、IEが受け入れ可能なcharsetをHTTPレスポンスヘッダまたは<meta>で明記してやればよいという理解でした。 具体的には、HTTPレスポンスヘッダで Content-Type: text/html; charset=Shift_JIS とするか、生成するHTML内で <meta http=equiv="Content-Type" content="text/html; charset=Shift_JIS"> とすれば、UTF-7によるXSSは防げると思っていました。ところが、後者の<meta>によるcharsetの指定では、条件によってXSSが防げないことがあるということに気付きま
Internet Explorer への Web 標準対応に関するフィードバック - 葉っぱ日記
史上空前の簡単なお仕事ブームのなか、現在の Internet Explorer 6/7 における Web 標準技術への対応における問題点や要望をフィードバックするだけの簡単なお仕事があるそうです。ユーザ登録するだけで誰でもできる簡単なお仕事です。 五寳さんのブログ「徒然 SBS - TUREZURE SBS: Mozilla24 イベントを終えて」より。ユーザ登録の方法はこちら。 とりあえず以下のような内容のものを1件提出してみました。これ以外にもいろいろ思うところはありますのでヒマをみて出してみます。 要望 サーバから返される Content-Type: に従ってファイルタイプを決定して欲しい。 Content-Type:が未知の場合はダウンロードダイアログを表示するようにして 欲しい。 現状の問題点 Content-Type:がレジストリに未登録の場合、(諸々の条件はあるが、概ね) U
そろそろ入力値検証に関して一言いっとくか: Webアプリケーション脆弱性対策としての入力値検証について - 徳丸浩の日記(2007-09-05)
_ Webアプリケーション脆弱性対策としての入力値検証について Webアプリケーションのセキュリティ対策としての「入力値検証」について色々言われている。セキュアコーディングの基本は入力値検証だといわれたり、さほど重要でないと言われたりしている。本当のところはどうなのだろうか。以下、バイナリデータを扱う場合の多いミドルウェア(Webサーバーなど)と対比しながら、この問題を掘り下げたい。 バイナリデータの場合(≒ミドルウェアの場合) バイナリデータでは、入力検証が重要である。少し前にmod_imagefightを取り上げた(画像版サニタイズ言うな(2))ので、ビットマップ画像を例に説明しよう。 その際に使用したBMP形式の説明を再掲する。 0000:MARK(2) ='BM' 0002:ファイルサイズ(4) * 0006:予約1(2) =0 0008:予約2(2) =0 000A:ビットマップ
入力時に文字参照に変換するのがよろしくない理由 | 水無月ばけらのえび日記
「Twitterのクロスサイト・スクリプティング(XSS)対策は変だ (www.tokumaru.org)」。文字参照に変換した状態で DB に格納しているというのは、けっこう良くある話だろうと思います。この手のエスケープしすぎによる化けは、twitter に限らず、よく見かけますので……。 ※HTML のエスケープに限らず、入力欄に \ を入れて検索すると \\ に化けて、検索ボタンを押すたびに \ が増殖していくという面白いシステムも良くありますね。 一昔前のフリーの掲示板 CGI などでは、フォームの値を読み取るところで < → < " → " のように文字参照に変換してしまうのが一般的でした。この手のアプリケーションは、 絶対に HTML にしかデータを出力しないフォームからの入力以外のデータを処理しない作者が一人で開発しているので、出力時の処理も把握しているという
TAKESAKO @ Yet another Cybozu Labs: 第1回XSS祭り(サニタイズ勉強会)
ついカッとなって企画された第1回XSS祭り、ネタかと思っていましたが、先日の日曜日に開催され、無事終了しました。 XSS本の洋書 XSS Attacks: Cross Site Scripting Exploits and Defense が日本に届いたので、 このタイミングに最近のXSSの傾向を整理して、それらの攻撃を防御する手法についてみんなで勉強しました。 実際、本の内容にはあんまり触れなかったですけど。ネタでAnti-Anti-Antiとか。 終始まったりとした雰囲気の中、参加者の飛び入りプレゼンやSkype中継もあったりと、大変楽しい勉強会でした。 参加者が参加者だけに、国内(世界的にも)最先端の話を共有することができて、有意義な時間を過ごすことができました。 (詳細はあとで書く。) わざわざ、この勉強会のためだけに新幹線で上京された方もいらっしゃったとのことで、 その熱意には感
#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか | gihyo.jp
小飼弾のアルファギークに逢いたい♥ #6IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(中編) はまちちゃんはいかにしてXSS/CSRFを見つけるか 天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の中編です。 編集部注) 本対談は2007年3月に行われたものです。 こんにちはこんにちは! 弾:はまちちゃんはいつ頃から「こんにちは」に興味が出てきたの? は:確かmixiを始めた2年前くらいかな。mixiってブログと違って、日記にコメントがたくさんつくのがおもしろくてハマってて。毎日見てるうちにおもしろい現象を見かけたんです。たまたま誰かが「ラーメン」ってタイトルの日記書いたんですよ。そしたらほかの人もつられて「ラーメン」って日記を書き出して、それがマイミクのマイミクまでどんどん伝染していっちゃって、その日の日記一覧が全部「ラーメン」になっち
第3回 Web 2.0で事態が悪化
前回ではWeb 2.0の興隆とともに,JavaScriptが多用され,使用をできないようにするととたんに,Webが使い物にならなくなる現状が,脅威を生んでいることを示した。今回は,RSSといった新しい技術や,ユーザーからの情報公開といったWeb 2.0の特徴がさらに火に油を注ぐことになることを示す。 RSS,ATOMのリーダー・ソフトなど新しいアプリケーションの台頭は,ブラウザ以外にもJavaScript実行環境が増えることにほかならない。 RSSやATOMのリーダー・ソフトは本来,最新情報のリストを表示するための仕組み。JavaScriptを解釈する必要はない。しかし多くが,Internet Explorerなど既存のソフトのコンポーネントを使用してリストを表示しているため,JavaScriptを解釈してしまうケースがある。 実際,無償で配布されているRSSリーダーのいくつかでXSSのぜ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
