Entries from 2007-01-01 to 1 year

AjaxのXSS対策

セキュアスカイ・テクノロジーのCTO福森さんの記事がでていますね。 第1回 Ajaxとクロスサイトスクリプティング:ここが危ない!Web2.0のセキュリティ|gihyo.jp … 技術評論社 初回はWeb2.0の中核技術ともいえるAjaxを見ていきたいと思います。 Ajaxのセキュ…

FizzBuzzについても言及することになりました

いやぁ〜、先のことを断言すると、たまに大嘘になってしまうことがありますなぁ。 SANS Future Vision 2007 Tokyoにて講演することになりました - ockeghem(徳丸浩)の日記 内容については、脆弱性管理についてしゃべろうと思っていたのですが、SANS Future V…

Firefox 2.0.0.4におけるXSSワンクリックパスワード窃取問題

Firefox2.0.0.4でも直ってないですね。 Firefoxのパスワード・マネージャの脆弱性その後 - ockeghem(徳丸浩)の日記 Firefoxユーザーがクロスサイト・スクリプティング(XSS)脆弱性のあるWebサイトでパスワードを記憶させている場合には,細工が施されたリン…

fizzbuzz.org発見

FizzBuzz関係のネタを書くために下調べをしていて偶然発見しました。 うーん、なんなんでしょうね。運営主体とか全然分かりません。プレースホルダかな? というのもありました。 fizzbuzz.comはドメインとしては取得されていましたが、使用はされてない模様…

SANS Future Vision 2007 Tokyoにて講演することになりました

7/18(水)の14時から、SANS Future Visionにて講演することになりました。セッションの内容などは以下をご覧ください。申し込みもできると思います。無料です。http://www.event-information.jp/sans-fv/session.html内容については、脆弱性管理についてしゃ…

tDiaryを試験運用中

徳丸浩の日記にて試験運用開始しました。 しばらく並行稼動して、いずれ、そっちに移行するかも(^^;

a==b と a-b==0 は同じか?

この文章は、2007-05-24に対するトラックバック的なコメントです。 この「==」の実装が適当なのかどうかの議論ですが、適当不適当と言うより非常に不思議だと僕は感じます。というのも、異なる浮動小数点数の差が0になることはありえないはずですから、Inf、…

オブジェクト指向は簡単か

書籍案内|技術評論社総集編[Vol.1〜36]を購入してパラパラ目を通しています。「総集編」たる本体は付属のCD-ROMであって、紙に印刷された記事は「おまけ」なのかと思っていたら、読み応えのある記事があって得した気分でした。その中に、興味深いコラムがあ…

FizzBuzzのプログラム書法

今話題のどうしてプログラマに・・・プログラムが書けないのか?に関して、FizzBuzz問題がネットを賑やかしてますね。 1から100までの数をプリントするプログラムを書け。ただし3の倍数のときは数の代わりに「Fizz」と、5の倍数のときは「Buzz」とプリントし、3と…

JavaScriptの配列

2007-05-21に触発されてこの日記を書きます。 さて、PHPの配列のキーとしては整数と文字列のどちらかが利用できます。【中略】 文字列が指定された場合でも、キーに10進数として解釈できる文字列が指定された場合は、文字列から数値にキャストされます(プロ…

JavaScriptのXSS

WEB+DB PRESS Vol.38で、小飼弾、天野仁史、id:hamachiya2三氏の鼎談を読んでいたら、ありましたね。(「は●」はhamachiya2氏の発言) は●あと、セキュリティで気をつけておいた方がよいことなんだけど、最近よく見かけるのはJavaScript内でのXSSかな。最近Goo…

大昔のJavaScriptプログラム

JavaScriptでふと思い出しました。昔々、こういうプログラムを作ったのを。 JavaScriptにより数独(ナンバープレイス)を解く 1998年5月だから、もう9年前ですね。 いちおー、JavaScriptのprototypeを多用して作っています(HTMLソースでご確認を)。現代風のJ…

Website Expert #12のWASF Timesに寄稿しました

タイトルは、「携帯電話向けWebアプリケーションのセキュリティ」です。ベタなタイトルですな。 「近日発売」だそうです。

XSS対策:JavaScriptのエスケープ(その3)

5/14の日記XSS対策:JavaScriptのエスケープ(その2) - ockeghem(徳丸浩)の日記に対して、id:hasegawayosukeさんからコメントを頂戴した。その内容は、JavaScriptに対応していないブラウザの場合に対する考慮が抜けているという趣旨だと理解した。元の日記にも…

XSS対策:JavaScriptのエスケープ(その2)

5/11の日記XSS対策:JavaScriptなどのエスケープ - ockeghem(徳丸浩)の日記に対する金床さんのコメントに触発されて、JavaScriptのエスケープについて検討してみよう。ただし、現実のアプリケーション開発においては、私はJavaScriptの動的生成を推奨していな…

