5月25日のtwitterセキュリティクラスタ
今日はデータベース・セキュリティ・コンソーシアム(DBSC)春のセミナーというのがあって、そこで行われていたクラウドと個人情報保護法のツイートが個人的には面白かったのですが、長すぎたので、Toggeterの方にまとめておきました。(http://togetter.com/li/24034)
で、他にもクラウド絡みは人気のようで、3月まで関わってた某社でもそんなセミナーだとか特集だかの話がいっぱい出てました。
で、こちらはアプリケーションプログラムのUnicodeから他コードへの変換によるディレクトリトラバーサルの話。
学位取得というから自動的に単位取ってくれるのかと思ったら、ディプロマミルのスパム撒くだけみたいです。なんだ。
ケータイのJavaScriptでのヘッダ書き換えの件。
基本的に悪いことするならネットカフェ使うでしょ。もしくは野良AP。見つかってない事例も多いんじゃないでしょうか。
日本からDEFCONのCTF本選に出場される人がいるようです。
そういや、iPhoneだと駅で勝手に無線LANがつながったりしてびっくりすることがありますが、どこでもつながればびっくりすることもなくなるのになあ。
で、他にもクラウド絡みは人気のようで、3月まで関わってた某社でもそんなセミナーだとか特集だかの話がいっぱい出てました。
ripjyr: I'm reading now:【座談会】仮想化/クラウド時代のシステム運用管理では何が重要となるのか? http://www.computerworld.jp/topics/mws/182169.html?RSS
で、こちらはアプリケーションプログラムのUnicodeから他コードへの変換によるディレクトリトラバーサルの話。
ucq: 円マークはU+00A5
ucq: これ使うとXPで面白いことができたり。
ucq: 円マークを通常のバックスラッシュに変換するせいでディレクトリトラバーサルができるだけなんだけどね。
hasegawayosuke: @ucq: このへんの話すねー。 http://gihyo.jp/admin/serial/01/charcode/0008 他に何かおもしろい発見あったら教えてください。
ucq: @hasegawayosuke まさにその問題ですね。 XPだったと思うのですが..\test.exeというファイル名にするとディレクトリトラバーサルができましたね。他にも実験した覚えがあるのですが残念ながら手元に情報が残ってません。
hasegawayosuke: @ucq それはどのプログラムが CreateProcess を呼び出したか、に寄りますね。しょぼいランチャーとか…。 CreateProcessWは当然Unicode対応しているので、-Aが呼ばれたかあるいは-Wにたどり着くまでにいったんANSIに変換されたか。
hasegawayosuke: ちなみに Vista でも Help viewer hh.exe は引数をANSIとして扱うので、"\..\..\..\..\windows\help\mui\0411\tcpip.chm" というファイルをダブルクリックすると Windows標準のTCP/IPのヘルプが起動する
ucq: @hasegawayosuke 問題はそのプログラムがexplorer.exeたんなのです。。。
hasegawayosuke: @ucq explorer.exe は Unicode 対応している(手元にXPないけど死ぬほど実験したので断言できる)。それは、"programs.exe" みたいな話じゃないの?
hasegawayosuke: s/programs/program/
ucq: 具体的にはダブルクリックだけで発動。あ、でもexplorerは関係ないかも。とにかく内部で何かおきてた
ucq: @hasegawayosuke うーん、ということは間に入ってたアンチウイルスソフトなどが関与してたのかもしれませんね。
ucq: 実験時の環境が悪かったのかも
hasegawayosuke: @ucq: ちなみに少し前のアンチウイルスソフトは、"\..\" というフォルダを作っておくと、スキャン時に再帰で上位にトラバーサルしてスキャンが終了せずCPU100%で貼りつくやつとかあったよ。
ucq: @hasegawayosuke へー、そういうのもあるのですか。それはスキャン回避テクニックに使えそうですねw
学位取得というから自動的に単位取ってくれるのかと思ったら、ディプロマミルのスパム撒くだけみたいです。なんだ。
scannetsecurity: 世界的にUSBワームが蔓延、アジアでは学位取得スパム--四半期レポート(マカフィー): http://url4.eu/3iwV6
ケータイのJavaScriptでのヘッダ書き換えの件。
ockeghem: 『SoftBank ウェブコンテンツ開発ガイド[ブラウザ機能拡張(500k 対応)編]』によると、『書き換え可能なヘッダは"x-xhr*"のみ』ということで対策したのですね http://j.mp/c2bLc7
基本的に悪いことするならネットカフェ使うでしょ。もしくは野良AP。見つかってない事例も多いんじゃないでしょうか。
ymzkei5: “ネットカフェで発生した事件は、認知件数全体の0.2%に過ぎないが、1店舗あたりの発生率に換算すると、1.4件という数値になる” >■2009年のネットカフェ犯罪情勢~警察庁の資料から http://bit.ly/cfUqxv
日本からDEFCONのCTF本選に出場される人がいるようです。
connect24h: なんか、某さんは外国チーム所属で本線出場が決まったと風の噂で聞いた RT @tessy_jp: RT @sbrabez: Defcon CTF quals 2010 writeups by @swolchok http://scott.wolchok.org/ctf2010/
tessy_jp: @connect24h 噂は速いですねw
そういや、iPhoneだと駅で勝手に無線LANがつながったりしてびっくりすることがありますが、どこでもつながればびっくりすることもなくなるのになあ。
kinyuka: もう都心は全部WiFiフリーアクセスにしちゃえばいいのに え?無線LAN税??
