• はてなブックマーク
  • テクノロジー
  • ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)
  • Twitterでシェア
  • Facebookでシェア

ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)

テクノロジー カテゴリーの変更を依頼 記事元:blog.tokumaru.org
適切な情報に変更
312 usersがブックマーク コメント29
    共有

    • 記事へのコメント29

    • 注目コメント
    • 新着コメント
    その他
    ockeghem
    ockeghem 久しぶりにブログ記事を書きました。ISO-2022-JPの自動判定を悪用したXSSの説明です。SonarSourceブログの解説に加えて独自の調査結果も載せています

    2024/12/31 リンク

    その他
    rryu
    rryu ISO-2022-JPで使えるJIS X 0201、それが作られた当時は円マークとバックスラッシュを区別して扱えるシステムが無かったので何の意味もなかったが、まさか脆弱性の元として蘇ってくるとは…

    2024/12/31 リンク

    その他
    daishi_n
    daishi_n 45年以上前の仕様持ち越しだけど、バックスラッシュを円記号に置き換えたのは失敗だったんじゃないかなあ。(0x5cがエスケープコードと勘違いしてたので修正) JIS X 0201が1969年だから円記号が表示できる必要性はあったけど

    2024/12/31 リンク

    その他
    gfx
    gfx "ウェブコンテンツの文字エンコーディングの設定漏れは脆弱性と言えるのかという意見も見られるところでしたが、やはり文字エンコーディングは適切に設定しましょう"

    2024/12/31 リンク

    その他
    tkysktmt
    tkysktmt “多国語化対応されているサイトであれば、英語版のページを狙うことで攻撃成功の可能性は高まると思います”

    2024/12/31 リンク

    その他
    pixmap
    pixmap 「こんな文字、めったに使わんだろうし¥に当てたろ」vs 「こんな文字、めったに使わんだろうしエスケープシーケンスに当てたろ」

    2025/01/01 リンク

    その他
    tettekete37564
    tettekete37564 XSS対策の基本は外部から入力されたデータ内のHTMLタグのエスケープ、特にscriptタグのエスケープのはず。その上でバックスラッシュの有無が影響するケースというのはどういう事だろう

    2024/12/31 リンク

    その他
    punychan
    punychan また徳丸氏の好みそうなネタやなと思ったらドメイン名見て納得した

    2025/01/01 リンク

    その他
    spark7
    spark7 『ISO-2022-JPによるXSSの肝は、バックスラッシュが円記号に誤認されるところ』

    2024/12/31 リンク

    その他
    fut573
    fut573 h()関数周りで、いにしえのphperが先輩に教わる脆弱性の応用か(徳丸本は机の上に何年も置いていた)

    2025/01/01 リンク

    その他
    tmtms
    tmtms “日本のプログラマだと¥がバックスラッシュに見えてしまう方が多いと思いますが” はい

    2025/01/01 リンク

    その他
    oldriver
    oldriver 「美乳」復活か!(それではない)

    2025/01/01 リンク

    その他
    punychan
    punychan また徳丸氏の好みそうなネタやなと思ったらドメイン名見て納得した

    2025/01/01 リンク

    その他
    natu3kan
    natu3kan \と¥マークの話は、いつの時代でもある感じある

    2025/01/01 リンク

    その他
    honma200
    honma200 近年は問答無用でUTF-8になってるイメージだったけど、ちゃんと判定するのか。JIS X 0208とUnicodeのマッピングも規約としても間違ってないし、トラップだわねぇ

    2025/01/01 リンク

    その他
    securecat
    securecat 面白い(内容としては)

    2025/01/01 リンク

    その他
    yabu_kyu
    yabu_kyu 「本稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない」

    2025/01/01 リンク

    その他
    razokulover
    razokulover “JIS X 0201の ¥ はあくまで円記号でありバックスラッシュではありません。このため、JavaScript等でエスケープ処理のために使ったバックスラッシュが円記号に化けてしまうと、「エスケープ処理が無効になってしまう」”

    2025/01/01 リンク

    その他
    tockri
    tockri おおー、懐かしい。昔ジョークサイトで作ったわー。

    2025/01/01 リンク

    その他
    uoeqsa
    uoeqsa セキュリティって大変だなあ

    2025/01/01 リンク

    その他
    odakaho
    odakaho “文字エンコーディングをISO-2022-JPと誤認させることでバックスラッシュが円記号と解釈されることによりエスケープ処理を回避する攻撃” “ウェブコンテンツの文字エンコーディングの設定漏れは脆弱性と言えるのか”

