9月5日のtwitterセキュリティクラスタ

引き続き@ockeghemさんの新刊PHP書籍に対するツッコミが。

ockeghem :日記書いた[再] / PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)～evalインジェクション～ - ockeghem(徳丸浩)の日記 http://htn.to/iubu8g

masayukisakai :>i<を思い付く発想力を何とか他に生かせないものかRT @ockeghem 日記書いた / ockeghem(徳丸浩)の日記 http://htn.to/iubu8g

imatake_jp :昔BBSのデータが“><”は混入はしないのでカンマより確実（楽）って理由だった気が QT @ockeghem: 日記書いた (中略) ockeghem(徳丸浩)の日記 http://htn.to/iubu8g

ockeghem :うーむ、区切り記号としての i要素のインパクトが強すぎたようだ。そりゃそーだよなw

ockeghem :敢えてブログでは指摘しなかった（うるさくなるので）けど、$rows = mysql_query(... の$rowS も勘違いの可能性が高いです。行数ではなく、resouceを返すのに、大なり記号で 0　と比較しているので

ockeghem :最終回となる次回が、一番の山場なんだけど、なんか「手ぐすね引いて待っている」感が強いねw 気のせいかしら

昨日のJSONのセキュリティについてのご意見。

bulkneets :JSONPならJSONPを使う時点で相手を信用してしまっているので、はいこれがHTMLエスケープ済みのデータですと言われて出力するのは別におかしくないというか、一貫性があるというか。

bulkneets :JSONで記号を数値参照にした方がいい理由は、HTMLのscriptタグ内に埋め込むケース、開発者がアホでcontent-typeを適切に吐いてないケース、ブラウザがアホでcontent-type無視するケース(IE6)

hasegawayosuke :@bulkneets text/javascript はIEにとっては未知のContent-Typeなので、*.cgi or *.exe or *.dll ならquery末尾に、そうでないならPATH_INFOに *.html ってつければhtml扱いになります。(IE7で確認

hasegawayosuke :@bulkneets JSONじゃないけど。 utf-8.jp/cgi-bin/mime.c…

bulkneets :@hasegawayosuke ああなるほど。text/javascript既知じゃないんですね。。拡張子なしquery末尾付加しかできないケースでIE6でしか再現しない、というのが多かったので勘違いしてたっぽいです。

カレログ高木せんせいに叩かれまくりでなんだかかわいそうになりますね。子供の監視とか社員の監視とか言っとけばスルーされたかもしれないのに…

itmedia_news :「カレシの行動丸わかり」な「カレログ」をMcAfeeがスパイウェアと認定^編 http://bit.ly/qcEvoN

bulkneets :カレログ入念に理論武装してたはずなのにネット取り調べによって無理やり自白させられてる感がある。アイコン偽装は彼のメンツを守るためって書いてあったでしょ gyazo.com/7049b2b597f5ee…

最近DNSがらみの攻撃が多いですね。サイト狙うよりDNS攻撃して偽サイトに向かわせた方が便利だと思ったのでしょうか。

MasafumiNegishi :トルコのハッカーグループによる大規模な DNSハイジャックが発生。DNS hack hits popular websites: Daily Telegraph, The Register, UPS, etc http://bit.ly/oszMws

MasafumiNegishi :つい最近、韓国の Gabia.comを攻撃した TurkGuvenligiのようです。 zone-h.org/archive/notifi…

MasafumiNegishi :影響を受けたドメインの Whoisみると、いずれもレジストラは Ascioで、ドメイン管理は NetNamesのようだ(同じグループ会社)。まだプレスリリースなどは出ていないもよう。

その他気になったことはこのあたり。

_defcon_ :The DEF CON 19 Archive Page is up, slides posted! defcon.org/html/links/dc-…

ScanNetSecurity :日本の銀行を不正利用するSpyEyeウイルスに注意--8月度ウイルス届出状況（IPA/ISEC） http://lb.to/p2WUfK @ScanNetSecurity

avkhozov :#HackerDom announced #RuCTFE 2011 http://ructf.org/e/2011/

_nat :しかし、今年は、Comodo, StartSSL, DigiNotar とCAがやられるケースが多いな。多分、氷山の一角なんだろうな。 #pki

geekpage :ブログ書いた：解雇されたエンジニアが取引先システムに侵入 geekpage.jp/blog/?id=2011/…

piyokango :７月末ぐらいから騒ぎになっていたネットバンキングの不正アクセス(SpyEye)に関する話題。／情報処理推進機構：情報セキュリティ：ウイルス・不正アクセス届出状況について（2011年8月分）http://bit.ly/rtEIFN

connect24h :ITpro セキュリティ - スマホ向けセキュリティ製品/サービス勢ぞろい（週末スペシャル） http://nkbp.jp/oq0n3J

indicatives :通信販売大手のセシール、約３万５千人分の顧客情報が外部に流出 と発表。（2011年9月5日20時41分 読売新聞）関係者が業者に売却か。 セシールはフジテレビの100％子会社フジテレビ「個人情報売るよ、金に換えるよ」フジの既婚板への報復だな...。

turusuke :XSSの攻撃手法いろいろ - うなの日記 http://htn.to/hGksqa