連載
本当は怖い文字コードの話
最近,文字コードと関連したセキュリティの話題を目にすることが増えてきました。文字コードを利用した攻撃は技術的に未開拓ということもあり,参考となる情報がなかなか見当たりません。この連載では,文字コードを利用した攻撃やそれに対する対策について正しい知識を解説していきます。
- 第10回 文字コードが引き起こす表示上の問題点[後編]
- 拡張子の偽装
- これは脆弱性なのか
- おわりに
2009年12月14日
- 第9回 文字コードが引き起こす表示上の問題点[前編]
- 視覚的に似た文字
- 見えない文字
2009年10月21日
- 第8回 Unicodeからの多対一の変換[後編]
- 電子メールの添付ファイル
- 検索エンジンのインデックス生成
- MySQL Connector/JにおけるSQLインジェクション
- 対策
2009年9月7日
- 第7回 Unicodeからの多対一の変換[前編]
- Windows上でのUnicodeからShift_JISへの変換
- Windows上でのUnicodeからISO-8859-1への変換
- 問題を引き起こす「似た文字への変換」
2009年8月11日
- 第6回 先行バイトの埋め込み
- 先行バイト埋め込みの具体例
- 対策
2009年7月2日
- 第5回 不正なバイト列の埋め込み
- Mozilla Firefoxにおける0x80の無視
- Internet Explorerにおける0x00の無視
- 対策
2009年5月22日
- 第4回 UTF-8の冗長なエンコード
- UTF-8とは
- 冗長なエンコードとは
- 対策
2009年5月8日
- 第3回 US-ASCIIによるクロスサイトスクリプティング
- US-ASCIIによるXSSが発生するメカニズム
- 攻撃対象となるWebアプリケーション
- まとめ
2009年4月21日
- 第2回 UTF-7によるクロスサイトスクリプティング攻撃[後編]
- レスポンスヘッダ,meta要素のどちらでもcharsetが指定されていない
- charsetにIEが解釈できないエンコーディング名が指定されている
- meta要素でcharsetを指定しているときに,meta要素より前に攻撃者が文字列を挿入可能
- まとめ
2009年4月3日
- 第1回 UTF-7によるクロスサイトスクリプティング攻撃[前編]
- UTF-7を利用したXSS
- UTF-7によるXSSが発生するメカニズム
2009年3月20日
はせがわようすけ
ネットエージェント株式会社 研究開発部。
Unicodeなどの文字コードが引き起こすセキュリティ上の問題点について調査・研究を行っている。Internet Explorer,Mozilla Firefox をはじめソフトウェア製品およびWebアプリケーションに関する脆弱性を多数発見。
URL:http://utf-8.jp/
-
気になった記事(20090913)
子供も寝たので、週末の気になった記事を
Security関連
* Web解析の「Aircrack-ng」、正式版が登場
* おお、リリースされたか。早速実験しないとね。
* OSSEC version 2.2 available
* おお、出ましたか。しかもWordPress用のPlug Inまであるのか。凄いなぁ。Tracked : #1 ほほほのほ (2009/09/13, 23:23)