投稿順表示 (34/282)
前のページ 1...29/30/31/32/33/34/35/36/37/38/39...282 次のページ
[5243] Re:「連絡先がわかりにくいサイトは信頼性が低い?」
127 (2009年1月30日 0時37分)
企業のページじゃないですが、セキュリティの話を幾つか記載しているサイトでやらかしているのもありますね。
UserAgentやIPで悪質なクロウラを弾くとかの記事があるところ(うろ覚え)だったので、その辺に過剰反応したのでしょうか。
普通にタブブラウザで閲覧するだけでアクセス制限が発生してしまいました。
IPを変えて報告しようにもメールもBBSも何も見つからず悩みました。
最後にはリファラやUserAgentにコメントを入れたアクセスを掛けて放置したんですが・・・
セキュリティ話は面白かったのに非常に残念だった覚えがあります。
[5242] Re:「cmd.exe の謎挙動」
ぬふや (2009年1月29日 16時0分)
「cmd/?」等とコマンドと引数の間のスペースを省略できる機能も関係してそうですね。
実装を追いかけると楽しそうだ。
[5239] Re:「攻撃が増加中?」
えむけい (2009年1月28日 22時0分)
こじまさん【誰】まで
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2009/01.html#20090128__DNS
> いまだに「取り扱い中」、つまり修正されていないですよね。
とか書いてるのですが。IPAに対して修正完了の報告がない限り取扱中のままだということも以前に書きましたよね。
[5238] Re:「OSコマンドインジェクション」
ばけら (2009年1月20日 23時23分)
>サンプルプログラムを実行してみても
>画像のように改行されて表示されないんですが・・・
Content-Type が text/plain とみなされていないのかも。<DIR>とか入っているので、IEで「拡張子ではなく……」が有効になっていると text/html とみなす場合がありそうです。
IE以外で見る、IEなら「拡張子ではなく、内容によってファイルを開く」を無効にする、text/htmlにして適当に先頭に <pre> などを出力する、などが考えられますね。
[5237] Re:「OSコマンドインジェクション」
学人 (2009年1月20日 22時41分)
サンプルプログラムを実行してみても
画像のように改行されて表示されないんですが・・・
どうすればいでのでしょうか?
[5235] Re:「ムダヅモ無き改革」
ばけら (2009年1月16日 7時33分)
>むしろ麻雀のルールを知らないほうが
>> 劣化ウラン牌が燃えている時点で轟盲牌バレバレですし、白のカン2回目の時点で明らかにイカサマなのですが、
>のような点を気にせず楽しめるのではありませんか。
いや、ここは麻雀知らなくてもつっこめますから。そもそも、ふつうの麻雀には劣化ウラン牌とか出てきませんし、轟盲牌とかできませんし。
>いつかオフで聞いた逆転裁判の感想を思い出しました【謎】。
ちなみに逆転裁判はその後ふつうに楽しんでプレイしています。そういうものだと割り切ってプレイすれば面白いのでして。
[5234] Re:「ムダヅモ無き改革」
えむけい (2009年1月16日 2時41分)
> 麻雀マンガなのですが、麻雀を知らなくてもかなり楽しめるかと。
むしろ麻雀のルールを知らないほうが
> 劣化ウラン牌が燃えている時点で轟盲牌バレバレですし、白のカン2回目の時点で明らかにイカサマなのですが、
のような点を気にせず楽しめるのではありませんか。いつかオフで聞いた逆転裁判の感想を思い出しました【謎】。
[5232] Re:「街へいこうよ どうぶつの森」
ばけら (2009年1月13日 0時6分)
>アドバイスありがとうございました。WiiではSDカードに保存した画像を見ることができました。DSiでは、アルバム0枚となり見ることができませんでした。DSiに問題がありますか?修理に出さなければならないんでしょうか?
