Hatena::ブログ(Diary)

交差点でコーヒーを

2011-08-05 夏風邪が 長引いてるよ 2週間

[セキュリティ]私はいかにして脆弱性を発見したか 私はいかにして脆弱性を発見したかを含むブックマーク 私はいかにして脆弱性を発見したかのブックマークコメント

id:hasegawayosukeさんとこに、私はいかにして様々なブラウザの脆弱性を発見したかってあったので、真似してみた。

基本、「こうあるべき」、「こうなってるはず」を理解したうえで、「挙動がおかしい」とか、「こうあるべきだけど、実際作ること考えたら難しい or 無理」ってのを調べてる感じでしょうか。

まあ、要するに、てきとーです。

マルチバイトを使ったXSS

テキストフィールドに入れた「%E3%81%82」とかをデコードする簡単なWebアプリ作って、作業してた時にコピペミスした。

そしたら、半端なマルチバイトの状態になってレイアウトが崩れたので、この崩れ方はあり得んって思って調べたらXSSできた。

Apacheのエラー画面(?)上でのXSS(今でも健在かな)

書き方違反したらどうなるんだろ?って思って書いたらXSSが動作した。

けど、IPAに報告したら書き方違反してるんだからその出力をする方が問題、ってことで却下された。

Webアプリの出力+ブラウザの処理方法(FireFoxのみで発動)+Apacheのエラー画面(?)の仕様、の3つが合わさる話なので、3つともの挙動を把握しておく必要はあり。これ面白いんだけどな〜。

CVE-2007-6245:Flash Player において任意の HTTP ヘッダが送信可能な脆弱性

前に同じような問題があったから、きっと対策が中途半端だろうと思っていろいろやったらできた。

CVE-2007-6243:Flash Player におけるクロスドメインポリシーファイルの扱いに関する脆弱性

Webサーバクライアントとの間でURL等の解釈が異なるのは常なので(というか、クライアント側でサーバ側の解釈を網羅するのは大変なので)、異なる解釈をするパターンを入れたらいけた。

ただ、許可設定をさせたいので、ブログなど許可設定を書ける場所のを読めるといいなと思ったので、XMLじゃないのでもいけんじゃね?ってやってみたら、HTMLの途中に書いてもいけた。

レスポンスを細工するとこで、以降Webサーバアクセスをしても常にエラーになる感じのブラウザの汚染

Webサーバクライアントの間で解釈が異なるのは常なので〜。

ブラウザに一回細工が通ると以降常にエラー画面に。青モップ全盛期の時はやりたい放題だったはずだけど、まあ、多分知られてなかったのもあり、被害とかはないでしょうね。

IPAに報告したけど、仕様なので〜的な。これも面白いと思うんだけどなー。

複数ユーザ間で同じ認証情報を送信してしまうブラウザ

そんなのが他でもあったので、どうせ同じだろうと思って見てみたら、やっぱ同じというかそれよりダメな感じだった。

IPAに報告したけど、サーバ側で対処すべきで却下された。

実際に、このブラウザが広く使われ始めたら影響大きいと思うのですが、影響があるかないかは関係ないみたいな感じでした。

ここら辺で、IPAに報告してもどうなの?って思い始めた。影響大きい脆弱性とかも何年か放置状態だし。

Androidでの制約回避

複数のアプリ作って違うものを複数検証してる時に、制約のとこ見てて、これが動かないのにさっきのはなんで動いてたんだ?って思って見てみたら、制約回避できた。

Googleに報告するも別の脆弱性といっしょくたにされてうやむやに。

後でソースコードとかちゃんとみたら、なるべくしてなってるしこれはこれで個別に対応しないと無理な挙動だよね、って感じなのでどうしたものか。

挙動としてちょっと難しめだし、幅広めな知識がないと見つけられなさそうなとこだから、ほっといても大丈夫かな?

