やっぱり企業としては、こういうのあるのは頂けないよね。中の人いわく「弊社の Web サイトのリダイレクタが不正利用されていることを確認させていただきました。」だそうで。2008年12月26日に届け出、2008年12月29日に修正完了。

先日リリースされたMS08-056で修正された脆弱性です。 マイクロソフト セキュリティ情報 MS08-056 - 警告 : Microsoft Office の脆弱性により、情報の漏えいが起こる (957699) 概要 Microsoft Officeをインストールした際にサポートされる、cdoプロトコルハ…

何人かの知人からBlack Hat Japan 2008のCFP応募したら？と勧められたので、会社の人に英訳を手伝ってもらいながら出したら審査通ったようです。「Webは簡単で退屈だから興味が湧かない」と言ってるような人たちでもワクワクするような文字コードねたを披露…

えむけいさんに IE8標準モードではexpressionそのものが廃止されたので、 http://support.microsoft.com/kb/949787/en-us ヘッダに「X-UA-Compatible: IE=8」を入れたら動かなくなりました。 というコメントをもらったので、expression を使わないパターンを…

IE8 beta 2 が出たというので、XSS Filter で遊んでみたら、5分くらいで簡単に貫通した。 攻撃対象が Shift_JIS で書かれているときに http://example.com/cgi-bin/test.cgi?q=a%20style=a%81::expression(alert(1))みたいなリクエストを投げると、スクリプ…

というわけで、第01回まっちゃ４４５勉強会の午前のライトニングトークで、「押さえておきたいIE8のセキュリティ新機能」という感じの話をします。↓こんな感じ！

IEBlog : IE8 Security Part V: Comprehensive Protection について、著者ではないのですが、David Rossさんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこ…

IEBlog : IE8 Security Part IV: The XSS Filter について、記事を書いた David Ross さんに翻訳許可をもらいましたので、訳してみました。誤訳や指摘がありましたらガンガン突っ込みをお願いいたします(他の記事も時間をとって訳していこうと思います)。当…

2004年から開催されているセキュリティキャンプが今年もやってきました。今年はプログラミングも併設されるようです。 22歳以下の学生・生徒限定で、しかも無料だなんて なんてうらやましい！俺も参加したい！ と念じていたら、 今年は講師として参加するこ…

最近、日経SYSTEMSが間違いだらけの記事を公開した件について XSS Mongers から痛烈に DIS られたりしているのだが、それについて解説しておこう。発端はライブドアの伊勢さんのこの記事http://itpro.nikkeibp.co.jp/article/COLUMN/20080528/304429/である…

お知らせ ■【JVN iPedia 専用】利用者要望問い合わせ窓口 - 宛先 vuln-inq@ipa.go.jp JVN iPedia をご利用になられたご感想／ご要望を承ります。 - 件名 ※件名に【JVN iPedia】を付加していただけます様、お願い致します。JVN iPedia - 脆弱性対策情報データ…

情報処理推進機構：情報セキュリティ：ソフトウエア等の脆弱性関連情報に関する届出状況2008年第1四半期 件数はともかくとして気になったのは以下の点です。 これは、ウェブサイトが文字コードを指定しない場合におけるウェブブラウザの文字コードの解釈に関…

というわけで、UTF-7によるXSSを修正したNamazuがリリースされました。特に、英語環境でNamazuを動かしている場合にはXSSが発生しやすいようですので、念のため確認して必要に応じてバージョンアップしておきましょう。 Web ブラウザのエンコード自動認識の…

IPAによる「安全なウェブサイトの作り方」の改定第3版が出ていました。あちこちにUTF-7によるXSSネタが出てきているんですが、いくつか気になる点がありました。 まずはP.25から。 HTTP のレスポンスヘッダのContent-Type フィールドには、「Content-Type:te…

…のかどうかは知りませんが、噂ではyamagata21さんは初めてPHPでWebアプリケーションを書いたそうで、それでもこんなにXSSまみれのWebアプリケーションが簡単に書けてしまうなんて、PHPってすごいと思いました。 XSS Challenges (by yamagata21) - Stage #1 …