他の方々のコメントを見ると、そもそも、DSiではDSiで撮った写真しか見られないようですね。どうぶつの森の写真をDSiで見るのは不可能、ということのようです。
[5231] Re:「街へいこうよ どうぶつの森」
なな (2009年1月12日 15時4分)
アドバイスありがとうございました。WiiではSDカードに保存した画像を見ることができました。DSiでは、アルバム0枚となり見ることができませんでした。DSiに問題がありますか?修理に出さなければならないんでしょうか?SDカードは、任天堂Wii
SDメモリーカード512MBです。
[5230] Re:「Webアプリ脆弱性分類とか」
りゅう (2009年1月12日 8時3分)
>>ip (範囲)をチェックすれば良いと思います。
> 同組織内に攻撃者がいたら防げません。携帯サイトならばそれなりに効果があると思いますが、PCサイトでは危険ではないでしょうか。
むしろ全員が特定少数のゲートウェイからのアクセスになってしまう携帯サイトでは効果が期待できないと思います。
それはそれとして、以下の2つの分類は同じ「メタ文字の不適切な取り扱いバグ」が原因の脆弱性なのにも関わらず、出力先がHTMLかそうでないかで別になっているのが気になります。攻撃対象がクライアント側かサーバ側かということなのかもしれませんが、この分類方法だといわゆるタイプ2のXSSが漏れるので良くない感じがします。
・入力値をそのまま出力してしまう「エコーバック問題」
・ 悪意のパターンが注入されてしまう「入力問題」
[5229] Re:「高木さんのMacBookAir」
ばけら (2009年1月12日 0時7分)
>外装というとこれのことでしょうか。
>http://www.hummingheads.co.jp/column/seminar/seminar08.html
ですね。
なんか増えているような気がしますが……。
[5227] Re:「Webアプリ脆弱性分類とか」
ばけら (2009年1月10日 5時31分)
> 同組織内に攻撃者がいたら防げません。携帯サイトならばそれなりに効果があると思いますが、PCサイトでは危険ではないでしょうか。
いや、携帯サイトでも危険は危険ですよね。Referer漏洩の危険が相対的に少ない、というのはあるのかもしれませんが。
# 携帯サイトだって、好きでURLにつけているわけではないはず。
[5226] Re:「Webアプリ脆弱性分類とか」
ばけら (2009年1月10日 5時26分)
>それだけではまずいです。以下の"それマルチバイトで"のところ参照。
文字符号化方式についてはここでは議論していませんが、それは別途注意すべきでしょうね。属性値に限らず、XSSに限らず発生する問題です。
>data: スキーマも危険です。
それは「など」に含んでいるつもりです。tel: や mailto: なども場合によっては問題がありますし、危険なものを列挙する方向では考えたくないですね。その後ろに書いてあるように、http: か https: 以外は入ってこないようにした方が良いという考えです。
>ip (範囲)をチェックすれば良いと思います。
同組織内に攻撃者がいたら防げません。携帯サイトならばそれなりに効果があると思いますが、PCサイトでは危険ではないでしょうか。
[5225] Re:「Webアプリ脆弱性分類とか」
n (2009年1月10日 5時15分)
投稿ミスったかな…。
>属性値を動的生成する場合、属性値を必ず二重引用符で括り、" と & と < をエスケープする。
それだけではまずいです。以下の"それマルチバイトで"のところ参照。
openmya.hacker.jp/hasegawa/public/20061209/momiji.html
>javascript: などで始まることがないように注意する。
data: スキーマも危険です。
>たやすいですかね? 確かにXSSがあればたやすいのですが、他の脆弱性がなければ難しいと思うのですけどね。
>しかし、本当にたやすく盗まれるのだとすると、どういう対策をしたら良いのでしょう。Cookieを使わずにとなると、携帯サイトのようにURLにつけたりする事になると思いますが、それはもっと危険だと思いますし……。
ip (範囲)をチェックすれば良いと思います。中間者攻撃には意味ないですが、セッションハイジャックは防げます。ただし、セッションハイジャックができるということは正規利用者を操ることができるため、どこまで有効かは分かりませんが。
