トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2004-03-02

_ The Unofficial Log Parser Support Site

原稿から逃げてる某氏のところより

3/6 のネタに入れられるかなぁ。きっと間に合わないだろうなぁ。


2004-03-04

_ WASフォーラム ポータルサイト

WebApplicationSecurityに関するコンファレンス・セミナーの実施、情報の開示・交換によるWebApplicationSecurityに関する相互研鑽を目的としたフォーラムのサイトです。


2004-03-05

_ 明日の勉強会

なんかいろいろ噂が飛び交っているようで、ご心配おかけしてます。 ちょっとハードな仕事などにぶち当たっていてグロッキーにはなってますが、 ちゃんと行きますので。

本日のツッコミ(全1件) [ツッコミを入れる]

_ 高瀬 [補足してなくて行けなかったぁぁぁ(;´Д`)ムネン ]


2004-03-07

_ Divide and Conquer - HTTP Response Splitting, Web Cache Poisoning Attacks, and Related Topics

webappsec@securityfocus.comより。

/redir_lang.jsp?lang=English

に対して、

HTTP/1.1 302 Moved Temporarily
Location: http://10.1.1.1/by_lang.jsp?lang=English
Content-Type: text/html
Connection: Close

となるアプリケーションに対して、%0Dや%0Aのサニタイジングがされていないと、

/redir_lang.jsp?lang=foobar%0d%0aContent-
Length:%200%0d%0a%0d%0aHTTP/1.1%20200%20OK%0d%0aContent-
Type:%20text/html%0d%0aContent-
Length:%2019%0d%0a%0d%0a<html>Shazam</html>

とされると、

HTTP/1.1 302 Moved Temporarily
Date: Wed, 24 Dec 2003 15:26:41 GMT
Location: http://10.1.1.1/by_lang.jsp?lang=foobar
Content-Length: 0
HTTP/1.1 200 OK Content-Type: text/html Content-Length: 19 <html>Shazam</html>
Content-Type: text/html Connection: Close

となり、いろいろと悪さができてしまう、という話

  • web cache poisoning
  • cross user defacement
  • hijacking pages with sensitive user information and an old favorite
  • cross-site scripting (XSS)

といった被害が考えられる。

このテクニックは、任意のCookieを発行させるのに良く使ってたけど、レスポンス丸ごと偽装するところまでは思いつかなかったなぁ。

_ 不具合

どうもツッコミが入れられないみたいです。只今修復中。

修復しました。原因は前にもあったmod_security のようです。(同じ失敗するなよ<自分) blawgさん、hoshikuzuさんご迷惑おかけしました。 前回同様ツッコミのデータは残っていたので、そこから手動で回復させています。

_ 不具合の原因

どうも、ツッコミを入れるときに使われる

POST / HTTP/1.1

というリクエストがだめなようで、

POST /index.rb HTTP/1.1

とするとうまくいきました。それに合わせて tDiary のほうをいろいろいじっています。

あまり気持ちのいい直しかたではないので、根本的な mod_security を直す方向で、ソースを読み中。

本日のツッコミ(全6件) [ツッコミを入れる]

_ blawg [おもしれー。さっそく、やってみよ(マテ]

_ hoshikuzu [国分さんによる類例がこちらにもあります。 @IT:クロスサイトスクリプティング対策の基本(後編) http://ww..]

_ hoshikuzu [@IT:クロスサイトスクリプティング対策の基本(後編) http://www.atmarkit.co.jp/fsec..]

_ YamaKen [こんにちは。通りすがりました((((((;^^) アーカイブの部分、リンクがちと怪しげなことになってるようです。i..]

_ bun [ありがとうございます。直しました。]

_ TOTORO [相変わらずの黒さですね。ついていけませんわ。]


2004-03-09

_ Yahoo!検索より

どうでもいいですが、Y氏は」で検索して来られた方がいらっしゃるのですが。誰でしょう、Y氏って?

