2009/02/14(土)土曜日ー。(今日は何の日? 煮干しの日。)
[セキュリティ] UTF-7 の XSS を WAF で防ぐ?昨日のデブサミの WAF のデモで、UTF-7 の XSS がシグネーチャで検知されて防御されていた場面がありましたが、あれは、徳丸さんもご指摘の通り、alert() または document.cookie などの断片が引っかかっただけのように思われますね。 UTF-7 については、下記の「過剰」のように表現することも出来るので、これを誤検知なくシグネーチャで検知させるのは、エンジン側で Base64 のデコードに対応しない限り難しそう。 (エンジンで対応したら重くなりそう。 対応してる WAFってあるのかな?)
textile元々: <script>alert(document.cookie);</script>通常: +ADw-script+AD4-alert(document.cookie)+ADsAPA-/script+AD4-過剰: +ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKABkAG8AYwB1AG0AZQBuAHQALgBjAG8AbwBrAGkAZQApADsAPAAvAHMAYwByAGkAcAB0AD4-``textile元々: "><ScRiPt>alert(document.cookie);</sCrIpT>通常: +ACIAPgA8-ScRiPt+AD4-alert(document.cookie)+ADsAPA-/sCrIpT+AD4-過剰: +ACIAPgA8AFMAYwBSAGkAUAB0AD4AYQBsAGUAcgB0ACgAZABvAGMAdQBtAGUAbgB0AC4AYwBvAG8AawBpAGUAKQA7ADwALwBzAEMAcgBJAHAAVAA+-
``textile元々: @">@<input style="xss:expression(alert(document.cookie))">通常: +AEAAIgA+AEAAPA-input style+AD0AIg-xss:expression(alert(document.cookie))+ACIAPg-過剰: +AEAAIgA+AEAAPABpAG4AcAB1AHQAIABzAHQAeQBsAGUAPQAiAHgAcwBzADoAZQB4AHAAcgBlAHMAcwBpAG8AbgAoAGEAbABlAHIAdAAoAGQAbwBjAHUAbQBlAG4AdAAuAGMAbwBvAGsAaQBlACkAKQAiAD4-ちなみに、デモに使われていた WAF では、Base64 のデコードには対応していませんが、その代わりに、Content-Type: ヘッダに、ユーザ指定の charset を追加する機能があるので、そちらで UTF-7 の XSS に対応しています、ということのようです。[雑談] いろいろ。
- チョコレートと交換でパスワードを教えた人、7割を超える--英調査 (CNET)
- 「マルウェアアカデミー賞」はブラッド・ピットとトム・クルーズ (IMPRESS)
- 不審者を自動認識、音声で注意 ATMに振り込め詐欺防止システム (ITmedia)
- セキュリティの専門家が語る「不思議の国、日本」 (ITmedia)
- オルタナブログ通信: 経済産業省の“セキュリーナ”が狙い過ぎな件 (ITmedia)
- デジタル一眼レフにライブビュー搭載のワケ (ExciteBit)
- 日本人なら必ず誤訳する英文 (404 Blog Not Found)
- 客室乗務員は時給1000円!? あこがれの仕事の現実 (J-CASTニュース)
- 科学なニュースとニュースの科学: 種子島に行きたい! (ITmedia)
- カナダの学生、自作の無線機で宇宙にいる人と交信する (GIZMODO)
- イスラエル製の「うろつく」ミサイルシステム (GIGAZINE)
- 20世紀のインターネットを思い出すカーペット (GIZMODO)
- あの超大作RPG「重大な不具合」でまたも延期─発売は56億7千万年後 (bogusnews)
- 「テレビがつまらなくなったのは、Youtubeなど様々なメディアが登場したから」
- Wikipedia人口減りすぎてオワタ\(^o^)/ (アルファルファモザイク)
- バレンタインに検索すると「危ない」有名人カップルは? (ITmedia)
- 告白するタイミングを教えてくれる!? 腕時計「Loves Me」 (GIZMODO)