Windows-31JがUTF-7によるXSSの要因になることはよく知られるようになって来ましたが、依然としてMS932やWindows-31Jが使われるWebアプリケーションは生産され続けています。 その原因の1つはJ2EEのサーブレット及びJSPのAPIの仕様の欠陥にあるのではないかと最近思うようになってきました。 javax.servlet.ServletResponse や JSP の仕様では、 文字列→バイト列への変換に使用する変換テーブル名 HTTPのContent-typeヘッダに埋め込んでブラウザに送信されるエンコーディング名 の2つに同じエンコーディング名を使う事になっているので、 Shift_JIS で特定の文字が文字化けしてしまうのを防ぐために Windows-31J による変換を行う様に指定するには、Content-typeヘッダに埋め込むのエンコーディング名に W
IEでUTF-7なスクリプトをiframeの中に表示するとXSSが発生するメモです。 あんまりこの話には詳しくないので、今後の調査材料として残しときます。 (※一応悪用厳禁であります!) iframe内のエンコードが正しく指定されていない場合は、そのiframeの親にあたる部分のエンコードが自動的に適用されるというIEのバグがあるみたい。 今回はそれのちょこっとした検証! 1番初めに呼ばれるhtml(①.html) <html> <head> <title> </title> </head> <body> <script type="text/javascript"> window.onload = function(){ var iframe = document.createElement('iframe'); iframe.src = '/utf7XSS/utf7XSS'; docu
ここは、管理人yamagataが方針未定のまま、何となーく思いついたことを思いついたままにだらだらと書き付ける日記帳です。ふんわりほんわかな感じでお願いします。
史上空前のEUC-JPブームはとりあえずおいておいて、今日も最強の文字コードであるUTF-7について。 これまで私の中では、UTF-7によるXSSを避けるためには、Shift_JISやUTF-8といった、IEが受け入れ可能なcharsetをHTTPレスポンスヘッダまたは<meta>で明記してやればよいという理解でした。 具体的には、HTTPレスポンスヘッダで Content-Type: text/html; charset=Shift_JIS とするか、生成するHTML内で <meta http=equiv="Content-Type" content="text/html; charset=Shift_JIS"> とすれば、UTF-7によるXSSは防げると思っていました。ところが、後者の<meta>によるcharsetの指定では、条件によってXSSが防げないことがあるということに気付きま
米Watchfireは,米GoogleのWebサイト「www.google.com」にクロスサイト・スクリプティング(XSS)攻撃を許すぜい弱性が存在していたと,米国時間12月21日に発表した。Watchfire社は「フィッシング攻撃に使われる恐れがあった」としている。 このぜい弱性は,www.google.com内のエラー表示Webページを悪用すると,文字コードUTF-7によってエンコードされたスクリプトを実行できてしまうというもの。Watchfire社が11月15日に発見してGoogle社に報告した。Googole社は12月1日に修正を施し,現在は解決済みだ。 同サイトには,Webアクセス要求をリダイレクトする際に発生したエラーを表示する「Forbidden」(403エラー)ページと,存在しないWebページへのアクセスに対するエラーを表示する「Not Found」(404エラー)ページ
米国立標準技術研究所(NIST:National Institute of Standards and Technology)は現地時間11月26日,米Googleの検索アプライアンス「Google Search Appliance」にクロスサイト・スクリプティング(XSS)の脆弱性が見つかったことを明らかにした。フィッシング詐欺などに悪用される恐れがあるという。 Google Search Applianceとは,ハードウエアと検索ソフトウエアを組み合わせたアプライアンス製品。イントラネットや外部向けWebサイト内のコンテンツをインデックス化して,Googleサイトで提供されている検索エンジンと同等の検索機能を提供する。 NISTでは脆弱性の詳細を明らかにしていないが,UTF-7でエンコードされた文字の処理に問題があるという。このため,細工が施されたリンクをユーザーがクリックすると,Go
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