それこそどうでもいいんですけど。

_ わーむキター

意外なルートでした。

本日のツッコミ(全3件) [ツッコミを入れる]

_ Simurgh [・どうでもいい ・y氏 の2つに分離されてマッチングされてるもよう]

_ みゃー [どうでもいいんですかぁ(゜д゜;;]

_ Simurgh [・どうでもいい ・y ・氏 の3つ、だた〜よヽ(´▽`)ノ 黒帝が自分で書いてるからしょうがないのねぇ。]


2004-03-10

_ [orkut] Messages を数値文字参照に変換する bookmarklet

orkut の Messages で日本語を入れるのに、 数値文字参照変換スクリプトを使わせてもらったんですが、私はほんの数回のコピペさえも面倒に思うダメニソゲソなので、それを参考にこんなの作ってみました。

javascript:z=document.f;s=z.textboxSubject;s.value=h(s);b=z.textboxBody;b.value=h(b);void(0);
function%20h(e){x=e.value;y=%22%22;for(n=0;n<x.length;n++)y+=(%22&%23%22+(x.charCodeAt(n))+%22;%22);return(y);}
  1. (表示上の都合で複数行になってますが)上記の全部を1行の URI として、適当な名前をつけてブックマークに入れておく。
  2. orkut の Message 作成画面で、"日本語"で件名とメッセージを書く。
  3. ブックマークから呼び出す。

と、変換してくれます。IE と Mozilla で動作確認済み。

上記のは Messages 専用ですが、見ている入力フィールド名を変えれば使えると思うので、各自お好きにどうぞ。

3/11 追記: 上のスクリプトをリンクにしてみました。ブックーマークに入れらんないって人がいるので(w
ここからブックマークに登録したらどう?。右くりっくなう

_ 現実逃避

終了。はい、仕事仕事。
ちゃう、ダーツの時間だった。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [おもろー。スクリプト。ウマー(゜д゜]


2004-03-11

_ 今日は暖かい

と、CPU温度のグラフを見て実感しました。

本日のツッコミ(全3件) [ツッコミを入れる]

_ みゃー [もうちょっとニソゲソらしく感知してよ。。(´д`;;]

_ YamaKen [うーん、すごく説得力があります(汗) なんというかこう、心をわしづかみにされるような、そんな訴求力のある表現ですね。..]

_ Simurgh [たしかに、PCだけで暖房が要らなくなったら春と言うかなんというかw]


2004-03-12

_ 勉強会資料

公開されてます。
第 17 回 NT-Committee 2 関東勉強会


2004-03-13

_ @京都です。


2004-03-14

_ @東京です。

お疲れ様でした。
帰りの新幹線、隣にいらっしゃった某氏は大量の書類を読んでいたので、邪魔しないようにおとなしく寝てました。ちょっとは貢献した?

_ さて、

これから後輩の結婚式の2次会なのです。長かった週末はこれで終了。

本日のツッコミ(全1件) [ツッコミを入れる]

_ みゃー [ゲラを抱いて寝るシソカソセソですか(ほろり]


2004-03-17

_ [orkut] spam

orkut からのメールが来ないなぁと思ってたら、SpamCop の BL に載っていると BkASPil for Becky!2 が検知していました。

皆さん招待状をspamだと思ったんでしょうか。私も事前に何も聞いてなかったら、迷惑メールだと思ったでしょうねぇ。といっても事前に聞かされた内容は「会員制 おかまばー」で、それならと断ってるのに招待状を送って来たし。
きっとおかま仲間を増やしたかったんでしょうけれども、そのご期待には応えられませんので。>某氏

本日のツッコミ(全4件) [ツッコミを入れる]

_ けん [index.rdfの出力でリンク先が  http://www.devnull.jp/tdiary/index.rb2..]

_ bun [ありがとうございます。直しました。]

_ みゃー [ふふ(゜ー゜*]

_ bun [↑イタズラする相手を間違えてまっせ ( ̄ー ̄)]


2004-03-19

_ WebScarab 20040318-0913

メモだけ。

_ [doc] Detection of SQL Injection and Cross-site Scripting Attacks

英語な文章は読むのに激しく時間がかかかるので、メモだけ。
04/08 追記: 詳細は 2004-04-08へ。


2004-03-23

_ [etc] 最近

結婚シーズンなので結婚ネタはもうおなかいっぱいなのですが、でもやっぱり、めでたい話題が入ってくることは私にとっても幸せなことです。

_ [etc] 寒い

部屋は4台のマシンが上がってるから冬でも暖かいはずなのに CPU の温度がどんどん下がってるから何かと思ったら、気温が下がってるんですな。
CPU 温度グラフ

本日のツッコミ(全4件) [ツッコミを入れる]

_ TOTORO [だから、気温を感じるところが違うってば。 もう少し、人間らしくなりませんか?]

