スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

9月27日のtwitterセキュリティクラスタ

月末だからかネタがあったからか理由はよくわかりませんが、昨日は活発なTLでした。

トレンドマイクロのウイルスバスターイケメンウイルス相談員コンテストという、なんか以前どこかで見た企画のパクリのようなものが始まったようですが、SQLインジェクションできたりXSSできたりするようで、素敵ですね。(現在システムメンテナンス中になっています。)
hasegawayosuke :ウイルスバスターのイケメン ウイルス相談員コンテスト ikemen.try-cloud.jp 、このエラー画面はないわー。

ymzkei5 :あー。XSSもありますね。トレンドさん…。id=2%23">test RT @hasegawayosuke: ウイルスバスターのイケメンウイルス相談員コンテスト ikemen.try-cloud.jp 、このエラー画面はないわー。


地域型ドメインってクッキーモンスターの問題があるから使われなくなった気がするのですが(維持費用が高いのもあるのでしょうけど)それより自由度が高い都道府県型JPドメイン名というのが新設されるようですよ。
HiromitsuTakagi :ちょっと待てや。JPRSは、ドメイン名構造の変更に伴うセキュリティへの影響は検討したの? RT 2012年後半から: JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定

HiromitsuTakagi :答申書 の他、検討部会の議事録を読んだが、セキュリティのセの字も語られてない。

masa141421356 :Cookie Monster にやられてアウトな気がしないでもない

d6rkaiz :「都道府県型JPドメイン名の新設に伴うセキュリティとかの話」をトゥギャりました。 http://togetter.com/li/193312

HiromitsuTakagi :JPRSに対する都道府県型JPドメイン名新設に係る公開質問 - 高木浩光@自宅の日記 http://t.co/cMk0NFiw

ockeghem :日記書いた / “徳丸浩の日記: 都道府県型JPドメインがCookieに及ぼす影響の調査” http://htn.to/LLmZqV


IPAから情報セキュリティ技術動向調査(2011 年上期)が発行されたようです。XSSの主戦がDOMに移ったようですが、それは研究者のテーマがそっちに移っただけで、実際には私でもわかるような単純なXSSがゴロゴロ転がっているような気がします。
ymzkei5 :ちょw “主戦場をDOMに移した”は言い過ぎじゃないですかね~。>■情報セキュリティ技術動向調査(2011 年上期) 5. Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS http://t.co/T2yNrCcd

ymzkei5 :足りない!足りないよ!IPAさん。>“(5) document.write()に渡す値は、常に定番のサニタイズ処理を施してから引数へ渡す。”の例示a~e。 http://bit.ly/ngRPzg 「\x3c」とか来たらどうするの。(あと、「サニタイズ」って。。)

hasegawayosuke :http://t.co/3PWnrQ9g 斜めにしか読んでないけど、致命的に問題があるわけじゃない(と思う)けど、全体的に残念な感じ。DOM based XSSはJSがHTMLを生成してるので、「HTML生成時にエスケープ」の原則を守ることが大前提。(続く

hasegawayosuke :http://t.co/3PWnrQ9g 続き) 少なくともIE8のXSS Filterはtype-1(反射型)への防御と明確に謳われており、type-0(DOM based)に対して期待してはいけない。X-XSS-Protection はつけなくてもフィルタは活性化されてる。

hasegawayosuke :http://t.co/3PWnrQ9g 「攻防は、いわば「DOMがかたちづくるジャングル」の中のゲリラ戦に移ってきたといってよい。」 すごすぎてイメージわかない。

hasegawayosuke :「DOMがかたちづくるジャングル」 http://www.ipa.go.jp/security/fy23/reports/tech1-tg/a_05.html HTML書くデザイナさんは、そんなジャングルなDOM構造書かないで、草原のように見渡しのいいノードをお願いします!

hasegawayosuke :http://t.co/3PWnrQ9g CSPの箇所にtypo。「 X-Content-Security-Policy: 'self」←末尾の引用符たりない。CSPのDOM based XSSに対する防御は限定的。


PHPでは文字の総当たりができてびっくりと言う話でしたが、PerlでもRubyでもできるようですね。
garethheyes :$x='A';$x++;$x++;echo $x; // <-- this works in php via (@i0n1c)

tomoki0sanaki :$x='Z';$x++;$x++;echo $x; // <-- ans is "AB" QT @garethheyes @i0n1c @s_hskz

tomoki0sanaki :PHP ありえねー!!!!!。 A -> B ....-> Z -> AA -> ... -> AZ -> BA -> ..... 大文字だけの総当りができるけど・・・私が無知なだけで、これって、他の言語でもフツーなのか....!?

ymzkei5 :Perlでも出来た・・・。 RT @tomoki0sanaki: PHP ありえねー!!!!!。 A -> B ....-> Z -> AA -> ... -> AZ -> BA -> ..... 大文字だけの総当りができるけど・・・これって、他の言語でもフツーなのか....!?

ymzkei5 :ちなみに、「az」の次は「ba」で、「aZ」の次は「bA」で、「zZ」の次は「aaA」だったw 何これ誰得www >$x='zZ';$x++;print $x;

rryu2010 :@tomoki0sanaki Rubyもできます。 'AZ'.succ


徳丸本の電子書籍版、本日発売だそうです。AndroidからでもKindleからでも読めますよ。あと検索もできるので仕事中に何か探すときにはこちらの方が便利な気がします。
ockeghem :安全なWebアプリケーションの作り方、電子書籍版は本日午前中の販売開始です。まだみたいですw #wasbook http://bookpub.jp


その他気になったことはこのあたり。
piyokango :今朝のmysql.comの改ざんの件、実際に埋め込まれたコードの解析レポート。埋め込まれたコードからBlackHole exploitを動かしているホストにリダイレクトさせ、各種脆弱性をつく流れ。(動画あり) / “Armorize …” http://htn.to/SKUpBx


bakera :
(ハッシュタグを忘れていたので再ツイート) 最近社内外で何かと話題にしていた文字サイズ変更ボタンの話ですが、イベントやります …… 第2回「アクセシビリティBAR」 秋の文字サイズ変更ボタン祭り http://atnd.org/events/20371 #a11ybar


kitagawa_takuji :NHKニュース サイバー攻撃への対策強化へ http://t.co/4zJlysOu


JSECTEAM :アドバイザリ (2588513) を公開し、SSL 3.0 および TLS 1.0 に存在する脆弱性を悪用する新しい手法に関する詳細情報が一般に公開されたことをお知らせしました。 #JSECTEAM http://bit.ly/rh8ycU


kinyuka :ダカミーとモクシーの間でBEASTの議論があって参考になる。今回のデモではJavaのSOP違反の(おそらく未知の)バグが利用されていて、WebSocketと同様に「Cookieを送りつつ、その後の大量の平文も攻撃者がコントロール可能」な通信が行われている

kinyuka :ダカミーは「SOP破れるならSSLなんか気にしないでCookie読めばいいじゃん」と言っていてその通りだと思うが、このJavaのバグでCookieを盗れるのかどうかは謎。

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
08-2017
SUN MON TUE WED THU FRI SAT
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31 - -

07   09

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。