fc2ブログ

10月6日のtwitterセキュリティクラスタ


昨日はjjencodeが悪用されるという事件が起こりました。悪い人は悪いことに使う手段を見つけるのが本当に上手ですよね。
shu_tom: 記号だけでインジェクション!? http://bit.ly/bG6lc3

hasegawayosuke: jjencode is now used for actual attack! umm... http://bit.ly/aC9O76 http://bit.ly/9h2PDZ

hasegawayosuke: joomla を利用している複数のサイトにおいて、「記号だけで難読化された」JavaScriptを埋め込まれる攻撃が複数発生しているようです。 http://bit.ly/aC9O76 http://bit.ly/9h2PDZ

hasegawayosuke: ううむ。完璧に jjencode で生成したやつだな。ちょっとくらいヒネれ。

dankogai: こういう利用法がありうることは、前回のSDの連載 http://ht.ly/2P5lj で指摘したけど、実際にやられるといやなものだねえ<@hasegawayosuke: jjencode is now used for actual attack!...



へええ。改変の余地はあるのですか。
Coins_FKD: jjencodeはコードを短くするためにグローバル変数を使ってるけど、コードの長さを代償にしてグローバルを汚染せずに済ませることもできる



そして、もう1つ話題なのはメタ情報によるXSS。何でも適当にスクリプト投げておけば、相手が勝手に拾ってくれて運がよければXSSできたりするのでしょうか。
ntsuji: コンセプトがワクワクしましたよ。 「メタ情報によるXSS」 http://www.geekpage.jp/blog/?id=2010/10/6/1

tomoki0sanaki: 至極当然だけど、一応リンク 「メタ情報によるXSS http://bit.ly/c9Wtn8」。とにかくエスケープしとけ!

dankogai: host x.ss → host x.ss → Host x.ss has address <script>alert('こんにちはこんにちは')</script> / Geekなぺーじ : メタ情報によるXSS http://htn.to/wLoY2e

ockeghem: RefererにJS仕込むのと一緒で、出力時にエスケープすることを徹底すればよいだけのこと。DNSやSSLの詳細を勉強しなくても防御は可能です。勉強すること自体は良いことなので止めませんがw / Geekなぺーじ : メタ情報によるX… http://htn.to/mn8uSB



そしてもう1つXSS関連。本当?
masa141421356: これが本当(text/html 固定で charset指定できない)だとしたら XSS し放題に見えるけどどうなの? http://d.hatena.ne.jp/shim0mura/20100609/1276880566



まあ、セキュリティとストーキングは似てなくもないですがw
ntsuji: セキュリティストーキングソフトに空目しましたよ。 「独身女性に最適なセキュリティソフト-キングソフトが提供開始」 http://japan.internet.com/webtech/20101006/7.html

ntsuji: うぉっと。その発想はなかったですw RT:@wakatonoさらにセキュリティストリーキングソフトに空目 RT @ntsuji: セキュリティストーキングソフトに空目しましたよ。 「独身女性に最適なセキュリティソフト-キングソフトが提供開始」



あと気になったものはこのようなかんじ。

t3mail: 迷惑メールなど複数の経路で感染するウイルスに注意、IPAが呼びかけ -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20101006_398195.html?ref=rss


pc_online: (1)新種激増、ウイルスは産業に成長 --- ウイルス残酷物語 http://ff.im/-rxfmV


lac_security: なんか、記事に間違いがあるのが、きになる。チャンとプログラムや、参加者をみてないで、やっつけでコラムかいたのが、見る人がみるともろばれれ。ちと恥ずかしいぞ。ヒゲ


yumano: 今の情報セキュリティ監査制度って、2002?2003年にできあがったもの。普遍的な物であるように制度を作ったとあるが、基礎となるセキュリティ状況が大幅に変化していると思う。国際情勢も含めて。その中で平和な日本の監査制度が海外で受け入れられるにはかなり厳しいものがある。


jpcert: Adobe Acrobat/Readerの更新プログラムが公開されました。ソフトウェアのアップデートを!^YK https://www.jpcert.or.jp/at/2010/at100026.txt


sen_u: OWASPのWebアプリのペンテストツール。 OWASP Zed Attack Proxy Project http://bit.ly/dtWvSE


ockeghem: MD5の総当たりって意外に速いね。system1を見つけるのにSC440で71分(英小文字と数字の総当たり)。レインボーテーブル使わなくても、結構解けるね


スポンサーサイト



テーマ : セキュリティ
ジャンル : コンピュータ

このページのトップへ
前の記事 «  ホーム  » 次の記事

トラックバック


この記事にトラックバックする(FC2ブログユーザー)

このページのトップへ

コメントの投稿

非公開コメント

このページのトップへ
« 前の記事  ホーム  次の記事 »
このページのトップへ
プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム


RSSリンクの表示
リンク
このブログをリンクに追加する
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2022
SUN MON TUE WED THU FRI SAT
- 1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31 - - -

07   09