スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

4月7日のtwitterセキュリティクラスタ

困ったことにまたまた地震が来ましたが、もうなんだか慣れてしまってダメな人です。ちなみに週末は大磯の方に向かうのですが、避難するわけではなく仕事です。というわけで明日から月曜日までの更新はお休みになります。すみません。

昨日紹介した@piyokangoさんの日記に書かれたWAFのことに↓に鋭い突っ込みが入っています。できるできないっていうのは記憶に頼らずにちゃんと調べないといけませんな。
piyokango: 忘れる前に書いてみました。/大規模インジェクション 「LizaMoon」攻撃について調べてみた。 http://bit.ly/hXEhZ6

ymzkei5: え、、“ブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。” >■大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyolog http://bit.ly/eSHEtp

ymzkei5: @ockeghem そういうWAFもあるのかしら、、(^ー^;

ockeghem: 日記書いた / ライザムーン(LizaMoon)攻撃に対してもWAFは有効 - ockeghem(徳丸浩)の日記 http://htn.to/HWkRdd

ymzkei5: @ockeghem 完璧すぎますwww

ockeghem: マジレスすると、Citrix Application Firewallは、記号が入っていないとSQLインジェクション防御が抜けやすくなりますね。“完璧なWAF”なのかもしれないw

piyokango: @ockeghem @ymzkei5 勉強不足ですみません。http://bit.ly/hXZjJJ を10回読んで""(こっそり)修正します。

ockeghem: @piyokango @ymzkei5 僕も日記に書きましたが、その前に@sonodam が引用しているしw


引用されているというのはhttp://d.hatena.ne.jp/sonodam/20110407ですね。

piyokango: こっそり、、修正しました。。

piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

ockeghem: 某先生からdisられて、心臓が口から飛び出るような思いをしないうちは一人前とは言えませんぞw RT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

ymzkei5: そして何年か後に和解して対談する、と。(ちがうw QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

piyokango: 仲良く握手する写真は撮らせてもらえないんですか。。(笑) RT @ymzkei5: そして何年か後に和解して対談する、と。(ちがうw QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

katsuny3: そしたら○○先生にディスられた人飲み会をやろう QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。

piyokango: やはり懇親会の前にはディスられ勉強会が必要かと。。 RT @katsuny3: そしたら○○先生にディスられた人飲み会をやろう QT 「またpiyokangoか」とその内いわれる気がしてきました。


JSから読み出せないからちょっとくらいXSS対策になりそうな気がしなくはないhttponlyなcookieについて。上書きはできるんですね。
tomoki0sanaki: 一応、JavaScript 上から「document.cookie = " abc=xyz; path=/; httponly; " + document.cookie;」みたいにすると、httponlyなクッキーを追加保存はできるようだ。

tomoki0sanaki: ブラウザだけで使う→ローカル/セッションストレージ。ブラウザでは使わないけど、サーバ(WebAPplication)で使う→クッキー。という仕分けができれば、クッキーのhttponlyは普及するかも・・・

s_hskz: XSS有り前提なら、JavaScriptオフでも昔のIEではmeta要素で上書きできたはずです。IE8では未検証。QT @tomoki0sanaki: httponly なので、追加保存した後で、JavaScript から読み出せなくなるけど、上書きはできるようだ。

tomoki0sanaki: @s_hskz httponly などは、おまじない程度だとは重々分かっています。

s_hskz: @tomoki0sanaki うっかり作ってしまった時の記録です> http://d.hatena.ne.jp/hoshikuzu/20090806

s_hskz: @tomoki0sanaki うわ、肝心のコードは何も書いてないので、すみません。meta要素でcookie書けるコードならgoogleでころがってますので、それをコピペして、httponly風味に付加した記憶があります。



XSSというかその関連のコードがいろいろ書かれているのですが、ちっとも意味がわかりません。WEBの検査をする人って日々こんな呪文を使いこなしているのかと思うと脱帽ですね。
s_hskz: ( ) = [ ] を使わずに、IE8 でalert(1)できるということ。ナイス!

s_hskz: alert(1) w/o ( ) [ ] = on IE8

hasegawayosuke: http://example.com/#1={a:#1#,b:alert(1)} // payload in location.hash, for eval( location.hash )

s_hskz: 1%{valueOf:location,toString:Array.prototype.shift,0:name,length:1} ⇔Overall impact: 8 PHPIDS

s_hskz: @hasegawayosuke 御意にござりまする。たとえば、こんなの、どうして動くんだか忘却。→ {name="alert(1)"}{testfunc=function(){eval(name)}}{new testfunc}//for IE

thornmaker: http://blog.mindedsecurity.com/2011/03/abusing-referrer-on-explorer-for.html this could be useful for more then just referrer XSS, methinks

hasegawayosuke: window.__defineGetter__("uu",function() { alert(1) });eval("\\u"); "Opera parser monster eats unicode" http://bit.ly/f7cv76 by @garethheyes


その他に気になったことはこのあたり。
bulkneets: facebookのサブドメインのXSS動かなくなってる、報告されて4日、晒されて3日強ぐらいで直ったっぽいですね http://bit.ly/gBq58Z


ikb: 総務省|東日本大震災に係るインターネット上の流言飛語への適切な対応に関する電気通信事業者関係団体に対する要請 http://t.co/RrygVf3 -- 検閲がはじまるのか。流言飛語というけれど、それがそうであると誰が決めるんだ?

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。