4月7日のtwitterセキュリティクラスタ

困ったことにまたまた地震が来ましたが、もうなんだか慣れてしまってダメな人です。ちなみに週末は大磯の方に向かうのですが、避難するわけではなく仕事です。というわけで明日から月曜日までの更新はお休みになります。すみません。
昨日紹介した@piyokangoさんの日記に書かれたWAFのことに↓に鋭い突っ込みが入っています。できるできないっていうのは記憶に頼らずにちゃんと調べないといけませんな。

piyokango: 忘れる前に書いてみました。/大規模インジェクション 「LizaMoon」攻撃について調べてみた。 http://bit.ly/hXEhZ6
ymzkei5: え、、“ブラックリストタイプのWAFでこの数値リテラル型をつくSQLインジェクションを防ぐことが出来ません。” >■大規模インジェクション 「LizaMoon」攻撃について調べてみた。 – piyolog http://bit.ly/eSHEtp
ymzkei5: @ockeghem そういうWAFもあるのかしら、、(^ー^;
ockeghem: 日記書いた / ライザムーン(LizaMoon)攻撃に対してもWAFは有効 – ockeghem(徳丸浩)の日記 http://htn.to/HWkRdd
ymzkei5: @ockeghem 完璧すぎますwww
ockeghem: マジレスすると、Citrix Application Firewallは、記号が入っていないとSQLインジェクション防御が抜けやすくなりますね。“完璧なWAF”なのかもしれないw
piyokango: @ockeghem @ymzkei5 勉強不足ですみません。http://bit.ly/hXZjJJ を10回読んで””(こっそり)修正します。
ockeghem: @piyokango @ymzkei5 僕も日記に書きましたが、その前に@sonodam が引用しているしw
引用されているというのはhttp://d.hatena.ne.jp/sonodam/20110407ですね。

piyokango: こっそり、、修正しました。。
piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。
ockeghem: 某先生からdisられて、心臓が口から飛び出るような思いをしないうちは一人前とは言えませんぞw RT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。
ymzkei5: そして何年か後に和解して対談する、と。(ちがうw QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。
piyokango: 仲良く握手する写真は撮らせてもらえないんですか。。(笑) RT @ymzkei5: そして何年か後に和解して対談する、と。(ちがうw QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。
katsuny3: そしたら○○先生にディスられた人飲み会をやろう QT @piyokango: 「またpiyokangoか」とその内いわれる気がしてきました。
piyokango: やはり懇親会の前にはディスられ勉強会が必要かと。。 RT @katsuny3: そしたら○○先生にディスられた人飲み会をやろう QT 「またpiyokangoか」とその内いわれる気がしてきました。
JSから読み出せないからちょっとくらいXSS対策になりそうな気がしなくはないhttponlyなcookieについて。上書きはできるんですね。

tomoki0sanaki: 一応、JavaScript 上から「document.cookie = ” abc=xyz; path=/; httponly; ” + document.cookie;」みたいにすると、httponlyなクッキーを追加保存はできるようだ。
tomoki0sanaki: ブラウザだけで使う→ローカル/セッションストレージ。ブラウザでは使わないけど、サーバ(WebAPplication)で使う→クッキー。という仕分けができれば、クッキーのhttponlyは普及するかも・・・
s_hskz: XSS有り前提なら、JavaScriptオフでも昔のIEではmeta要素で上書きできたはずです。IE8では未検証。QT @tomoki0sanaki: httponly なので、追加保存した後で、JavaScript から読み出せなくなるけど、上書きはできるようだ。
tomoki0sanaki: @s_hskz httponly などは、おまじない程度だとは重々分かっています。
s_hskz: @tomoki0sanaki うっかり作ってしまった時の記録です> http://d.hatena.ne.jp/hoshikuzu/20090806
s_hskz: @tomoki0sanaki うわ、肝心のコードは何も書いてないので、すみません。meta要素でcookie書けるコードならgoogleでころがってますので、それをコピペして、httponly風味に付加した記憶があります。
XSSというかその関連のコードがいろいろ書かれているのですが、ちっとも意味がわかりません。WEBの検査をする人って日々こんな呪文を使いこなしているのかと思うと脱帽ですね。

s_hskz: ( ) = [ ] を使わずに、IE8 でalert(1)できるということ。ナイス!
s_hskz: alert(1) w/o ( ) [ ] = on IE8
hasegawayosuke: http://example.com/#1={a:#1#,b:alert(1)} // payload in location.hash, for eval( location.hash )
s_hskz: 1%{valueOf:location,toString:Array.prototype.shift,0:name,length:1} ⇔Overall impact: 8 PHPIDS
s_hskz: @hasegawayosuke 御意にござりまする。たとえば、こんなの、どうして動くんだか忘却。→ {name=”alert(1)”}{testfunc=function(){eval(name)}}{new testfunc}//for IE
thornmaker: http://blog.mindedsecurity.com/2011/03/abusing-referrer-on-explorer-for.html this could be useful for more then just referrer XSS, methinks
hasegawayosuke: window.__defineGetter__(“uu”,function() { alert(1) });eval(“u”); “Opera parser monster eats unicode” http://bit.ly/f7cv76 by @garethheyes
その他に気になったことはこのあたり。

bulkneets: facebookのサブドメインのXSS動かなくなってる、報告されて4日、晒されて3日強ぐらいで直ったっぽいですね http://bit.ly/gBq58Z

ikb: 総務省|東日本大震災に係るインターネット上の流言飛語への適切な対応に関する電気通信事業者関係団体に対する要請 http://t.co/RrygVf3 — 検閲がはじまるのか。流言飛語というけれど、それがそうであると誰が決めるんだ?

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation