NOEMBLEM/エンブレムが設定されていません。

Sea Surfers ML

メールの詳細(メール表示)

件名:

Re: 新連載 「ここが危ない!Web2.0のセキュリティ」
差出人: sanakiさん
送信日時 2007/06/27 18:29
ML.NO [seasurfers:0655]
本文:

佐名木@クライアント認証がうまくテストできない...orz% という者です。

少し前に、
notepad.exe をバイナリエディタで開いて、後半部に「<s>test</s>」を追加して、
そのファイル名を a.gif にしたどうなるか?
というのを試したら、
→ メモ帳が起動することはなかった。
→→ IE はファイル内容をチェックしているというよりも、
・content-type で指定したレンダリングエンジンに渡す。
(この場合は、GIF 画像を画面に表示する関数?ランタイム?)
・そいつがエラーを返したので、デフォルトの表示エンジンが表示(※)。
・フツーは、text/plain のイメージが強いけど、
IE は HTML のレンダリングエンジンなので、XSS 発現。
ではないかと思いました。
→→→ MS は text/plain の上位互換として text/html 一本で乗り切ろうとしている!?
→→→ そもそも壊れた Web コンテンツを表示する際(※)に、HTML 解釈するってどうよ!
と個人的には思う。

そんなこんなで
・IE : WinXP SP2 - IE6 SP2
IIS : WinXP SP2 - IIS5.1 な環境では、

拡張子 結果 Content-Type
zip XSS application/x-zip-compressed
gif XSS image/gif
jpg XSS image/jpeg
pdf XSS application/pdf
txt XSS text/plain
wav XSS audio/wav
mpg XSS video/mpeg
avi XSS video/x-msvideo
lzh XSS application/octet-stream
bak XSS application/octet-stream
swf NG application/x-shockwave-flash
flv XSS application/octet-stream
mov NG(*) video/quicktime
der NG(*1) application/x-x509-ca-cert
cer XSS text/html
csv XSS application/octet-stream

・IE : WinXP SP2 - IE7
IIS : Win2k SP4 - IIS5.0 な環境では、
doc NG application/msword
xls NG application/vnd.ms-excel
ppt NG application/vnd.ms-powerpoint

(*) 保存ダイアログが出た。QuickTimePlayer をインストールしていないから?
QuickTimePlayer をインストールすれば、XSS になるかも
(*1) 保存/実行ダイアログが出た。当然かな

ほとんどアウト!
Flash が XSS しないということは、Flash プラグインと IE 間では
どんなコミュニケーションをしているんだろう!?

と、私もとりとめもなく...

====
そもそも、サーバ側のモジュールでバイナリが適切であると評価できても、
IE のプラグインで適切に動作してくれるかは保証されないですよね!?
サーバ側のモジュールでバイナリが適切であると評価できても、
IE のプラグインでエラーになれば、XSS 発現というのは、致命的かと...orz

HASEGAWA Yosuke wrote on 2007-6/27(水) 16:56:33
>2ページ目前半では、Ajaxでやり取りされるファイルを直接
>IEで開いた場合の、IEのいわゆるContent-Type無視に備えて
>全てのファイルでXSS対策が必要だという話が書いてあります。
>が、手元でいろいろ試した感じでは、少なくとも
>Content-Type: text/xml および application/xml であれば、
>内容やURLがどうであっても、HTMLだと解釈されることは
>なさそうに思います。
>
>なので Ajax のデータのやり取りには XML を使えば安全だと
>いう気がしたので、[seasurfers:0615]みたいなことを書きました。
>
>ただし、application/rss+xml や application/atom+xml を
>返している場合、IE6 ではこれらのMIMEタイプを認識できない
>ため、状況によってはHTMLと解釈させてXSSさせることができそう
>です。
>
>また、text/plain は ambiguous だということだそうです。
>http://msdn2.microsoft.com/en-us/library/ms775147.aspx
>
>…と、あんまり記事とは関係のない話をとりとめもなく…。

以上、よろしくお願いします
2007-6/27(水) 18:10:38 作成開始

-----------------------------------------------------
佐名木 智貴(Tomoki Sanaki)
E-mail=active@…
PGP FingerPrint
= 34E5 2A31 45C8 2CB5 3CED 0B46 F328 A402 7182 DCC6


Check
添付:
トピック表示
 読み込み中...

このメールは下記のメールに対する返信です:

このメールには下記のメールが返信されています:

0654:Re: ikepyonさん製検査ツール
0656:Re: 新連載 「ここが危ない!Web2.0のセキュリティ」
【PR】お小遣いメーリスレシピ無料ホームページゲーム