    2025/01/01 リンク

    その他
    pixmap
    pixmap 「こんな文字、めったに使わんだろうし¥に当てたろ」vs 「こんな文字、めったに使わんだろうしエスケープシーケンスに当てたろ」

    2025/01/01 リンク

    その他
    crybb
    crybb "文字エンコーディングをISO-2022-JPと誤認させることで バックスラッシュが円記号と解釈されることによりエスケープ処理を回避する攻撃" 文字エンコードの明示で回避できるとのこと

    2025/01/01 リンク

    その他
    ardarim
    ardarim 日本語エンコーディングの自動判定はどこまで行っても過去の負債だよなあ(セキュリティ方面に限らず)。自動判定させないことがキモ。

    2025/01/01 リンク

    その他
    kabuquery
    kabuquery 超レアケースじゃないかな

    2024/12/31 リンク

    その他
    kshtn
    kshtn もうテンプレートで何も考えずに charset 付けてるからなあ

    2024/12/31 リンク

    その他
    FreeCatWork
    FreeCatWork とても参考になりました。もっと知りたいです

    2024/12/31 リンク

    その他
    nmcli
    nmcli 出来ちゃうんだ

    2024/12/31 リンク

    その他
    tkysktmt
    tkysktmt “多国語化対応されているサイトであれば、英語版のページを狙うことで攻撃成功の可能性は高まると思います”

    2024/12/31 リンク

    その他
    spark7
    spark7 『ISO-2022-JPによるXSSの肝は、バックスラッシュが円記号に誤認されるところ』

    2024/12/31 リンク

    その他
    daishi_n
    daishi_n 45年以上前の仕様持ち越しだけど、バックスラッシュを円記号に置き換えたのは失敗だったんじゃないかなあ。(0x5cがエスケープコードと勘違いしてたので修正) JIS X 0201が1969年だから円記号が表示できる必要性はあったけど

    2024/12/31 リンク

    その他
    solidstatesociety
    solidstatesociety 後で読む。重要そう

    2024/12/31 リンク

    その他
    terazzo
    terazzo 雀の往来(上品な方の呪文)

    2024/12/31 リンク

    その他
    tettekete37564
    tettekete37564 XSS対策の基本は外部から入力されたデータ内のHTMLタグのエスケープ、特にscriptタグのエスケープのはず。その上でバックスラッシュの有無が影響するケースというのはどういう事だろう

    2024/12/31 リンク

    その他
    mohri
    mohri ISO-2022-JP ... JUNET ... うぅ…… 頭が ……

    2024/12/31 リンク

    その他
    rryu
    rryu ISO-2022-JPで使えるJIS X 0201、それが作られた当時は円マークとバックスラッシュを区別して扱えるシステムが無かったので何の意味もなかったが、まさか脆弱性の元として蘇ってくるとは…

    2024/12/31 リンク

    その他
    gfx
    gfx "ウェブコンテンツの文字エンコーディングの設定漏れは脆弱性と言えるのかという意見も見られるところでしたが、やはり文字エンコーディングは適切に設定しましょう"

    2024/12/31 リンク

    その他
    ockeghem
    ockeghem 久しぶりにブログ記事を書きました。ISO-2022-JPの自動判定を悪用したXSSの説明です。SonarSourceブログの解説に加えて独自の調査結果も載せています

    2024/12/31 リンク

    その他

    注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています

    アプリのスクリーンショット
    いまの話題をアプリでチェック!
    • バナー広告なし
    • ミュート機能あり
    • ダークモード搭載
    アプリをダウンロード

    関連記事

    ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)

    サマリ ISO-2022-JPという文字エンコーディングの自動判定を悪用したクロスサイト・スクリプティング(XS...

    ブックマークしたユーザー

    すべてのユーザーの
    詳細を表示します

    同じサイトの新着

    同じサイトの新着をもっと読む

    いま人気の記事

    いま人気の記事をもっと読む

    いま人気の記事 - テクノロジー

    いま人気の記事 - テクノロジーをもっと読む

    新着記事 - テクノロジー

    新着記事 - テクノロジーをもっと読む

    同時期にブックマークされた記事

    はてなブックマーク

    公式Twitter

    はてなのサービス

    • App Storeからダウンロード
    • Google Playで手に入れよう
    Copyright © 2005-2025 Hatena. All Rights Reserved.