_ bun [人間の感覚なんてすぐに騙されるじゃないですか。]

_ bun [問題は、気温とか体温ではなく CPU 温度なとこかな。]

_ TOTORO [確かに、私の部屋でもマシンがあれだけ稼動していて、暖房を入れなきゃいけないってのは、何か間違ってるような気もしますけ..]


2004-03-24

_ ツール2つ

Paros v3.1.1
Burp spider

ひとまずメモだけ。続きは会社行ってから(マテ

_ [ツール] Paros v3.1.1

先日のHTTP Response Splittingを受けてか、「%0D%0ASet-cookie:%20」ってのが増えてますね。と思ったら、前からありました。 他に PerlInjection という名前で、「;ls%20/」とか「;wait%2015;#」なんてのが入ってたり、SQLInjectionなテストには「try BLIND MSSQL INSERT using timing」なんてコメントが見えたりしてます。

更新内容は以下。

New Features:

  • add URL encoder/decoder in "Tools|Hash/Encoding..."
  • improve performance in reading HTTP header
  • add a 'Comment' panel in Log Analyzer to show comments
  • add a 'Script' panel in Log Analyzer to show scripts
  • add two filters 'ReplaceRequestHeader' and 'ReplaceRequestBody' to replace text in HTTP requests
  • rename cookietampering to CRLFInjection to better describe the scanner test case

Bug Fixes:

  • solved a bug that SQL scanner checks may use the tampered/modified query string for scanning
  • solved a bug that the report may be generated before the last scan thread ends.
  • modified 'CookieDetectFilter' filter to handle mutiple Set-Cookie lines in header.

_ [ツール] Burp spider

SecuDiaryでのご指名より。

サイトの自動巡回用のツール。普通の自動巡回ツールは FORM があるとそこで諦めてしまうが、これは FORM に突き当たるたびにフォーム入力するためのウィンドウがあがってきてユーザが入力することもできる。Basic 認証も同じようにできるといいのだが、未対応。

そのサイトに含まれるコンテンツがツリー形式と表形式で見れる。 ツリー形式のほうは、

  • そのページへリンクしているページのURL
  • レスポンス丸ごと(含むレスポンスヘッダ)
  • フォームがある場合は、フォームの各フィールドの情報

が見え、表形式のほうは、

  • SSL かどうか
  • 動的コンテンツかどうか
  • セッション管理がされているか

などが見えるのが、他の自動巡回ツールにはない機能だと思う。

動的コンテンツかどうかの判定が怪しいとか、レスポンスが丸ごと見えるのはいいんだけど日本語ページは文字化けしてるとか、結果を出力できないのかとか、実際に使うには若干の問題はありそう。

本日のツッコミ(全3件) [ツッコミを入れる]

_ bun [こんなとこでいいっすかぁ?>hiro-t]

_ hiro-t [十分ですm(__)m 私もこれから触ってみようと思います。]

_ みゃー [よかったねー(´ー`)の]


2004-03-26

_ [etc] OWASP

なんかプロバイダの障害中みたいですね。

_ [doc] セキュアなプログラマー: 入力を検証する

メモメモ
04/08 追記: 詳細は 2004-04-08へ。

本日のツッコミ(全1件) [ツッコミを入れる]

_ YamaKen [OWASP 元に戻ったようですよ。]


2004-03-28

_ [ダーツ] ダーツ大会

湾岸ダーツトーナメントというのがあって、出場してきました。

  • 時間: 7時起き
    いつもは夜やってます。そもそも平日でもそんな時間には起きません。
  • 参加人数 820人
    スタッフ含めたら1000人超えてます。人多杉。
  • 会場: 横浜 大桟橋ホール
    とっても眺めのいい会場でした。普段は薄暗〜い地下でやってます。

という普段と全く違う環境だったため、成績のほうは(以下略)。
ま、楽しかったし、いろんな人と知り合いになった気分なので良しとしよう。

本日のツッコミ(全1件) [ツッコミを入れる]

_ sanaki [ダーツいいな...やってみたいと思いつつ...]


無料アクセス解析