見る限り、XX months agoって書いてあるから手入れてないだろうし。

-------------------

変わったところだと、このくらいだっけ?IPAで止まってるやつは書いたら駄目だろうし。意外と少ない気もするな。

最近は報告してもあれだしちょっと飽きてきたので、変な挙動見つけても確認するだけしてまあいいかなで過ごしてます。

[観葉植物]ミニヒマワリ ミニヒマワリを含むブックマーク ミニヒマワリのブックマークコメント

最終的に、植えるのが遅かったからなのか、このくらいのサイズまでしか大きくならんかった。一応種は取れそうだし、来年はもうちょい早めに植えよう。

f:id:harupu:20110806000055j:image

f:id:harupu:20110806000156j:image

コメント
トラックバック - http://d.hatena.ne.jp/harupu/20110805

2011-07-18 まきびしを 撒いてにゃんこを やっつけろ

にゃんこ用おもちゃ「まきびし」の作成 にゃんこ用おもちゃ「まきびし」の作成を含むブックマーク にゃんこ用おもちゃ「まきびし」の作成のブックマークコメント

食いつきがいいという噂のまきびしを作ってみました。

猫用手作りおもちゃです

結構簡単に作れます。

掃除してて、Yシャツ捨てようと思ったのですけど、せっかくなのでリサイクル

・用意するもの

5cm×10cmの布と紐っぽいもの。

紐っぽいものは、Yシャツの裾のとこの折り返してあるとこを切ったものです。

f:id:harupu:20110718181511j:image

袋っぽく縫います。どうせ見えないので、ミシンとかでテキトーに縫えばよいです。

f:id:harupu:20110718181512j:image

ひっくり返して袋にします。

f:id:harupu:20110718181513j:image

綿つめまーす。

f:id:harupu:20110718181514j:image

半分くらいまで縫って、また綿つめまーす。

f:id:harupu:20110718181515j:image

最後のほうまで来たら、紐を巻き込んで縫い終わります。

f:id:harupu:20110718181516j:image

できあがり。簡単。

f:id:harupu:20110718181517j:image

にゃんこにのせておしまい。 かわいい。

f:id:harupu:20110718181518j:image

コメント
トラックバック - http://d.hatena.ne.jp/harupu/20110718

2011-01-26 すまーとふぉん 色々なんだか 難しい?

[セキュリティ]情報セキュリティトピックセミナー『Webサイトセキュリティ対策の現状と今後Vol.3』〜スマートフォン登場によるWeb サイトセキュリティの変化〜 情報セキュリティトピックセミナー『Webサイトセキュリティ対策の現状と今後Vol.3』〜スマートフォン登場によるWeb サイトセキュリティの変化〜を含むブックマーク 情報セキュリティトピックセミナー『Webサイトセキュリティ対策の現状と今後Vol.3』〜スマートフォン登場によるWeb サイトセキュリティの変化〜のブックマークコメント

昨日やってたらしいです=3

コメント
トラックバック - http://d.hatena.ne.jp/harupu/20110126

2011-01-20 右の絵が 萌えない理由を 述べなさい

[デザイン]「右のキャラが、いまいち萌えない理由を3つあげなさい」(痛いニュース) 「右のキャラが、いまいち萌えない理由を3つあげなさい」(痛いニュース)を含むブックマーク 「右のキャラが、いまいち萌えない理由を3つあげなさい」(痛いニュース)のブックマークコメント

ペイントの選択ツールだけを使って修正してみました。

元絵:

f:id:harupu:20110120233039j:image

チャレンジ後:

f:id:harupu:20110120233038j:image

もうちょいチャレンジ&オレンジほっぺ:

f:id:harupu:20110120235952j:image

元がダメなので、なかなか難しい。ここまでやって飽きた。まあまあ頑張ったほう?

後は、頭がをもう少し小さくして、顔のパーツを下のほうに移動すればそこそこになるかな??顔の血色を良くしたくはあるけれど。

僕的回答

1. 目がでかい

2. 顔のパーツが上に寄ってる

3. 輪郭がいまいち

(4. 頭がでかい)

コメント

nakatakanakataka 2011/01/21 01:47 セーラームーンみたいなしっぽがイケてないので、ざっくりカット。http://yfrog.com/hsor0yj

harupuharupu 2011/01/21 10:01 ショートのほうがよさそうっすね〜〜

SimurghSimurgh 2011/01/21 16:12 ・右手が生えてる位置がおかしい
・右足の方が前なのに細いって、パース狂いまくり
・何故平らな所に座らない?(凹面に座ってね?)
とかは?

harupuharupu 2011/01/24 14:13 右手の位置はぱっと見おかしいですが、むしろ、「着てる服がおかしい」なのですよね。ちょっと考えちゃいますが〜。
顔の造形に比べて、体はちゃんと描けている気がします。

トラックバック - http://d.hatena.ne.jp/harupu/20110120

2011-01-14 こう書くと なんかいいこと あるらしい このエントリーを含むブックマーク このエントリーのブックマークコメント

MacBook Air 11インチ欲しい!

こんにちはこんにちはみたいなもの?(違

けど、書いてる人あんまいない?

コメント

ちよちよ 2011/05/08 20:33 ごぶさたしています。
おぼえてらっしゃいますか??

harupuharupu 2011/05/20 10:51 ちよさんって知り合いはいるにはいるけど、このコメントはスパム??

トラックバック - http://d.hatena.ne.jp/harupu/20110114
プロフィール

harupu

はるぷ(+二匹の猫)

↓気に入ったらクリックしてくだされ
人気ブログランキングへ

動物愛護センター(いわゆる保健所?)から貰ってきた猫をモフモフする毎日を送っております。

ジャモラ君♂:

蜜柑さん♀:


数独Flash

My Webページ
カレンダー
<< 2012/02 >>
1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29
最新の画像
  • harupu2009-06-06
  • harupu2009-05-17
  • harupu2008-12-21
  • harupu2008-08-04
  • harupu2008-06-26
最新タイトル
カウンタ