新生鳩丸掲示板♯

bakera.jp > 新生鳩丸掲示板♯ > 投稿順表示 (48/282)

投稿順表示 (48/282)

[4949] Re: 「予告.inがXSSでやられた」

a (2008年8月7日 17時35分)

字幕.inとかもそうですけど、矢野さんの癖なんですかねこれ。

[4948] Re: 「予告.inがXSSでやられた」

ばけら (2008年8月5日 1時28分)

>2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。

 なるほど。それはしょんぼりですね……。

[4947] Re: 「予告.inがXSSでやられた」

えむけい (2008年8月5日 0時39分)

> 2chではこの問題は対策済みであるという話ですが……。この対策が有効になっていなかったのか、それとも何らかの方法で貫通された (Referer捏造された?) のか、興味深いところですね。

2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。

[4946] Re: 「くりきんは危険かも」

グンカマキン (2008年8月4日 15時48分)

ヒーローみたいなキンどうやったらてにはいるんですか?教えてください

[4945] Re: 「WASForum Conference 2008: Security Wars EpisodeⅢ」

赤い人 (2008年7月31日 19時5分)

>事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。

うろ覚えですが、Officeさん事件の手法を公開してみます。

・Post(?)リクエストで送信するパラメータにエラーページが指定されている

・そのパラメータにソースコードのcgiを指定したら、データの格納先がわかった

・そのパラメータにデータの格納先を指定したら、個人情報が取得できた

教訓:「遷移先のページをパラメータで渡すな!」ですかのぅ

それにしても、こんなに楽しいネタがあるなら、WAFカンファレンス行きたかったです。

[4944] Re: 「ベリサインのセキュアドシールは役に立つのか」

ばけら (2008年7月29日 13時30分)

>>https://日本クロストラスト.jp/

>新生鳩丸掲示板♯は日本語ドメイン未対応でしたか。

未対応ですね。

Perlメモの正規表現を使っているので……。

http://www.din.or.jp/~ohzaki/perl.htm#httpURL

日本語ドメイン対応の URL の正規表現ってどこかにあったりするのでしょうか。

ゼロから考えるとけっこう面倒そうな気もしており。

[4943] Re: 「ベリサインのセキュアドシールは役に立つのか」

えむけい (2008年7月29日 1時10分)

>https://日本クロストラスト.jp/

新生鳩丸掲示板♯は日本語ドメイン未対応でしたか。

[4942] Re: 「ベリサインのセキュアドシールは役に立つのか」

えむけい (2008年7月29日 1時9分)

>今のところ実物を見たことがありません。

当の業者がサンプルページを公開していることに気付きました。

https://日本クロストラスト.jp/

英字ドメインのほうはなぜかEVではなかったので発見が遅れました。

https://crosstrust.co.jp/

[4941] Re: 「IPAからの指摘を教訓にできなかったアイリスプラザ」

F2 (2008年7月28日 10時57分)

> 棚卸しと総点検を行っていれば

そんなお金はありません。< お

限りある予算の中でやり繰りする。ここは分配を失敗したのでしょうね。

今回は、IT周りの脆弱性でしたが、次は地震・火事・盗難かも。

鳥やサボテンに相談してしまうのも無理ないです。

[4940] Re: 「ベリサインのセキュアドシールは役に立つのか」

えむけい (2008年7月25日 21時23分)

> この前の WASForum では「UTF-8を突っ込む方法が決まっていない」という話をされていたような。

http://www.ipa.go.jp/security/rfc/RFC4630JA.html

とかのお話でしょうか。

> 文字列が国際的な表現(internal representation)から可視表現(visual representation)にマップされるとき、

とりあえずIPAの中の人【誰】にはinternalとinternationalの区別が付かないことはわかりました【謎】。

[4939] Re: 「ベリサインのセキュアドシールは役に立つのか」

ばけら (2008年7月24日 22時25分)

>日本の法人は日本語のOrganizationでEV SSLの証明書を取得できるようにしてほしいですね。

 ですねー。

>というか、そういうサービスはすでに存在するようなのですが、

>http://crosstrust.co.jp/company/press_release/p20070530

>今のところ実物を見たことがありません。

 この前の WASForum では「UTF-8を突っ込む方法が決まっていない」という話をされていたような。

 その辺はクリアされているってことなのでしょうか……。

[4938] Re: 「ベリサインのセキュアドシールは役に立つのか」

ばけら (2008年7月24日 22時23分)

>https://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=bakera.jp&lang=ja

>> bakera.jp は、ベリサインの以下のサービスを使用しています。

 orz

 情報ありがとうございます……。

[4937] Re: 「何でもエスケープすれば良いというものでは……」

ばけら (2008年7月24日 22時23分)

>すぐ下のサンプルコードでは、しれっと&ensp;になっているようではあります。

 お、ホントだ。

 しかしそれはそれで意味不明ですね……。

[4936] Re: 「ベリサインのセキュアドシールは役に立つのか」

えむけい (2008年7月23日 23時13分)

日本の法人は日本語のOrganizationでEV SSLの証明書を取得できるようにしてほしいですね。

というか、そういうサービスはすでに存在するようなのですが、

http://crosstrust.co.jp/company/press_release/p20070530

今のところ実物を見たことがありません。

[4935] Re: 「ベリサインのセキュアドシールは役に立つのか」

MatsuTake (2008年7月23日 22時29分)

> さすがに今は大丈夫だろうと思いますが……。

今でもわりとグダグダです。

http://slashdot.jp/comments.pl?sid=391067&cid=1301392

https://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=bakera.jp&lang=ja

> bakera.jp は、ベリサインの以下のサービスを使用しています。

[4934] Re: 「何でもエスケープすれば良いというものでは……」

yuu (2008年7月23日 15時37分)

すぐ下のサンプルコードでは、しれっと&ensp;になっているようではあります。

[4933] Re: 「くりきんは危険かも」

ダブルエレキン (2008年7月22日 21時44分)

だれかぁーハッカクおしえてー

[4932] Re: 「くりきんは危険かも」

ダブルエレキン (2008年7月22日 21時42分)

あのーみんなぁー

[4931] Re: 「IP アドレス逆引きツール」

SZ Suzuki (2008年7月22日 16時37分)

なんと手頃なツールでしょうか。

サクッと、解決してほっと喜んでいます。

心からありがとう!

[4930] Re: 用語「RFC2854」

ばけら (2008年7月14日 21時50分)

>blockquoteの内容はいずれもRFC2965よりの引用となっていますが、「RFC2854より」の間違いですよね?

 ですね。ありがとうございます。

 修正しておきました。

最近の日記

関わった本など