Unicodeのエンコーディングの一つ。
ASCII文字だけでUnicodeの文字を表現するために作られた。
UTF-7対応のブラウザでXSS脆弱性が発見されたこともある。
WassrでUTF-7エンコードしてポストする、というのが流行ったことがある。
経緯 なぜ今このContent-TypeヘッダのCharsetでのXSSに言及しているかというと IPAで公開されている安全なウェブサイトの作り方による資料でこの項目が今だにフォローされているからだ。 この項目が令和となった現在もフォローが必要なのか検証していきたい。 TL;DR もう指摘基準から除外しても良いのではなかろうか 被害の恐れがある場合はIE11以前のブラウザでかつ、限定的なので。 Content-TypeヘッダのXSS?? こちらはどういうことかというかと、 ブラウザの文字コードの解釈によって実行されるクロスサイトスクリプティングの対策についての項目なのである。 通常、何も対策を…
shioCTF 2024へ参加しました。そのwrite-up記事です。
普段やらないwebやosint問へ挑戦してみた記録。
2/12 - 2/14という日程で開催された。ひとりチームの猿沢池の鹿🦌で参加し、全完して1位🙌 [Web 172] SimpleDB (xxx solves) [Web 258] card (xxx solves) [OSINT 100] aburasoba (xxx solves) [OSINT 100] club (xxx solves) [Misc 100] fictional mountain (xxx solves) [Welcome 100] to ShioCTF (xxx solves) [Web 172] SimpleDB (xxx solves) adminのパスワードを特…
EncodingクラスのGetEncodingsメソッドを使う。バージョン5の環境で実行した結果は以下のとおり。 PS > $PSVersionTable.PSVersion Major Minor Build Revision ----- ----- ----- -------- 5 1 19041 3930 PS > [Text.Encoding]::GetEncodings() CodePage Name DisplayName -------- ---- ----------- 37 IBM037 IBM EBCDIC (US - カナダ) 437 IBM437 OEM アメリカ合衆国…
PowerShellの文字コードをUTF8からデフォルトANSIにするオプション関する情報になります。 テキストファイルを置換する作業があったのですが、元のファイルがANSIで何も考えずに置換するとUTF8になったので、元のファイルの文字コードを維持するために、ちょっと調べました。 参考になる情報がこちら 文字エンコードについて - PowerShell | Microsoft Docs PowerShellにおいて文字コードは意外と重要で、以前もあるシステムに取り込んだ後、文字化けしているというのが原因が文字コードでした。 バージョンが変わってデフォルト値が変わっていたのが原因だったようです…
この記事は、「Red Hat Advent Calendar 2023」20日目の記事です。 Windowsの文字化け問題 AnsibleでWindowsノードを管理していると、特にwin_shellモジュールでコマンドを実行した際などの実行結果が時折文字化けしてしまうケースがあります。こうなってしまうと、実行結果が正しく読み取れず、Windows自動化の障壁となってしまいます。 なぜ文字化けが発生するのか Ansibleでは、WinRM経由でWindowsに接続しますが、その際の新規セッションに対してはUTF-8を利用するよう指定して接続します。これは、通常のWindowsモジュールの実行で…
UTF(UCSTransformationFormat)とは UTF-* Unicode文字のエンコード方法の1つ.Unicodeは,世界中に存在するさまざまな言語の文字を統一して使えるようにするためのコードセット. UTF-7,UTF-8,UTF-16などの種類がある.UTF-*は,*ビットの可変長マルチバイトで文字を表現する. BOM(ByteOrderMark) BOMは,Unicodeで符号化したテキストの先頭に付与される数バイトのデータの事.Unicodeのデータであることやどの種類の符号化形式を採用しているのかを判別している.(ex.BOM付のUTF-8であれば,先頭の3バイトがB…
多言語化というか文字コードの話だった。
近年、Webアプリケーションの入力データチェック不備などの脆弱性を悪用し、不正なスクリプトや命令を実行させる攻撃が多発している。ここではそうした攻撃の仕組みと対策について解説する。 2.8.1 不正なスクリプトや命令を実行させる攻撃の種類 Webアプリケーションには不正なスクリプトや命令を実行させる攻撃には次のようなものがある。 クロスサイトスクリプティング SQLインジェクション OSコマンドインジェクション HTTPヘッダインジェクション メールヘッダインジェクション ディレクトリトラバーサル攻撃 これらはセッションハイジャックと併せ、Webサイト運営における大きな脅威となっている。中でも…
現在、メールはさくらインターネットのレンタルサーバーで運用しています。 いままで、特にトラブルもなく順調に使っていたのですが、先日、急にメールが届かないという事態になりました。 正確さに若干欠けるところもありますが、後日の自分のためにその時の顛末をメモっておきます。 発端 2023/7/24 (月) にお客さんのところから電話があり、私のところに出したメールが戻ってきたのだけどどうすればいいか?という問い合わせがありました。その時は、深く考えもせず、エラーの内容から一時的に届けられなかったっぽいのでしばらく待っててください、とだけ伝えました。 とはいえ、その後不安になってきたので、別のドメイン…