LANケーブルを中継するように接続するだけでウイルス侵入・データ盗難の防止だそうで…。 たまたま入った店で見かけた商品。3000円くらいだったのでネタに購入すればよかった。

今年も例年通りセキュリティ＆プログラミングキャンプが開催されます! //www.jipdec.or.jp/camp/index.html" title="セキュリティ＆プログラミングキャンプ2009" style="color:black;text-decoration:none">セキュリティ＆プログラミングキャンプ2009:http:/…

配列の添え字にマイナスの値。 javascript:"abcde"[-1] // length javascript:(function(){ alert( arguments[-1] ) })(1,2,3) // argument.length javascript:(function(){ alert( arguments[-3] ) })() // toSource() windowの取得。直接 alert って書けな…

Gareth HeyesさんがHackvertorに hasegawa タグを追加してjjencode機能を実装してくれました！ すげーーーーーー! ちなみに、単純に alert するだけじゃなく eval 相当なので好きなJavaScriptプログラムが記号だけで書けます！ javascript:$$=-~-~[],$=-~$$,…

オライリージャパン様から献本をいただきました。ありがとうございます。 実践 デバッグ技法 ―GDB、DDD、Eclipseによるデバッギング作者: Norman Matloff,Peter Salzman,相川愛三出版社/メーカー: オライリージャパン発売日: 2009/06/08メディア: 大型本購入…

見落としてないよ。 アルファベット禁止でjavascriptを書いてみた - sub Diary (仮) …ね、簡単でしょう？ お詫びというのも変だけど、もっと複雑にしてみた。これで、alert 出す JavaScript からアルファベットと数値を取り除けます(Firefox限定)。今は固定…

IE限定。外から指定されるcharsetに応じて挙動を変えるJavaScriptの関数の実装例。以下のコードを Shift_JIS として例えば charset.js のような名前で保存する。 function detectCharSet() { try{ var ADE = 'ｱｱ'; // 0xB1 x2 if(+ADE-0 == 10 ){ return 'UT…

まったく役に立たない。IEのときだけVBScriptとして動く。芸風がますますTAKESAKOさんに似てきたという説 <script la[0x00]nguage="vbscript" language="javascript"> rem = null; foo = function( msg ){ rem /* Function foo( msg ) rem */ MsgBox = alert; MsgBox(msg) rem /* End Function : rem */ } </script> ...

言語牧場 (Kanasansoft Web Lab.) じゃあ、JavaScriptとVB6を交配してみよう。 ... それってJScript!!! IE限定ならクライアントサイドVBScriptでいいじゃん!!! VBScript と JScript はとっても仲がいいので、かんたんに交配させることができます。例えば、1…

http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/05.html#20090513__Google2より 任意の期間には設定できないのかな。 適当にパラメータ指定すればできますね。http://www.google.com/search?q=TAKESAKO&hl=ja&lr=lang_ja&sa=N&output=search&tbs=qdr:…

Black Hat Japan について - kana０ｘ８０の日記より。 今年の Black Hat Japan はお休みとなりました。来年以降の目途もいまのところ未定です。 今まで日本（格別に東京は）他のアジア諸国に比べて大変恵まれてきました。自分たちがカンファレンスを立ち上…

こんにちは！近頃咳と痰と鼻水と鼻づまりがすごく多い、金曜日の天使ことhasegawayosukeです。 ActivePerlで任意のx86バイナリを実行しているようなときには、バイナリ部分のデバッグに結構手間取るときがあります。あまり準備に手間をかけずに気合いだけでa…

「デバッグに関してきちんと説明した本が新しく出た」と聞いたので、さっそく買いました。連休中にしっかり読んで、printfデバッグを卒業して基板系プログラマになろうと思います。 となりは大きさ比較のためのギャンのプラモデルの箱。 とりあえづ DebugHac…

昨日開催された Shibuya Perl Mongersテクニカルトーク#11で「Windowsユーザのための初めてのPerlプログラミング」というテーマでLTしてきました。なかなかゆっくり説明はできなかったので、デモとして用意しておいたコードを貼っておきます。(追記)プレゼン…

