新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > 投稿順表示 (267/282)

投稿順表示 (267/282)

[313] Re: @nifty パレットのセキュリティホール まとめ

ばけら (2003年7月11日 13時25分)

 いや、そもそもそれは dfn 要素としてマーク付けされている単語を見ているので、コメントのページなどは含まれないようになっているはずなのですが。

 というわけでバグっぽいのですが、原因が謎です。

[312] Re: 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」

ばけら (2003年7月11日 13時21分)

むーん、なかなか厳しげ。

どちらか一方をリダイレクトにした方が良いかしら……。

[311] Re: 結果の解説

えむけい (2003年7月11日 12時26分)

>普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。

ていうかMozillaもそうですが【謎】絶対URLの".."を勝手に取り除いていいのですか【ピュア】。LWP::UserAgentのメソッドを見る限りbase URIとrelative-pathの組み合わせではなく、単一のURIのみを渡す仕様になってるようですが、それなら".."をあれするのはRFC2396的に誤りのはずです。

ファイルシステムではなくデータベースからリソースを取り出す実装のWebサーバとかで意図的に".."を含むURIにアクセスしたいときとかどうするのでしょうか。

[310] Re: 結果の解説

えむけい (2003年7月11日 12時17分)

>>RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。

>

>普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。

>

>httpreq.plを使うと、..がいっちゃうのかな?

>

>1999年頃は、どうだったかよくわかりませんが。

そのための「だった」です【過去形】。

[309] Re: 結果の解説

y-Aki (2003年7月11日 12時13分)

>たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。

>http://homepage3.nifty.com/cito/namazu/gbold/19990411.html

>RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。

普通【謎】のAHLは、LWP::UserAgentを使うようにしてあるはずなので、..を含むURLもきちんと..を使わない形にしてリクエストされるはずです(実験済み)。

httpreq.plを使うと、..がいっちゃうのかな?

1999年頃は、どうだったかよくわかりませんが。

[308] Re: @nifty パレットのセキュリティホール まとめ

えむけい (2003年7月11日 11時54分)

このコメントのページ内に「サニタイズ」は含まれていないのに、用語「サニタイズ」が使われているページとして参照されています。

って今書いたので含まれるようになりましたが【謎】。

[307] Re: 鳩丸ぐろっさり (用語集) : 用語「SQLインジェクション」

えむけい (2003年7月11日 11時44分)

1. 用語「SQLインジェクション」にコメントを書くのリンク先が正常に動作していません。用語のURLはハッシュ化されていないのにハッシュ化したURLがリンク先になっているためと思われます。

2. 用語「SQLインジェクション」が使われているページで、日記の同じ記事が3種類の異なるURLで参照されています。そのわりにハッシュ化したURLでの参照はありません。

[306] Re: 結果の解説

ばけら (2003年7月10日 21時31分)

>ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。

 御意。おそらく IIS で URLScan をデフォルト設定で使っている場合も撃墜されると思います。

# altba.com はデフォルト設定ではありません。

[305] Re: 結果の解説

いわい (2003年7月10日 20時3分)

知らなかった。対応しとこう【謎】。

>> また、こんなことはしないとは思いますが、

>> http://www.uso800.ac.jp/bogus/fake/../index.html

>> と

>> http://www.uso800.ac.jp/bogus/index.html

>> は同じリソースを指すことに注意してください。

全く関係ありませんが【謎】なんで example.org とかを使ってないんだろう。こだわりませんが【謎】。これも既出なんでしょうか【謎】。

[304] Re: 結果の解説

えむけい (2003年7月10日 17時41分)

>Apacheのデフォルト設定などではabs_path中の".."も解釈しますが、ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。

たとえば古いバージョンのAnHTTPDがそうですね。しかもわざわざAHLのために".."を解釈するようバージョンアップしたっぽいです。

http://homepage3.nifty.com/cito/namazu/gbold/19990411.html

RFC2396的にはAnHTTPDの解釈はまったく正当で、対応の必要があるのはむしろAHLのほうだったということですね。AHLの手抜き実装を正当化するためにわざわざ同じと言ったのでなければいいのですが【謎】。

[303] Re: 結果の解説

えむけい (2003年7月10日 16時50分)

