http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3843 http://www.procheckup.com/PDFs/bypassing-dot-NET-ValidateRequest.pdf動かない！動かない！って思ったら騙されてるだけだった。サンプルコードをコピペして動かすまで気付かなかった。 <tagname <~/XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))>チル</tagname>…

http://d.hatena.ne.jp/teracc/20080225#1203957135 寺田さんの日記より 私が問題だと思うのは、「hiddenの改竄」はWebアプリケーションの開発者の人たちに割と認知されているようですが、セッション変数を使う場合に生じうることは、一般に余り認知されてい…

http://www.adobe.com/support/security/bulletins/apsb07-20.html Adobe would like to thank Toshiharu Sugiyama of UBsecure, Inc. and JPCERT/CC for reporting the cross-domain policy file issue and the HTTP header issue and for working with us …

ドメインの中には、技術文書内での例示に使用できるようあらかじめ予約されているものがあります。 これは、予約ドメインと呼ばれるもので、RFC2606には以下の3つが定義されています。 example.com example.net example.org しかし、これだとセカンドレベル…

HTMLからnull文字をPOSTする方法を調べていたら、こんな時間になってしまいました。 数値文字参照とか\x00とかでは駄目なのですね・・・ %00じゃないホントのnullが送りたい。 出来るのか出来ないのかすらよく分らない。 勉強が足りないな・・・

価格をPOSTすることの是非が議論されているようですが、これ単体を取って脆弱であると判断するのは確かに微妙ですね。 一般的に商品の価格は永久に固定である訳ではなく更新される可能性があります。そういえば、マクドナルドでも価格の改定がありましたね。…

スタックトレースなどアプリケーションが吐き出す詳細な例外情報が出力されてしまうことは、セキュリティ上あまり望ましくありません。この情報を使用して攻撃を仕掛けてくる悪い人達がいるかもしれないからです。 この問題を防ぐための選択肢は2通りあると…

http://www.securiteam.com/unixfocus/6H0040KKKU.html メソッドってFlashから操作出来るんですかね？ 出来ないと思っていたのだけれど・・・

StrutsのRequestProcessorは、BeanUtils.populate(Object bean, Map properties)を使用して、リクエストパラメータをActionFormへ格納する。 BeanUtilsは、リフレクションAPIを簡易に扱うためのラッパーであり、上記メソッドはMapのキーに対応するbeanのプロ…

リクエストヘッダにcharset情報が入っていないのは嫌がらせとしか思えない。困る。

最近、コード解析ツールにものすごく興味が湧いてきた。 今までは、どうせ誤検知ばっかで重大な問題は見つけられなかったりすんじゃない？と否定的だったのだけれど、そうでもないかもしれなくない？という感覚がふつふつと沸いてきた感じ。今の仕事に飽きて…

IPAに報告した脆弱性情報が先日公開されました。 http://jvn.jp/jp/JVN%2316535199/index.html結果としてはTomcatの脆弱性であると位置付けられてしまったのですが、Strutsの脆弱性として報告をあげていた問題です。 概要は、Strutsが提供するHTML用タグライ…

今まで見逃してたけど、CookieMonsterの対策方法はRFC2965に書いてあった。 http://www.ietf.org/rfc/rfc2965.txt 7.2 Cookie Spoofing Proper application design can avoid spoofing attacks from related domains. Consider: 1. User agent makes request…

HTTP/1.1 200 OK Refresh: 0; URL=http://example.com Content-Length: 0 こんな書き方で動くんだ。

まとめたい。 フレームワークが持つ脆弱性に対して、開発者はどこまで認識すべきか 既知の問題だけ認識すればよいか？ 未知の問題に対してどう取り組むべきか フレームワークを使用する場合、開発者はどこまでテストすべきか フレームワーク固有の問題に関し…

'Apache Multiple Injection Vulnerabilities' - SecuriTeam ニセ脆弱性？

Apache,IISはchunkedリクエストに反応する GET / HTTP/1.1 Host: localhost Transfer-Encoding: chunked 4 hoge 0

shift-jis Java → %→null Nullpo %A→null Nullpo %A1→? %81→? ASP.NET → %→% %A→%A %A1→? %81→

最近、「セキュリティ対策はきりがない、いたちごっこになるだけじゃないか。」という声を耳にすることがよくあります。年々新しい攻撃手法が発見されるため、いつまで経っても安心できない、というのが理由のようです。 ただ、正しく実装している限り、いた…

遅ればせながらCometという新しい技術が話題になっていることを知りました。 http://blog.japan.cnet.com/kenn/archives/003149.htmlより引用 チャット・アプリケーションでは、複数のユーザから不定期にメッセージが送信され、それが他の参加者に一斉に配信…

HTTPとHTTPSを併用しログイン後の画面遷移はHTTPSしか許可しないサイトでの安全なセッション管理その２ - masaのメモ置き場 の続き セッション管理に使用するCookieと認証状態の管理に使用するCookieが独立して存在するため、認証CookieにSecure属性を設定す…

「ログイン時にSecure属性付きのセッションCookieを再発行する実装の実現性」をASP.NETにおいて検証しました。 ASP.NET1.1 ASP.NET1.1でセッション破棄の処理を実装する場合には、Session.Abandonメソッドを使用します。ここでSession.Abandonを使用したセッ…

HTTPとHTTPSを併用するサイトでの安全なセッション管理 - masaのメモ置き場 の続き おっと、ログイン後の画面遷移はHTTPSしか許可しない前提だったら、ログイン時にSecure属性付きのセッションCookie再発行してあげれば終わりですね。前提がごっちゃになって…

12/12 22:40 こっちが正解？自信なし・・・ 考慮すべきは、 HTTPのページにアクセスするとセッション情報が奪われてしまう可能性がある HTTPのページにアクセスするとセッション情報が操作されてしまう可能性がある 2重ログインでセッション情報が奪われてし…

エスケープだけしてれば、セキュリティ対策が万全になる訳ではないですよ - masaのメモ置き場 の話について、高木さんより「PreparedStatementを使いなさい、動的パラメータの例は分岐で処理しなさい」、という趣旨のコメントを頂いてしまった。まだ、もやも…

本題 「サニタイズ言うなキャンペーン」私の解釈 読みました。分かりやすくとてもよい記事だと思いますが、ホワイトリスト型のアプローチが補助的な対策であるとも読み取れてしまうこともありそうなため、エスケープだけしておけば大丈夫という誤った認識を…

ちょっと古いけど、 2006-03-27 2006-03-28 ここら辺の問題を、Servlet(Tomcat5.5)を使っていろいろ試してみました。 public class BreakQuote extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws …

高木浩光＠自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない, 駄目な技術文書の見分け方 その1の2 この前書いたのは、読み違えでぼろぼろだったので、もう一度よく考えてみました。 つまり、リンクをクリックしてのジャンプかど…

高木浩光＠自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない, 駄目な技術文書の見分け方 その1の2 高木さんの日記を見たけれど、RFC違反を持ち出して議論を進めていくのはどうだろう・・・ 私は高木さんの解釈が間違っていると思…

最近有名になったヘッダがブラックリストに追加されてるみたいです。ヘッダ操作が禁止になったわけではなく、ブラックリストが追加という、想定していためんどくさい状況になっています。