2009/05/17(日)日曜日ー。(地獄で闇鍋?!)
[セキュリティ] * IIS 6.0+WebDAV: Unicodeバグの逆襲 (セキュリティホールmemo)
これは、いわゆる「Unicodeバグ」とは違うんじゃないかなぁ。 /protected/protected.zip がパスワードで守られている状況で、/..%c0%af/protected/protected.zip または /prot%c0%afected/protected.zip などに対して「Translate: f」ヘッダ付きのリクエストを送信すると、認証が回避できるという話のようですね。 前者は、確かに「Unicodeバグ」を彷彿とさせるリクエストですが、後者と合わせて考えると、ただ単に、(冗長なUTF-8エンコードの)"サニタイズ"失敗の話のように見えますね。関連: * Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
**[pdf]**[雑談] * マイホーム発電: エネファーム - よくあるご質問 (東京ガス)
ソリトンシステムズの「Net'Attest Web Application Firewall」の写真も見えますね〜。 写真を拡大してみると・・・どこかで見たような画面(←まっちゃ445で徳丸さんのデモを見た♪)と、「SiteGuard」という文字が見えていたり。 “* 海外企業からWAFエンジンを購入
” したという話は、もしや誤報?!(^-^;
これは、いわゆる「Unicodeバグ」とは違うんじゃないかなぁ。 /protected/protected.zip がパスワードで守られている状況で、/..%c0%af/protected/protected.zip または /prot%c0%afected/protected.zip などに対して「Translate: f」ヘッダ付きのリクエストを送信すると、認証が回避できるという話のようですね。 前者は、確かに「Unicodeバグ」を彷彿とさせるリクエストですが、後者と合わせて考えると、ただ単に、(冗長なUTF-8エンコードの)"サニタイズ"失敗の話のように見えますね。関連: * Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
**[pdf]**[雑談] * マイホーム発電: エネファーム - よくあるご質問 (東京ガス)
textileQ4.何年で設備投資額を回収できますか。 A.現在は商品価格が高額なため投資額回収は見込めません。こ、これは、なんていさぎよい回答なんだwww[セキュリティ] * 白黒はっきりつけたいWAFの最新事情 (ASCII.jp)
ソリトンシステムズの「Net'Attest Web Application Firewall」の写真も見えますね〜。 写真を拡大してみると・・・どこかで見たような画面(←まっちゃ445で徳丸さんのデモを見た♪)と、「SiteGuard」という文字が見えていたり。 “* 海外企業からWAFエンジンを購入
” したという話は、もしや誤報?!(^-^;