検索条件
全4件
(1/1ページ)
2006/11/28(火)ProFTPD 関係
修正された 1.3.0a が出ましたが、さらに出ています。
2006/11/17(金)IE fuzzy&excessive expression detection
https://www.webappsec.jp/modules/bwiki/index.php?IE%A4%CEexpression%A4%C8url
2006/11/16(木)SQL Injection
http://takagi-hiromitsu.jp/diary/20061104.html#p01
なんというか…Webで一般に公開するようなサイトでprepare 使わないのって怖いと感じるのが普通のような気がするんですけど。ちょっとプログラムやってた事があればすぐにわかるような話なのにこんなに入力を”エスケープ”するというネタが出てくるのが世の中の不思議。
みんなお願いだからモンキーテスト位はやってほしい。そうすれば状態=コンテキストが存在する事の難儀さがわかって良い。信用できない入力をブラックリスト方式で取り除く事がいかに面倒なのかわかると思う。
ちなみに HTML などの SGML はパースする時に状態が多いのでフォーマットとしては大嫌いです。同様に MIME も嫌い。Unicode も同様。
keep it simple, stupid!
2006/11/16(木)IE security
IE は 0x00 他、いくつかのコントロールコードを完全に無視する。
http://d.hatena.ne.jp/hasegawayosuke/20061105/p1なお、Mozilla にも同様の脆弱性があるので注意が必要。
UTF-8 向けの曖昧な比較ルーチンか?
確か、NTFS での謎な文字列比較ルーチンというネタががんばれゲイツ君にあったような
気がするけど、その延長のネタな気がする。