10月6日のtwitterセキュリティクラスタ
昨日はjjencodeが悪用されるという事件が起こりました。悪い人は悪いことに使う手段を見つけるのが本当に上手ですよね。
shu_tom: 記号だけでインジェクション!? http://bit.ly/bG6lc3
hasegawayosuke: jjencode is now used for actual attack! umm... http://bit.ly/aC9O76 http://bit.ly/9h2PDZ
hasegawayosuke: joomla を利用している複数のサイトにおいて、「記号だけで難読化された」JavaScriptを埋め込まれる攻撃が複数発生しているようです。 http://bit.ly/aC9O76 http://bit.ly/9h2PDZ
hasegawayosuke: ううむ。完璧に jjencode で生成したやつだな。ちょっとくらいヒネれ。
dankogai: こういう利用法がありうることは、前回のSDの連載 http://ht.ly/2P5lj で指摘したけど、実際にやられるといやなものだねえ<@hasegawayosuke: jjencode is now used for actual attack!...
へええ。改変の余地はあるのですか。
Coins_FKD: jjencodeはコードを短くするためにグローバル変数を使ってるけど、コードの長さを代償にしてグローバルを汚染せずに済ませることもできる
そして、もう1つ話題なのはメタ情報によるXSS。何でも適当にスクリプト投げておけば、相手が勝手に拾ってくれて運がよければXSSできたりするのでしょうか。
ntsuji: コンセプトがワクワクしましたよ。 「メタ情報によるXSS」 http://www.geekpage.jp/blog/?id=2010/10/6/1
tomoki0sanaki: 至極当然だけど、一応リンク 「メタ情報によるXSS http://bit.ly/c9Wtn8」。とにかくエスケープしとけ!
dankogai: host x.ss → host x.ss → Host x.ss has address <script>alert('こんにちはこんにちは')</script> / Geekなぺーじ : メタ情報によるXSS http://htn.to/wLoY2e
ockeghem: RefererにJS仕込むのと一緒で、出力時にエスケープすることを徹底すればよいだけのこと。DNSやSSLの詳細を勉強しなくても防御は可能です。勉強すること自体は良いことなので止めませんがw / Geekなぺーじ : メタ情報によるX… http://htn.to/mn8uSB
そしてもう1つXSS関連。本当?
masa141421356: これが本当(text/html 固定で charset指定できない)だとしたら XSS し放題に見えるけどどうなの? http://d.hatena.ne.jp/shim0mura/20100609/1276880566
まあ、セキュリティとストーキングは似てなくもないですがw
ntsuji: セキュリティストーキングソフトに空目しましたよ。 「独身女性に最適なセキュリティソフト-キングソフトが提供開始」 http://japan.internet.com/webtech/20101006/7.html
ntsuji: うぉっと。その発想はなかったですw RT:@wakatonoさらにセキュリティストリーキングソフトに空目 RT @ntsuji: セキュリティストーキングソフトに空目しましたよ。 「独身女性に最適なセキュリティソフト-キングソフトが提供開始」
あと気になったものはこのようなかんじ。
t3mail: 迷惑メールなど複数の経路で感染するウイルスに注意、IPAが呼びかけ -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20101006_398195.html?ref=rss
pc_online: (1)新種激増、ウイルスは産業に成長 --- ウイルス残酷物語 http://ff.im/-rxfmV
lac_security: なんか、記事に間違いがあるのが、きになる。チャンとプログラムや、参加者をみてないで、やっつけでコラムかいたのが、見る人がみるともろばれれ。ちと恥ずかしいぞ。ヒゲ
yumano: 今の情報セキュリティ監査制度って、2002?2003年にできあがったもの。普遍的な物であるように制度を作ったとあるが、基礎となるセキュリティ状況が大幅に変化していると思う。国際情勢も含めて。その中で平和な日本の監査制度が海外で受け入れられるにはかなり厳しいものがある。
jpcert: Adobe Acrobat/Readerの更新プログラムが公開されました。ソフトウェアのアップデートを!^YK https://www.jpcert.or.jp/at/2010/at100026.txt
sen_u: OWASPのWebアプリのペンテストツール。 OWASP Zed Attack Proxy Project http://bit.ly/dtWvSE
ockeghem: MD5の総当たりって意外に速いね。system1を見つけるのにSC440で71分(英小文字と数字の総当たり)。レインボーテーブル使わなくても、結構解けるね
スポンサーサイト