投稿順表示 (48/282)
前のページ 1...43/44/45/46/47/48/49/50/51/52/53...282 次のページ
[4948] Re: 「予告.inがXSSでやられた」
ばけら (2008年8月5日 1時28分)
>2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。
なるほど。それはしょんぼりですね……。
[4947] Re: 「予告.inがXSSでやられた」
えむけい (2008年8月5日 0時39分)
> 2chではこの問題は対策済みであるという話ですが……。この対策が有効になっていなかったのか、それとも何らかの方法で貫通された (Referer捏造された?) のか、興味深いところですね。
2chのRefererチェックはザルなので、ホスト部が2ch.net.example.comのようになっているURLから投稿すると貫通するようです。
[4945] Re: 「WASForum Conference 2008: Security Wars EpisodeⅢ」
赤い人 (2008年7月31日 19時5分)
>事件からずいぶん年月も経ったことですし、技術的な部分については情報を公開した方が良いのかもしれないと思ったり。
うろ覚えですが、Officeさん事件の手法を公開してみます。
・Post(?)リクエストで送信するパラメータにエラーページが指定されている
・そのパラメータにソースコードのcgiを指定したら、データの格納先がわかった
・そのパラメータにデータの格納先を指定したら、個人情報が取得できた
教訓:「遷移先のページをパラメータで渡すな!」ですかのぅ
それにしても、こんなに楽しいネタがあるなら、WAFカンファレンス行きたかったです。
[4944] Re: 「ベリサインのセキュアドシールは役に立つのか」
ばけら (2008年7月29日 13時30分)
>>https://日本クロストラスト.jp/
>新生鳩丸掲示板♯は日本語ドメイン未対応でしたか。
日本語ドメイン対応の URL の正規表現ってどこかにあったりするのでしょうか。
ゼロから考えるとけっこう面倒そうな気もしており。
[4943] Re: 「ベリサインのセキュアドシールは役に立つのか」
えむけい (2008年7月29日 1時10分)
>https://日本クロストラスト.jp/
新生鳩丸掲示板♯は日本語ドメイン未対応でしたか。
[4942] Re: 「ベリサインのセキュアドシールは役に立つのか」
えむけい (2008年7月29日 1時9分)
>今のところ実物を見たことがありません。
当の業者がサンプルページを公開していることに気付きました。
https://日本クロストラスト.jp/
英字ドメインのほうはなぜかEVではなかったので発見が遅れました。
[4941] Re: 「IPAからの指摘を教訓にできなかったアイリスプラザ」
F2 (2008年7月28日 10時57分)
> 棚卸しと総点検を行っていれば
そんなお金はありません。< お
限りある予算の中でやり繰りする。ここは分配を失敗したのでしょうね。
今回は、IT周りの脆弱性でしたが、次は地震・火事・盗難かも。
鳥やサボテンに相談してしまうのも無理ないです。
[4940] Re: 「ベリサインのセキュアドシールは役に立つのか」
えむけい (2008年7月25日 21時23分)
> この前の WASForum では「UTF-8を突っ込む方法が決まっていない」という話をされていたような。
http://www.ipa.go.jp/security/rfc/RFC4630JA.html
とかのお話でしょうか。
> 文字列が国際的な表現(internal representation)から可視表現(visual representation)にマップされるとき、
とりあえずIPAの中の人【誰】にはinternalとinternationalの区別が付かないことはわかりました【謎】。
[4939] Re: 「ベリサインのセキュアドシールは役に立つのか」
ばけら (2008年7月24日 22時25分)
>日本の法人は日本語のOrganizationでEV SSLの証明書を取得できるようにしてほしいですね。
ですねー。
>というか、そういうサービスはすでに存在するようなのですが、
>http://crosstrust.co.jp/company/press_release/p20070530
>今のところ実物を見たことがありません。
この前の WASForum では「UTF-8を突っ込む方法が決まっていない」という話をされていたような。
その辺はクリアされているってことなのでしょうか……。
[4938] Re: 「ベリサインのセキュアドシールは役に立つのか」
ばけら (2008年7月24日 22時23分)
>https://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=bakera.jp&lang=ja
>> bakera.jp は、ベリサインの以下のサービスを使用しています。
orz
情報ありがとうございます……。
[4937] Re: 「何でもエスケープすれば良いというものでは……」
ばけら (2008年7月24日 22時23分)
>すぐ下のサンプルコードでは、しれっと になっているようではあります。
お、ホントだ。
しかしそれはそれで意味不明ですね……。
[4936] Re: 「ベリサインのセキュアドシールは役に立つのか」
えむけい (2008年7月23日 23時13分)
日本の法人は日本語のOrganizationでEV SSLの証明書を取得できるようにしてほしいですね。
というか、そういうサービスはすでに存在するようなのですが、
http://crosstrust.co.jp/company/press_release/p20070530
今のところ実物を見たことがありません。
[4935] Re: 「ベリサインのセキュアドシールは役に立つのか」
MatsuTake (2008年7月23日 22時29分)
https://seal.verisign.com/splash?form_file=fdf/splash.fdf&dn=bakera.jp&lang=ja
> bakera.jp は、ベリサインの以下のサービスを使用しています。
[4930] Re: 用語「RFC2854」
ばけら (2008年7月14日 21時50分)
>blockquoteの内容はいずれもRFC2965よりの引用となっていますが、「RFC2854より」の間違いですよね?
ですね。ありがとうございます。
修正しておきました。