たぶん UTF-7 XSS Cheat Sheet を読んだ人の感想: http://twitter.com/nyaxt/statuses/596330132より 残念ながら違います。伝え方がヘタクソでごめんなさい。 UTF-7によるXSSを防ぐには、以下の対策をとれば大丈夫です。 文字エンコーディング(charset)を明…

JPCERT/CCから脆弱性の連絡を受けたときの対応を公開。こういった受け手側の情報を公開するだけでもすばらしいのに、対応の姿勢がまたすごく素敵です。 参考にならないかも知れない文献: 「Namazu Project のインシデント対応 〜 中の人の告白 〜」の6ページ…

Wizard Bible 出てますね。 Wizard Bible vol.38 (2008,1,14) …anvilの人の記事、英語なので理解できませんでしたﾎﾟｳﾝﾆﾁﾜﾎﾟｳﾝﾆﾁﾜ。 関連しそうなところ: bookmarkletの文字数制限を無くす - 川o・-・）＜2nd life

昨日書いた UTF-7 XSS Cheat Sheet を更新しました。いちおう簡単ながら対策方法を入れたり、iframe経由な方法などを追記したりしてます。もうちょっと増やす予定。 あと、ヤマガタさんの反応を読みながら思ったんですが、一般的なXSS対策で「<」「>」などを…

ちょっと書いてみました。毎回毎回、UTF-7に変換してURLエンコードして…とかするのがめんどくさいので、よく使うパターンを書いていこうと思います。 UTF-7 XSS Cheat Sheet 今日は眠いのでここまで。他のパターンとか解説を書き加えて、随時更新していきま…

そういえば、Google.com でXSSがありました。 その1：UTF-7によるXSS [Full-disclosure] XSS with UTF-7 in Google で書いたとおり、クエリのパラメータに「oe=cp932」などを付与してやることでサーバからの応答にて文字エンコーディング名が「CP932」になる…

最近あちこちで「日記書くのサボってるよね」とか言われたので、サボってるわけじゃなくって書くネタがないだけだけど、無理やり2007年のXSSを振り返ってみるというネタで書いてみます。以下、著名サイトで見つけたXSSです。 産業技術総合研究所のXSS 404応…

ヌルい勉強会(仮称)に参加してきました。参加したみなさま、電車が遅延してるなかお疲れ様でした。首謀者の mincemaker さん、大赤字でご苦労様でした。次回は特定個人に負担がかかりすぎないようにもうちょっと考えましょう。 セキュリティホール memo につ…

史上空前のEUC-JPブームはとりあえずおいておいて、今日も最強の文字コードであるUTF-7について。 これまで私の中では、UTF-7によるXSSを避けるためには、Shift_JISやUTF-8といった、IEが受け入れ可能なcharsetをHTTPレスポンスヘッダまたは<meta>で明記してやれば</meta>…

XMLをHTMLと勘違いさせるだけの簡単なお仕事です。このあたりに書いた方法の実例。関連記事: Was IBM.com at Cross-Site Scripting Risk?

このあたりとか見ながら、ImageFightをApacheのない環境でも動くようにしようとか思っている間に*1、さっさと対策されましたがそのまま埋没させておくのももったいないので、ImageFightを破る方法の一案をいちおう書いておきます。なんか説明が適当で日本語…

Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実…

ITmedia エンタープライズ：FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開 US-CERT Vulnerability Note VU#783400 Mozilla Security Blog » Blog Archives » Launching local programs through FileType handler 非常に簡単なPoCで、Firef…

UTF-7を利用したXSSは、charset が指定されていない場合に発生すると考えられていますが、少なくとも Internet Explorer においては、これは大きな間違いです。正しくは、Internet Explorer が認識できる charset が指定されていない場合であり、charsetが付…

JVNの常連である福森さんの記事。 1ページ目の最終段が このように不正なスクリプトを入力されたとしても，それをそのまま出力しないでエスケープ処理を行ってから出力することが，クロスサイトスクリプティング対策になります。で終ってますが、ここで終っ…