3月7日の出題の解説。 例題のWebアプリケーションもどきは、クエリストリングとして与えた文字列が <input> の value にセットされる、という仕様です。 例えば、"abc"を与えた場合には、出力される HTML は <input type=text id=q name=q size=40 value=abc> となります。value属性が引用符で囲まれていませんが 「…

今週はシアトルに行けないぶんスクリプトとか頑張る週なのです。というわけで、なければ作ってしまいましょう。 maillog.vbs とかって名前で保存して、コマンドラインから C:\> maillog.vbs foo.eml とかで eml の主要なヘッダを表示します。表示したいヘッ…

ちょっと遊びでXSSする例を作ってみました。知ってる人なら3秒で突破できる簡単なものです。 http://openmya.hacker.jp/hasegawa/test/jxss.html ソースも丸見えですので、突破してみてください。ただし環境に依存しますのでお使いの環境で突破できなかった…

日本語版も出ないかなぁ。 Writing Secure Code for Windows Vista® (Developer Best Practices)作者: Michael Howard,David LeBlanc出版社/メーカー: Microsoft Press発売日: 2007/04/25メディア: ペーパーバック クリック: 2回この商品を含むブログ (1件) …

UTF-8の非最小形式による代替エンコーディングの話。古典的な攻撃方法なので、知っていて当然の話だと思っていたのですが、意外にまだ知られていないんですね。古くは Nimda の攻撃でも利用されていました…というのを調べていたら、たまたま「セキュリティホ…

スルー力ないので逐一反応してるわけですけれど、 prepared statementは話題に上りもしなかったのかしらん。O/Rマッピングなんかどうでもいい（抽象化による解決の一例にすぎない）のになんでそんな話に時間を費やすのか。（変な解説記事をベースに話をした…

17日の土曜日に、第10回まっちゃ１３９勉強会に行ってきました。風邪気味でいろんな人に心配をかけたりうつしまくったりしたみたいで申し訳ないです。以下、感想とか。 目覚まし勉強会「RSS Feed Readerへのスクリプトインジェクション」(はせがわ) 内容とし…

HTML を書く側では IE の設定は当然関与できないので、どちらかというと、ちゃんと RFC2368: The mailto URL schemeに対応して欲しい気がするんですけど、どうなんでしょう。 例示されている、mailto:name@example.com® な mailto:URIスキームを記述するので…

小板さんによるLog Parserの使い方の記事。残念ながら、いくらか問題があります。 とりあえず4ページ目のSecurityEventLog.txt は ' SecurityEventLog.txt []Select[] []Top 10[] []Number,[] []Total,[] []EventID,[] []SourceName,[] []Message[] ([]以下…

「未届けと推定される脆弱性情報が公開されているのを発見したら (takagi-hiromitsu.jp) 」。何となく注釈に反応。 *2 「自分で発見した」でないときに、「対策情報公表時の届出者情報の掲載について」で「希望する」を選択するとどうなるのか知らないが、そ…

2007年2月3日に開催された 第 2 回 Admintech.jp コミュニティ勉強会 の資料が公開されてます。 Windows Terminal Serviceを安全に使うには？ (id:wakatono さん) プログラム解析による暗号通信文の解析 (id:lumin さん) 安全なニンテンドーDSの使い方？ (id…

先日に引き続き、また選択的排除(笑) http://www.st.ryukoku.ac.jp/~kjm/security/antenna/hina.di を見ると URL: http://d.hatena.ne.jp/hasegawayosuke/ Date: Wed, 7 Feb 2007 01:13:44 GMT Last-Modified: Sun, 4 Feb 2007 16:13:03 GMTという感じ。Last…

yamagata_love_project@example.jp ﾜﾛｽｗｗ

そういえばと思って手元にある届出内容を漁ってみると、届け出たときの氏名が漢字表記とひらがな表記が混在してて、氏名「はせがわようすけ」と書いた場合でも正常に受理されてますです。以降の連絡においても「はせがわようすけ様」とか書いてありますし。…

