Re: 新連載「ここが危ない！Web2.0のセキュリティ」

件名：	Re: 新連載「ここが危ない！Web2.0のセキュリティ」
MLNo.	[seasurfers:0655]
差出人：	sanakiさん Tomoki Sanaki<sanaki…>
送信日時：	2007/06/27 18:29

本文：	佐名木@クライアント認証がうまくテストできない...orz% という者です。少し前に、 notepad.exe をバイナリエディタで開いて、後半部に「<s>test</s>」を追加して、そのファイル名を a.gif にしたどうなるか? というのを試したら、 → メモ帳が起動することはなかった。 →→ IE はファイル内容をチェックしているというよりも、・content-type で指定したレンダリングエンジンに渡す。 (この場合は、GIF 画像を画面に表示する関数?ランタイム?) ・そいつがエラーを返したので、デフォルトの表示エンジンが表示(※)。・フツーは、text/plain のイメージが強いけど、 IE は HTML のレンダリングエンジンなので、XSS 発現。ではないかと思いました。 →→→ MS は text/plain の上位互換として text/html 一本で乗り切ろうとしている!? →→→ そもそも壊れた Web コンテンツを表示する際(※)に、HTML 解釈するってどうよ! と個人的には思う。そんなこんなで・IE : WinXP SP2 - IE6 SP2 IIS : WinXP SP2 - IIS5.1 な環境では、拡張子結果 Content-Type zip XSS application/x-zip-compressed gif XSS image/gif jpg XSS image/jpeg pdf XSS application/pdf txt XSS text/plain wav XSS audio/wav mpg XSS video/mpeg avi XSS video/x-msvideo lzh XSS application/octet-stream bak XSS application/octet-stream swf NG application/x-shockwave-flash flv XSS application/octet-stream mov NG() video/quicktime der NG(1) application/x-x509-ca-cert cer XSS text/html csv XSS application/octet-stream ・IE : WinXP SP2 - IE7 IIS : Win2k SP4 - IIS5.0 な環境では、 doc NG application/msword xls NG application/vnd.ms-excel ppt NG application/vnd.ms-powerpoint () 保存ダイアログが出た。QuickTime Player をインストールしていないから? QuickTime Player をインストールすれば、XSS になるかも (1) 保存/実行ダイアログが出た。当然かなほとんどアウト! Flash が XSS しないということは、Flash プラグインと IE 間ではどんなコミュニケーションをしているんだろう!? と、私もとりとめもなく... ==== そもそも、サーバ側のモジュールでバイナリが適切であると評価できても、 IE のプラグインで適切に動作してくれるかは保証されないですよね!? サーバ側のモジュールでバイナリが適切であると評価できても、 IE のプラグインでエラーになれば、XSS 発現というのは、致命的かと...orz HASEGAWA Yosuke wrote on 2007-6/27(水) 16:56:33 >2ページ目前半では、Ajaxでやり取りされるファイルを直接 >IEで開いた場合の、IEのいわゆるContent-Type無視に備えて >全てのファイルでXSS対策が必要だという話が書いてあります。 >が、手元でいろいろ試した感じでは、少なくとも >Content-Type: text/xml および application/xml であれば、 >内容やURLがどうであっても、HTMLだと解釈されることは >なさそうに思います。 > >なので Ajax のデータのやり取りには XML を使えば安全だと >いう気がしたので、[seasurfers:0615]みたいなことを書きました。 > >ただし、application/rss+xml や application/atom+xml を >返している場合、IE6 ではこれらのMIMEタイプを認識できない >ため、状況によってはHTMLと解釈させてXSSさせることができそう >です。 > >また、text/plain は ambiguous だということだそうです。 >http://msdn2.microsoft.com/en-us/library/ms775147.aspx > >…と、あんまり記事とは関係のない話をとりとめもなく…。以上、よろしくお願いします 2007-6/27(水) 18:10:38 作成開始 ----------------------------------------------------- 佐名木智貴(Tomoki Sanaki) E-mail=active@… PGP FingerPrint = 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6
添付：