> ただ、絶対 URL の中の . や .. がそのまま解釈されるとなると、その URL を相対 URL で表現することは不可能になってしまいます。

%2E%2Eとか。

[302] Re: 結果の解説

えむけい (2003年7月10日 16時43分)

> ただ、絶対 URL の中の . や .. がそのまま解釈されるとなると、その URL を相対 URL で表現することは不可能になってしまいます。

> それはちょっと変なので、これは RFC 側の不備のような気もします。

Apacheのデフォルト設定などではabs_path中の".."も解釈しますが、ディレクトリトラバーサル系のホゥルを根絶するために".."なpath_segmentを含むURIは問答無用で弾く設定のWebサーバがあっても不思議はありません。

RFCでわざわざrelative-pathのみと強調してるのは、Webサーバにリクエストが送られる前に相対URIは解決されているはずだからWebサーバがご配慮してやる義理はないという意図があるのかもしれません。

[301] Re: 結果の解説

ばけら (2003年7月10日 15時38分)

>RFC2396では".."や"."は相対URIの場合にのみ解釈されると読めます。

 言われてみると確かにそうですね。

 ただ、絶対 URL の中の . や .. がそのまま解釈されるとなると、その URL を相対 URL で表現することは不可能になってしまいます。

 それはちょっと変なので、これは RFC 側の不備のような気もします。

[300] Re: えび日記 : 「URL変更とか」

ばけら (2003年7月10日 15時29分)

 というわけで、もろもろ直しました。

 これで大丈夫なはずです。

[299] Re: 結果の解説

yuu (2003年7月10日 15時14分)

>>Mozilla1.4が同じに解釈するから、とか。

>

>それはUser-Agentのバグではないですか【ピュア】。

Mozillaに限ってそんなことは【謎】。

>ていうかMozillaという単語が4.x以前のNetscape Navigatorの意味で使われてるのが今となっては【謎】かなり紛らわしげ【謎】。

それはAHLML【謎】で既出、かつk16さんは直す気がないと豪語【謎】していた気がします。

[298] Re: 電話番号のわかれめ

yuu (2003年7月10日 15時12分)

>電話番号欄が三つに分かれてると携帯電話の番号を書きにくいです。携帯の番号って市内局番に相当する部分ってのが無いですよね。え、実はある? そういえば090の後ろを四桁ずつに区切って書いてる実例を見たことはある(宅急便の伝票の電話番号欄)なぁ。

今は XXX-XXXX-XXXX なんでしょう、きっと。NTT DoCoMoからの請求書中の表記がそうなっているから。

10桁の頃は、XXX-XX-XXXXX という表記だった記憶があります。

[297] 電話番号のわかれめ

楊柳(やなぎ) (2003年7月10日 14時55分)

電話番号欄が三つに分かれてると携帯電話の番号を書きにくいです。携帯の番号って市内局番に相当する部分ってのが無いですよね。え、実はある? そういえば090の後ろを四桁ずつに区切って書いてる実例を見たことはある(宅急便の伝票の電話番号欄)なぁ。

個人的には八桁続けて書くのが好みなんだけど。

(^^;)

[296] Re: 結果の解説

えむけい (2003年7月10日 14時47分)

>>両者が同じであるという根拠はどこにあるのでしょうか【ピュア】。RFC2396では".."や"."は相対URIの場合にのみ解釈されると読めます。Mac OS 9サーバなどでも異なるリソースを指すことはないという保証はあるのでしょうか。

>

>Mozilla1.4が同じに解釈するから、とか。

それはUser-Agentのバグではないですか【ピュア】。

> エラーにはすべて出典があります。文句はその出典元(W3CとかIETFとか)へ言ってください。

とか豪語【謎】してるのですから出典元がどこなのかくらい教えてほしいと思った【謎】。

ていうかMozillaという単語が4.x以前のNetscape Navigatorの意味で使われてるのが今となっては【謎】かなり紛らわしげ【謎】。

[295] Re: @nifty パレットのセキュリティホール まとめ

ばけら (2003年7月10日 14時41分)

 確認しました。

 やはり転送時の Content-Type に関係なく、拡張子だけで判定されています。

[294] Re: えび日記 : 「URL変更とか」

ばけら (2003年7月10日 14時40分)

>日記側から、何件のコメントがついているかわからなくなった?

 ああ、そうですね。なってますね。

 何とかしておきます。

最近の日記

関わった本など