スルー力が完全に欠如してるので、マジレスしてみるてすと。 「窓口があれば、みつけた人が教えてくれる機会がふえる」のは、 「機会がふえるような窓口があれば」→「機会がふやせる」 ではなくって、 「窓口があれば」→「個別に窓口を探す手間が省けるので…

Google で英語ページを検索する場合は、以下のようにするとよいです。 日本語で検索 まず、普通に検索したときの URL 。 google.com だったり、google.co.jp だったりするのはあまり気にしない。http://www.google.com/search?q=vox+atom+ecto&hl=ja&lr=lang…

これの修正。 IPAと遊ぶなら、こういう瞬間的なおもしろさを求めたネタよりも、末永くお付き合いした上で見られるIPAの動向のほうがよっぽど面白いと思う。大真面目に失敗してるときもありますし。 あと、あちこち見ていて思うんだけど「IPAの、氏名必須な制…

こじま先生のところのセキュリティアンテナが、はてなダイアリーの更新をうまく拾えてない話やそれに対するこじま先生の回答を見たけど、やっぱり葉っぱ日記は置いてきぼり (´・ω・｀) で、とりあえず http://www.st.ryukoku.ac.jp/~kjm/security/antenna/hi…

Fiddler / Fiddler2 のベータ版があがって、それぞれ Fiddler 1.2.2.0 および Fiddler2 2.0.8.3 になっています。 多数のバグ修正に加え、"AutoResponder" と呼ばれる機能が追加されています。これは、リクエストが設定した条件にマッチした場合に、本来の応…

「フレッシュリーダーの脆弱性に関連してSage++のこと」よりもこちらのほうが興味深い。 JPCERT/CC 開発者ベンダ登録リストは、「会社の登記簿謄本」や「会社概要」が必要と書かれているので、企業を対象とした枠組みであり個人は対象外だと私も思っていた。…

報告しただけで、発見したわけではありません(汗 ご連絡ありがとうございました＞誰となく 届出は2006年7月18日、いろいろあって受理は2006年8月11日。 Sleipnir の RSS バーでは、内部で IEコンポーネントを使用しています。Feed 内にスクリプトが含まれて…

「ポエムみたいなURL」の場合、そのURLはリソースの位置を表す事実でしかなく、またURLとして他の表記方法が存在しないならば表現とアイデアが不可分である(マージャードクトリン)といえる。そのため、URLが創作的な表現であったとしても、URLとしてそのリソ…

日時 2007 年 2 月 3 日 (土) 13:30〜 場所 マイクロソフト株式会社本社 5階 参加費 無料 セッション Windows Terminal Serviceを安全に使うには？(宮本久仁男さん)プログラム解析による暗号通信文の解析方法 (杉浦隆幸さん)安全なニンテンドーDSの使い方？(…

メモ。yohgaki's blogも。

VirtualBox という仮想マシン環境がオープンソース(GPL)になったそうです。

ヤマガタさんところのコメント経由。 Windows Vista における JIS X0213:2004 対応の説明会だそうです。2007年1月29日(月)15:00〜17:00、トスラブ赤坂会議室、1000円。講演者はマイクロソフト ディベロップメント株式会社 Windows開発統括部 阿南康宏氏だそ…

NSF2006の資料が期間限定(2007/01/11〜2007/3/31)で公開されています。

まっちゃさんところに反応。3音以上の語尾のハイフンを省略するというルールになってるのは、JIS Z8301:2005 です。というか、前に某所で書いたメールを転記。 関連するリソース的には - JIS Z8301 - 平成3年 内閣告示第二号「外来語の表記」 http://www.yam…

あとで読む。 RFC4772: Security Implications of Using the Data Encryption Standard (DES) Abstract The Data Encryption Standard (DES) is susceptible to brute-force attacks, which are well within the reach of a modestly financed adversary. As…