こんにちは、火曜日の担当、素敵なレディーことhasegawayosukeです。 Shibuya.pm を見に行きたいと言うだけの理由で最近 Perlを始めたのですが、Perlといえばググるより前にperldoc。というわけで、ActivePerlについてるperldocを見てみました。 Windowsでも…

C#のように実行環境が高度に抽象化された言語でプログラミングしているとき、実行マシンのCPUを判別してプログラムの処理を分岐したいときがよくでてくると思います。 そういうときに困ってしまわないように Acme::x86::CPUID みたいなのを作ってみました。 …

ActivePerl (Windows版) には DynaLoader が付属しているので、今日からすぐに DynaLoader::dl_install_xsub を利用したプログラミングが出来ます。 簡単なメッセージボックスを表示するPerlプログラムは以下になります。 #!/usr/bin/perl use DynaLoader; s…

教科書に載らないWebアプリケーションセキュリティ ［これはひどい］IEの引用符の解釈 − ＠IT 連載：本当は怖い文字コードの話｜gihyo.jp … 技術評論社 第1回 UTF-7によるクロスサイトスクリプティング攻撃［前編 すでにネタ切れという噂ですが、ぼちぼち頑…

http://d.hatena.ne.jp/hoshikuzu/20090318#p2 プラス記号は表記してないだけで使ってることに変わりないのでこれはダメですね。 strC = eval( decodeURIComponent("strA%2BstrB")); strC = eval( "strA\x2BstrB" ); これはJavaScriptの枠組みを超えてるので…

世間の認識と脅威レベルのギャップ――XSSは本当に危ないか？ − ＠IT これらをみて、対策が必要だと感じる人が、ビジネスの規模と相談して対策をすればよいと思っています。 「ＸＳＳは情報保護が必要なサイトだけではなく、全てのサイトで考慮しなければなら…

2月7日にセキュリティ＆プログラミングキャンプ・キャラバン 京都にて講演を行いました。参加してくださったみなさん、ありがとうございました。資料を http://utf-8.jp/public/20090207/h6.html?file=data.txt に掲載しておきます(キャラバン札幌もほぼ同一…

やぁ、みんな，元気？長谷川陽介です。今日はIE8 RC1のXSSフィルタの改善点をこっそり教えちゃうよ。 いつもは攻撃側でひらがなの名前でやってるんだけど，きょうは防御側ということで，名乗りも漢字に変えたんだ。だってさ，Microsoft SWIのDavid Rossさん…

よくわからない間によくわからないパネルディスカッションでおとなしく座っている役目を仰せつかりました。とりあえず、はまちちゃんに会えるのはそれほど楽しみでもないですけど、14歳の美少女が来るのならちょっと楽しみですね!! http://www.seshop.com/ev…

昨日に続き、CERT/CCのアドバイザリも訳しておきました。間違いや指摘があればツッコミください。結局、まとめると Vista、Server 2008 は MS08-038 を、それ以外は KB953252 を当ててね、ということでいいのかな。 Vulnerability Note VU#889747 Microsoft …

レジストリでAutoRunを無効にしたときの注意点に関して、元ネタとなっている Vulnerability Analysis Blog: The Dangers of Windows AutoRun を翻訳してみました。間違いや指摘があればツッコミください。 The Dangers of Windows AutoRun By Will Dormann o…

セキュリティ＆プログラミングキャンプ・キャラバン札幌に行ってきました。参加頂いたみなさん、中継を見てくださったみなさん、会場準備や受付、中継などあらゆる面で力を発揮してくださったLOCAL、せきゅぱこ、セキュポロのみなさん、ありがとうございまし…

「2008年12月の緊急注意喚起の続報〜SQLインジェクション攻撃の変化について | LAC」で書かれている文字列を考えてみる。考えるというほど考えてないけど。

2009年2月7日、京都大学 学術情報メディアセンターで開催される「セキュリティ&プログラミング キャンプ・キャラバン 京都」で講師をやります。社会人の方も参加できますので、お近くの方はぜひご参加くださいませ。 あと、セキュリティ＆プログラミングキャ…

1月17日の札幌、1月31日の金沢はかなり事前申し込みが多いようで、特に札幌はすでに定員の7割くらいの申込がきているそうです。もしかしたらキャラバン始まって以来初の事前申し込みの締め切りとなるかも。ということで、まだ迷っている人はぜひお早目に申し…