[天気:晴れ]
#1
ごろごろGW
サーバのトラブルも無く存分にごろごろした。
今は夕方、寝すぎた為にとても眠い…。
[天気:雨]
国立国会図書館が5月5日の子供の日に合わせて、江戸時代の絵本10作品と、18世紀後半から19世紀に描かれた日本文化に影響を受けた欧州の挿絵約2,000枚などを、同図書館の絵本ギャラリーにて公開したらしい。
[天気:晴れ]
#1
IE+XmlHttpRequest+mhtml+302 で外部HTMLが取得出来ちゃう脆弱性
通常XmlHttpRequestはクロスドメインなアクセスはセキュリティ違反により出来ないようになっているんだが、mhtmlスキーマを組み合わせて2段階Locationジャンプすることにより、ドメイン情報にごみが混じってクロスドメインの制限チェックが効かなくなるという脆弱性がIEに発見されたようだ。
今回のこれはクッキーこそ盗めないが、クッキーに紐付く情報(ID等)がhiddenでHTMLに埋め込まれている場合や、ブラウザが覚えているBASIC認証による自動ログオンした結果のHTMLなど、本来は第3者が見ることが出来ないHTMLのソースが取得できてしまうということで、夢は広がリングって感じの脆弱性。
これは攻撃者にとっては特殊な制限も無くとても使いやすい脆弱性といえよう。
実際に検証コードを作ってみたが、あっさり外部ドメインのコンテンツが取得できてしまった…。
脆弱性の詳細はタイトルに使ってるようなキーワードで適当にぐぐればすぐ見つかる。
[天気:晴れ時々雨]
音にこだわったプチプチ!!
安いから適当に10箱くらい買いだめしておこう。
飲み会のときとかに使えそうだw
[天気:曇り]
てか、しょーこ姉さん…(^^;
参考:
ドラえもん
スゲーよこの人!
