トップ 最新 追記

"週"記

日記?ムリっ。
半年1回の更新を目指すよう心がけます。
RSS

WebAppSec

2003|08|09|10|11|12|
2004|01|02|03|04|05|06|07|08|09|10|11|12|
2005|01|02|03|04|05|06|07|08|09|10|11|12|
2006|01|02|03|04|05|06|07|08|09|10|11|12|
2007|01|03|04|05|06|07|08|09|12|
2008|01|02|
2009|04|
2010|02|

履歴


2007-12-15

_ [webappsec] </xssed> Domain: devnull.jp (blueタン、thanks!!)

tDiary の category.rb に問題があるみたい。 他のサイトにも影響があるだろうということでblueタンがIPAにも通報してくれて、開発者も認識済みらしいので、近々正式に対策されたものが出てくるでしょう。

ちなみに自分のところはどうしてるかというと、自分でちょっといじってしまいました。本質的な対策じゃないけど、参考にどうぞ。

--- category.rb.old     2007-12-14 17:50:24.000000000 +0900
+++ category.rb 2007-12-14 17:51:27.000000000 +0900
@@ -339,7 +339,7 @@
                        @mode = :all
                end
 
-               if /\d{4}/ === @year.to_s
+               if /^\d{4}$/ === @year.to_s
                        @mode = :year
                else
                        @year = nil

2007-12-17追記
開発元からアナウンスが出てるので、これで対策した方がいいと思います。
tDiaryの脆弱性に関する報告(2007-12-16)


2007-12-16

_ [etc] 0day?

よく考えたらこれ、0day 攻撃受けたってことなのか?

こういう場合、どうしたらいいんだろ。まともにIPAとか通してると(間にステップが入る分)どうしても対応が遅くなるし。攻撃手法が公開されてるとはいえ、どのくらい知れ渡ってるのかよくわからないし。そもそも攻撃手法が出回っちゃってるものって、IPAの守備範囲なんだっけ?

オープンソースのものなら修正を開発者に押しつけるのではなく、自分(もしくはできる人)が修正版を公開して、後で本家にマージしてもらうのがいいのか?

とかいろいろ考えてたら、やられてることはずいぶん前から知ってたんだけど、結果的に対応が遅くなってしまった。申し訳ない。


2007-12-18

_ [etc] tDiary 2.2.0

バージョンアップしてみた。


2007-12-24

_ [etc] MyMiniCity

流行物には乗ってみよう、ってことで今更ながら作ってみた。
http://ankokuty.myminicity.com/


無料アクセス解析