Unicodeのエンコーディングの一つ。
ASCII文字だけでUnicodeの文字を表現するために作られた。
UTF-7対応のブラウザでXSS脆弱性が発見されたこともある。
WassrでUTF-7エンコードしてポストする、というのが流行ったことがある。
経緯 なぜ今このContent-TypeヘッダのCharsetでのXSSに言及しているかというと IPAで公開されている安全なウェブサイトの作り方による資料でこの項目が今だにフォローされているからだ。 この項目が令和となった現在もフォローが必要なのか検証していきたい。 TL;DR もう指摘基準から除外しても良いのではなかろうか 被害の恐れがある場合はIE11以前のブラウザでかつ、限定的なので。 Content-TypeヘッダのXSS?? こちらはどういうことかというかと、 ブラウザの文字コードの解釈によって実行されるクロスサイトスクリプティングの対策についての項目なのである。 通常、何も対策を…
Brazilian Hatsune Miku sketch pic.twitter.com/QA1V481gAH — Erin ⭐ (@ErinArtista) 2024年6月25日 brazilian miku pic.twitter.com/FiiLKqY1nb — Doodly (@thecat_mitsu) 2024年8月17日 この初音ミクのファンアート brazilian miku をきっかけに、各国をモチーフにしたファンアートの投稿が世界各地に広がりました。 この「ブラジルのミク」のイラストをきっかけにして、全世界の人が自国風の衣装を来たミクを投稿している……。日本発の文化がこん…
今日はPHPネタ。この脆弱性について確認したことのメモ。 github.com どういった脆弱性か? PHPSpreadsheetライブラリにおいて細工した xlsx ファイルを処理させることで XXE(XML外部実体攻撃)が可能。 XXE とは Wikipedia の解説がサンプルコードもあって分かりやすい。 ja.wikipedia.org OWASP TOP 10:2017 だと A04:2017-XML External Entities (XXE) (上から4番目)の項目で、2021年度版で A05:2021-Security Misconfiguration に統合されている。 o…
BunkyoWesternsで参加して140位。うーむ。例年通り250チームがサウジアラビアはリヤドで開催される決勝へ行け、また上位10チームには旅費が支給されるということだったけれども、かなりの激戦となっていた。 [Web 110] Free Flag (349 solves) [Web 120] Watermelon (465 solves) [Web 180] Notey (254 solves) [Web 270] Fastest Delivery Service (171 solves) [Web 110] Free Flag (349 solves) Free Free 添付ファイ…
SECCON Beginners CTF 2024 にソロで参加しました。3位でした。
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認…
shioCTF 2024へ参加しました。そのwrite-up記事です。
普段やらないwebやosint問へ挑戦してみた記録。
2/12 - 2/14という日程で開催された。ひとりチームの猿沢池の鹿🦌で参加し、全完して1位🙌 [Web 172] SimpleDB (xxx solves) [Web 258] card (xxx solves) [OSINT 100] aburasoba (xxx solves) [OSINT 100] club (xxx solves) [Misc 100] fictional mountain (xxx solves) [Welcome 100] to ShioCTF (xxx solves) [Web 172] SimpleDB (xxx solves) adminのパスワードを特…
EncodingクラスのGetEncodingsメソッドを使う。バージョン5の環境で実行した結果は以下のとおり。 PS > $PSVersionTable.PSVersion Major Minor Build Revision ----- ----- ----- -------- 5 1 19041 3930 PS > [Text.Encoding]::GetEncodings() CodePage Name DisplayName -------- ---- ----------- 37 IBM037 IBM EBCDIC (US - カナダ) 437 IBM437 OEM アメリカ合衆国…
PowerShellの文字コードをUTF8からデフォルトANSIにするオプション関する情報になります。 テキストファイルを置換する作業があったのですが、元のファイルがANSIで何も考えずに置換するとUTF8になったので、元のファイルの文字コードを維持するために、ちょっと調べました。 参考になる情報がこちら 文字エンコードについて - PowerShell | Microsoft Docs PowerShellにおいて文字コードは意外と重要で、以前もあるシステムに取り込んだ後、文字化けしているというのが原因が文字コードでした。 バージョンが変わってデフォルト値が変わっていたのが原因だったようです…
この記事は、「Red Hat Advent Calendar 2023」20日目の記事です。 Windowsの文字化け問題 AnsibleでWindowsノードを管理していると、特にwin_shellモジュールでコマンドを実行した際などの実行結果が時折文字化けしてしまうケースがあります。こうなってしまうと、実行結果が正しく読み取れず、Windows自動化の障壁となってしまいます。 なぜ文字化けが発生するのか Ansibleでは、WinRM経由でWindowsに接続しますが、その際の新規セッションに対してはUTF-8を利用するよう指定して接続します。これは、通常のWindowsモジュールの実行で…