« Zero3 es修理から戻るUltramonky L7 0.5.0リリース »

それ Unicode で - TEXT HACKS

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

Link: http://openmya.hacker.jp/hasegawa/public/20061209/momiji.html

クロスサイトスクリプティングに利用可能なテキストハックが簡潔にまとめられている。

目新しかったのはUnicodeのBidi機能(テキストの記載方向が異なる言語、たしかアラビア、イスラエルなどの言語)を使ってWindowsの拡張子をごまかせる事です。
# 他のOSでも問題になるかも。もし同じ問題があったとしても、UNIX系
# OSの場合は実行ビットが有効でないと実行バイナリであっても実行さ
# れないので影響は少ないですが。

ファイルマネージャ、コマンドラインなどはBidi機能はロケールのみよって有効・無効を設定できるようになっていないとセキュリティ上問題です。

文書の途中で「アラビア語の文字列を書く」必要がある場合もあると思うのでシステム全体としてBidiを無視することは良くありません。しかし、文書中でBidiが有効になっていてファイル名にBidiが混じっていてそのファイルをクリックすると意図しないバイナリを実行、という攻撃方法もアプリケーションによっては行えそうです。とにかく気を付ける(ってどうするの、という話もありますが)しかないです。

This entry was posted on December 14th, 2006 at 05:46:03 and is filed under Security, メモ, Webシステム開発 PermalinkPermalink

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

1 comment

Comment from: Yasuo Ohgaki [Member] Email · http://www.ohgaki.net/
http://d.hatena.ne.jp/hasegawayosuke/20061222/p1

Windowsのセキュリティポリシーを利用した防御方法。制御文字を使用した場合に実行を不許可にする。

ポリシー使わずに設定できるようになってた方が良いですね....
2006/12/24 @ 10:43

Leave a comment


Your email address will not be revealed on this site.

Your URL will be displayed.
PoorExcellent
(Line breaks become <br />)
(Name, email & website)
(Allow users to contact you through a message form (your email will not be revealed.)