[セキュリティ] 400 Bad Request 時の引用の長さでバージョン判定

• Apache httpOnly Cookie Disclosure (CVE-2012-0053)

---

の修正に関連して、400 Bad Request の <pre>…</pre> で表示される文字列の桁数が変化したので、これを利用すると、バージョンが隠されていても Apache 2.2.22 未満か以降かを判定できそうです。（8190文字とかのヘッダの最大長を送るよりもお手軽に確認できるので、ここでは「:」が無いリクエストで 400 Bad Request を発生させています。）↓リクエスト

textileGET / HTTP/1.0xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx|before2_2_21

↓レスポンス（Apache 2.2.22 よりも前の場合）

textile<h1>Bad Request</h1><p>Your browser sent a request that this server could not understand.<br />Request header field is missing ':' separator.<br /><pre>xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx|before2_2_21</pre>

↓レスポンス（Apache 2.2.22 以降の場合）

textile<h1>Bad Request</h1><p>Your browser sent a request that this server could not understand.<br />Request header field is missing ':' separator.<br /><pre>xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx</pre>

※80桁を超える部分がカットされています。[雑談] いろいろ。

• "イカタコウイルス"の著作権は？ (阿曽山大噴火「裁判Ｓｈｏｗへ行こう」)

---

• 「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 (徳丸さん)

---

• Apache httpOnly Cookie Disclosure (Norman Hippert)

---

• 「脆弱性体験学習ツールAppGoatハンズオンセミナー」開催のご案内 (IPA)

---

• “500万台感染のAndroidウイルス”、正体はアドウエアの可能性大 (ITpro)

---

• 悪質な HTML ファイルが添付された電子メール (Symantec Connect Community)

---

• 「高まるセキュリティの懸念、一人ひとりが適切な対応を」―官房長官 (ITpro)

---

• ベリサインの証明書バンドル「脆弱性アセスメント」でWAF斡旋 (ASCII.jp)

---

• コンピューターウイルスの撮影に成功 千葉電波大 (虚構新聞社)

---

• ２８日朝“震度５弱”は予兆か 専門家が“富士山”噴火を警戒！ (ネギ速)

---

• 悲しい「５・７・５」を「７・７」で幸せにするスレ (まめ速)