XSS対策:JavaScriptなどのエスケープ

昨日の日記に対して、id:ikepyonさんからトラックバックを頂戴した。内容はそちら(Tipsと考え方とXSS対策)を読んでいただくとして、興味深いテーマなので少し突っ込んでみたい。# 日によって「です・ます」で書いたり、「だ・である」で書いているのは気分の…

XSS対策:どの文字をエスケープするべきなのか

ITproの連載中に、id:hasegawayosukeさんから以下のようなコメントをいただいていました。対策遅らせるHTMLエンコーディングの「神話」:ITpro - 葉っぱ日記 全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cros…

数値項目に対するSQLインジェクション対策

文字列項目に対するSQLインジェクション対策は、「'」(シングルクォート)や「\」(円マーク、バックスラッシュ)のエスケープであるが、数値リテラルなどはエスケープでは対策できない。 ここで、なぜ文字列に対してエスケープ処理が対策になるかを復習してお…

数値リテラルをシングルクォートで囲むことの是非

高木浩光氏からの批判の一つは、数値リテラルをシングルクォートで囲むことに対する論拠のあいまいさであったように思う。 「性能的にも不利だし」 SQL仕様で定義されているか。 以下にもう少し掘り下げて考察してみよう。 SQL仕様でどう定義されているか? …

問題の提起

例のITproへの連載では、インジェクション系の脆弱性を取り上げて、正しい対策について考察してみたが、 はびこる「インジェクション系」のぜい弱性 | 日経 xTECH(クロステック) 対策遅らせるHTMLエンコーディングの「神話」 | 日経 xTECH(クロステック)…

CrLfインジェクション

ITproへの寄稿(インジェクション系攻撃への防御の鉄則 | 日経 xTECH(クロステック))に対して、水無月ばけらさんからコメントをいただきました。 脆弱性の呼称 | 水無月ばけらのえび日記 「メールの第三者中継」は結果、「CRLFインジェクション」は手法に注…

HTTP1.1、CGI1.1の継続行

日経BPのITproに、インジェクション系脆弱性への対策をテーマとして連載してきたが、本日無事に最終回を迎えることとなりました。 インジェクション系攻撃への防御の鉄則 | 日経 xTECH(クロステック) 多くの方に注目いただいたようで、大変嬉しく思います…

近未来通信、石井社長に逮捕状・投資金詐欺容疑で

近未來通信の石井社長にもいよいよ逮捕状が出ましたね。 近未来通信、石井社長に逮捕状・投資金詐欺容疑で IP電話事業者「近未来通信」(東京都中央区、破産手続き中)の投資金詐欺事件で、警視庁捜査二課は20日、虚偽説明で投資家から現金約2000万円をだ…

Firefoxのパスワード・マネージャの脆弱性その後

昨年の11月に、日経BPのITpro編集勝村記者(現在は日経パソコン)から表題の件で取材を受けた。 Firefoxの脆弱性は危険,“ワンクリック”でパスワードを盗まれる恐れあり | 日経 xTECH(クロステック) 「Firefoxユーザーがクロスサイト・スクリプティング(XSS…

「Webアプリケーション脆弱性動向」に対する「感想」にお答えします

[セキュリティ]Webアプリケーション脆弱性動向 by KCCS(T.Teradaの日記) https://www.kccs.co.jp/contact/paper_websecurity/index.html 昨年KCCS社で実施した脆弱性診断の検査結果の一部を、PC/携帯向けサイトに分けてまとめたものです。資料の分量は二…

日立製Floraの終焉

日立、ビジネスPC「FLORA」の製造を中止 株式会社日立製作所は9日、米Hewlett-Packard(HP)および、日本法人の日本ヒューレット・パッカード株式会社(日本HP)と長期にわたる戦略的パートナーシップの一環として、ビジネスPC事業における協業を進めていくこと…

追記(3/7)

ケータイ端末のブラウザが低機能というのは異論のないところだと思うが、これによる脆弱性の出方がXSSとセッション管理では逆になっているのが面白いと思った。 XSSの場合は、悪用に使う手法がケータイのほうが限られているので、表面的にはケータイ向けサイ…

「携帯電話向けWebアプリの脆弱性事情」に統計数値で答える

ケータイWebアプリの脆弱性問題は、私の専門分野であるので、もう少し突っ込んでみたいと思う。 高木浩光氏の高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか 携帯電話Webアプリのセキュリティが怪しいという話はいろいろな…

平成電電元社長らを逮捕・詐欺容疑

経済、株価、ビジネス、政治のニュース:日経電子版 通信ベンチャーの平成電電(東京・渋谷)と同社の協力会社が通信設備購入などの名目で、投資家から現金をだまし取ったとして、警視庁捜査二課などは5日、平成電電元社長、佐藤賢治(55)=東京都品川区=な…

JavaScriptの動的生成

【PHP TIPS】 12. JavaScriptをPHPで記述しよう:ITpro JavaScriptを使用したスクリプトを記述していて、条件による分岐を いちいち記述していくのが面倒だなーと思ったことはないでしょうか。 そんなときにちょっぴり役に立つ技を紹介したいと思います。 そ…