2008/08/22(金)金曜日ー。(プロアクティブとリアクティブ???)
[セキュリティ] * Bypassing ASP.NET "ValidateRequest" for Script Injection Attacks
経由。 ASP.NET の XSS防御フィルタの回避手法についてのホワイトペーパー。 手元の環境では、「<~/XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))>」でのスクリプトの実行は確認できませんでしたが、確かにフィルタは抜けるようです。 「~」が無ければ実行できますがフィルタにかかりますw 「~」を「%」に変えると、ただの ASP 環境だと「%」が消えて実行できたりしますが、ASP.NET だと「%」がそのまま残って実行できない? うーむ、もうちょっと真面目に読んで検証しないとダメだな。orz[雑談] * (´・ω・`)2ちゃんねるの犯罪者、金バエです (人生ちゅまんね)
名古屋駅での殺人を予告したことで逮捕&拘留されたひとの体験談。 興味深い。[セキュリティ] * Web開発者の必須知識、Webアプリの不正遷移対策とは? (CodeZine)
経由。 “「戻る」ボタンを押すと「白い画面」になる” のは、時代遅れの「不正遷移対策」だと言っていますが、キャッシュに機微情報が残らないようにしてるとか何か他に理由ないかな。[雑談] * 発表することのダークサイド (kinnekoさん)
「向き不向きがあって誰にでもできることじゃない」、「二度と立ち上がれないダメージをこうむる」、「発表できるネタないと人生ダメだなとか、発表もできないなんて業界で食べていけないというようなコンプレックスに思っちゃう人も出る」というあたりが、心にビンビンひびきましたw[出来事] * 他人の旅程にアクセス可 ジャルパック、システム不具合 (asahi.com)
経由。 識別子をずらすことで自分以外の18万人分の利用者の名前や旅行日程が閲覧できる状態だったことが利用者からの指摘で発覚。 住所や電話番号、カード番号などは漏れていない。[雑談] いろいろ。
- kikuz0uさん
経由。 ASP.NET の XSS防御フィルタの回避手法についてのホワイトペーパー。 手元の環境では、「<~/XSS/*-*/STYLE=xss:e/**/xpression(alert('XSS'))>」でのスクリプトの実行は確認できませんでしたが、確かにフィルタは抜けるようです。 「~」が無ければ実行できますがフィルタにかかりますw 「~」を「%」に変えると、ただの ASP 環境だと「%」が消えて実行できたりしますが、ASP.NET だと「%」がそのまま残って実行できない? うーむ、もうちょっと真面目に読んで検証しないとダメだな。orz[雑談] * (´・ω・`)2ちゃんねるの犯罪者、金バエです (人生ちゅまんね)
名古屋駅での殺人を予告したことで逮捕&拘留されたひとの体験談。 興味深い。[セキュリティ] * Web開発者の必須知識、Webアプリの不正遷移対策とは? (CodeZine)
- ikepyonさん
経由。 “「戻る」ボタンを押すと「白い画面」になる” のは、時代遅れの「不正遷移対策」だと言っていますが、キャッシュに機微情報が残らないようにしてるとか何か他に理由ないかな。[雑談] * 発表することのダークサイド (kinnekoさん)
「向き不向きがあって誰にでもできることじゃない」、「二度と立ち上がれないダメージをこうむる」、「発表できるネタないと人生ダメだなとか、発表もできないなんて業界で食べていけないというようなコンプレックスに思っちゃう人も出る」というあたりが、心にビンビンひびきましたw[出来事] * 他人の旅程にアクセス可 ジャルパック、システム不具合 (asahi.com)
- まっちゃさん
経由。 識別子をずらすことで自分以外の18万人分の利用者の名前や旅行日程が閲覧できる状態だったことが利用者からの指摘で発覚。 住所や電話番号、カード番号などは漏れていない。[雑談] いろいろ。
- Proactiveセキュリティ対策 vs. Reactiveセキュリティ対策 (大垣靖男さん)
- 時給1500円なんて人生バラ色じゃね? (はてな匿名ダイアリー)
- 桃をおいしく食べる方法と、失われるおばあちゃんの知恵袋 (Aobaさん)
- 心 を 折 ら れ る 画 像 (ささやかな楽しみ)
- 線路に物を投げ込んでスパークさせて遊ぶ若者たち (GIGAZINE)
- MITの学生が電車に無賃乗車する方法を論文で書いて成績トップ (GIGAZINE)
- ハンバーガーを脅し取った暴力団員、組長に代金820円を請求すると言われ支払い応じる
- 好きな人ができて変わったことランキング (gooランキング)
