2008-01-01から1ヶ月間の記事一覧

さぼりすぎ

雑記

毎日一言くらい何か書こうと思ってたけど、やっぱり難しいです。とりあえず1週間分の絵をまとめてどーん。

昔のCPU

雑記

神戸情報セキュリティ勉強会のメーリングリストでNECのV25とかいう話が出てきたので、探してみたら現物が手元にあった。パッケージには「'86」の印刷。12年も前なのか。 奥に移っているのはi486。 iCOMP値も記載されてる。 おまけ。8088。セラミックパッケー…

UTF-7によるXSSからの防御方法

SECURITY

たぶん UTF-7 XSS Cheat Sheet を読んだ人の感想: http://twitter.com/nyaxt/statuses/596330132より 残念ながら違います。伝え方がヘタクソでごめんなさい。 UTF-7によるXSSを防ぐには、以下の対策をとれば大丈夫です。 文字エンコーディング(charset)を明…

DSAS開発者の部屋:JPCERT/CCとの「脆弱性情報ハンドリング」の記録

SECURITY

JPCERT/CCから脆弱性の連絡を受けたときの対応を公開。こういった受け手側の情報を公開するだけでもすばらしいのに、対応の姿勢がまたすごく素敵です。 参考にならないかも知れない文献: 「Namazu Project のインシデント対応 〜 中の人の告白 〜」の6ページ…

ブックマークレットを外部ファイルに書く方法(IE限定)

雑記

一昨日のWizard Bibleで紹介されていたブックマークレット本体を外部に置く方法を見ていて、似たようなのを読んだ気がしていたのを思い出したので書いてみます。 本日の参考文献: Windows Script Programming: セキュリティレベルを上げるとブックマークレッ…

利用しているブラウザ…

雑記

UTF-7 XSS Cheat Sheet のアクセスログを見ていると Firefox が全利用者の半分を超えていた。ちょっとびっくり。 Firefox56.08% Internet Explorer27.74% Safari6.51% Opera5.99% その他3.70

Wizard Bible vol.38 (2008,1,14)

SECURITY

Wizard Bible 出てますね。 Wizard Bible vol.38 (2008,1,14) …anvilの人の記事、英語なので理解できませんでしたポウンニチワポウンニチワ。 関連しそうなところ: bookmarkletの文字数制限を無くす - 川o・-・)<2nd life

本日の更新はありません。

UTF-7 XSS Cheat Sheet

SECURITY

昨日書いた UTF-7 XSS Cheat Sheet を更新しました。いちおう簡単ながら対策方法を入れたり、iframe経由な方法などを追記したりしてます。もうちょっと増やす予定。 あと、ヤマガタさんの反応を読みながら思ったんですが、一般的なXSS対策で「<」「>」などを…

UTF-7でXSSを発生させる10の方法

SECURITY

ちょっと書いてみました。毎回毎回、UTF-7に変換してURLエンコードして…とかするのがめんどくさいので、よく使うパターンを書いていこうと思います。 UTF-7 XSS Cheat Sheet 今日は眠いのでここまで。他のパターンとか解説を書き加えて、随時更新していきま…

実践 パケット解析 ― Wiresharkを使ったトラブルシューティング

BOOK

欲しい。 実践 パケット解析 ― Wiresharkを使ったトラブルシューティング 作者: 園田道夫, 一瀬小夜 出版社/メーカー: オライリージャパン 発売日: 2008/01 メディア: 単行本

パスワードのハードコーディング

雑記

まっちゃさんとこ経由。 [セキュリティ編]パスワードをプログラムに埋め込んではいけない:ITpro 結構そういうのありますよね。↓がそれに該当するのかどうかは知りませんけど。 http://www.google.com/codesearch?hl=ja&q=strcmp%5C%28%5Cs%5Cw*password%2C%…

コードをセキュアにするたった一つの作法

雑記

大切なのが抜けてる。作法を決めたら、それを首尾一貫して徹底する。Yosuke the mimic.

今年のとりあえずの目標

雑記

「IEのContent-Type無視(Content-Typeやコンテンツの内容と、ファイルタイプの決定の関係)について調べてまとめる」 前からきちんと整理しておきたいなと思いつつ調べきれていないので、ちゃんと調べてまとめておきたいなぁ…。

そろそろセキュリティ業界について一言いっとくか

雑記

よろしくお願いします。 …と言ってもWebアプリ屋さんとは接点なさそうなので、XSSとかについてはこれまでどおり素人同然のネタを書いていくと思います。

Google.comでXSS

SECURITY

そういえば、Google.com でXSSがありました。 その1:UTF-7によるXSS [Full-disclosure] XSS with UTF-7 in Google で書いたとおり、クエリのパラメータに「oe=cp932」などを付与してやることでサーバからの応答にて文字エンコーディング名が「CP932」になる…

画像ファイルに偽装したなにやら

雑記

年末くらいから何か話題になってたみたいですね。 画像ファイルに偽装した,HDDをフォーマットしようとするトロイの木馬がネットで話題に:ITpro HDDをフォーマットするブラクラ まとめwiki - トップページ 何か騒いでますね - 浅田 不二子の日記@KMS Inter…

あけましておめでとうございます。

雑記

あけましておめでとうございます。本年もよろしくお願いいたします。 実はこれを書いている今はもう1月2日なのですが、以前頂いた日めくり画像が出てきたので、せっかくなので1月1日から毎日、画像とともにできるだけ何か一言くらい書いてみることにします。…