本文：

佐名木@クライアント認証がうまくテストできない...orz% という者です。

少し前に、
notepad.exe をバイナリエディタで開いて、後半部に「<s>test</s>」を追加して、
そのファイル名を a.gif にしたどうなるか?
というのを試したら、
→ メモ帳が起動することはなかった。
→→ IE はファイル内容をチェックしているというよりも、
・content-type で指定したレンダリングエンジンに渡す。
(この場合は、GIF 画像を画面に表示する関数?ランタイム?)
・そいつがエラーを返したので、デフォルトの表示エンジンが表示(※)。
・フツーは、text/plain のイメージが強いけど、
IE は HTML のレンダリングエンジンなので、XSS 発現。
ではないかと思いました。
→→→ MS は text/plain の上位互換として text/html 一本で乗り切ろうとしている!?
→→→ そもそも壊れた Web コンテンツを表示する際(※)に、HTML 解釈するってどうよ!
と個人的には思う。

そんなこんなで
・IE : WinXP SP2 - IE6 SP2
IIS : WinXP SP2 - IIS5.1 な環境では、

拡張子結果 Content-Type
zip XSS application/x-zip-compressed
gif XSS image/gif
jpg XSS image/jpeg
pdf XSS application/pdf
txt XSS text/plain
wav XSS audio/wav
mpg XSS video/mpeg
avi XSS video/x-msvideo
lzh XSS application/octet-stream
bak XSS application/octet-stream
swf NG application/x-shockwave-flash
flv XSS application/octet-stream
mov NG(*) video/quicktime
der NG(*1) application/x-x509-ca-cert
cer XSS text/html
csv XSS application/octet-stream

・IE : WinXP SP2 - IE7
IIS : Win2k SP4 - IIS5.0 な環境では、
doc NG application/msword
xls NG application/vnd.ms-excel
ppt NG application/vnd.ms-powerpoint

(*) 保存ダイアログが出た。QuickTime Player をインストールしていないから?
QuickTime Player をインストールすれば、XSS になるかも
(*1) 保存/実行ダイアログが出た。当然かな

ほとんどアウト!
Flash が XSS しないということは、Flash プラグインと IE 間では
どんなコミュニケーションをしているんだろう!?

と、私もとりとめもなく...

====
そもそも、サーバ側のモジュールでバイナリが適切であると評価できても、
IE のプラグインで適切に動作してくれるかは保証されないですよね!?
サーバ側のモジュールでバイナリが適切であると評価できても、
IE のプラグインでエラーになれば、XSS 発現というのは、致命的かと...orz

HASEGAWA Yosuke wrote on 2007-6/27(水) 16:56:33
>2ページ目前半では、Ajaxでやり取りされるファイルを直接
>IEで開いた場合の、IEのいわゆるContent-Type無視に備えて
>全てのファイルでXSS対策が必要だという話が書いてあります。
>が、手元でいろいろ試した感じでは、少なくとも
>Content-Type: text/xml および application/xml であれば、
>内容やURLがどうであっても、HTMLだと解釈されることは
>なさそうに思います。
>
>なので Ajax のデータのやり取りには XML を使えば安全だと
>いう気がしたので、[seasurfers:0615]みたいなことを書きました。
>
>ただし、application/rss+xml や application/atom+xml を
>返している場合、IE6 ではこれらのMIMEタイプを認識できない
>ため、状況によってはHTMLと解釈させてXSSさせることができそう
>です。
>
>また、text/plain は ambiguous だということだそうです。
>http://msdn2.microsoft.com/en-us/library/ms775147.aspx
>
>…と、あんまり記事とは関係のない話をとりとめもなく…。

以上、よろしくお願いします
2007-6/27(水) 18:10:38 作成開始

-----------------------------------------------------
佐名木智貴(Tomoki Sanaki)
E-mail=active@…
PGP FingerPrint
= 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6