Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
続イメージファイト Shibuya.pm #8 サイボウズ・ラボ株式会社 竹迫 良範 id:TAKESAKO
はじめに
Internet Explorer  のセキュリティ設定 デフォルトが「有効にする」のまま
 
IE での実行結果
orz
mod_imagefight イメージファイト
イメージファイトとは? Apache 2 OutputFilter 無毒化 Web Server 攻撃コードが 含まれている かもしれない mod_imagefight Safe Image internet XSS Image
mod_imagefight  の使用法( α 版) <ul><li>httpd.conf (例) </li></ul>LoadModule imagefight_module modules/mod_imagefight.so <Locati...
mod_imagefight  をインストールした Web サーバから PNG 画像を読み込んだとき(動的に画像を書き換え) イメージファイト動作画面( IE + Fiddler )
IE コンテンツ自動判別による XSS 防止    Anti-XSS コードの自動挿入( Apache )
Why? イメージファイト
ブラウザ の バグ(仕様) Web アプリ側で  ad-hoc  に 対応するのは面倒だよね
 
続 イメージファイト
ブラウザ の バグ(仕様) を利用して、 ブラウザ判定できる?
JavaScript/CSS を使わない ブラウザ判別
HTML 2.0
突然ですが、HTML 2.0 Quiz の時間です。 <img src= &quot; 1.gif &quot;  src= &quot; 2.gif&quot;> 表示される画像は? (1) 1.gif  が表示される  (2) 2.gif ...
突然ですが、HTML 2.0 Quiz の時間です。 <img src= &quot; 1.gif &quot;  src= &quot; 2.gif&quot;> 表示される画像は? (1) 1.gif  が表示される  (2) 2.gif ...
【問題2】 <img /src  = “1.gif” src(x00) = “2.gif” src(x0c) = “3.gif” src  = “4.gif” /> (1) 1.gif  が表示される  (2) 2.gif  が表示される  (...
応用問題
print<<EOF; <img /src x00 =&quot;ie.gif&quot; /''src x00 =&quot;firefox1_5.gif&quot; /''src=&quot;firefox2_0.gif&quot; /&q...
http://wafful.org Demo
 
Konqueror  や  Safari2  の判定もできるよ
以上 続きは Web で
     _   ∩    (  ゚∀゚ ) 彡     (   ⊂彡     |     |    し ⌒J わっふる ! わっふる ! wafful.org
Debugging Browser-detection on papers ご清聴ありがとうございました
Upcoming SlideShare
Loading in …5
×

Shibuya.pm#8 - ImageFight - HTML 2.0 New Browser Detection

http://wafful.org/

  • Login to see the comments

  • Be the first to like this

Shibuya.pm#8 - ImageFight - HTML 2.0 New Browser Detection

  1. 1. 続イメージファイト Shibuya.pm #8 サイボウズ・ラボ株式会社 竹迫 良範 id:TAKESAKO
  2. 2. はじめに
  3. 3. Internet Explorer のセキュリティ設定 デフォルトが「有効にする」のまま
  4. 5. IE での実行結果
  5. 6. orz
  6. 7. mod_imagefight イメージファイト
  7. 8. イメージファイトとは? Apache 2 OutputFilter 無毒化 Web Server 攻撃コードが 含まれている かもしれない mod_imagefight Safe Image internet XSS Image
  8. 9. mod_imagefight の使用法( α 版) <ul><li>httpd.conf (例) </li></ul>LoadModule imagefight_module modules/mod_imagefight.so <Location />      # AddOutputFilter   ImageFight   .png .bmp .gif .jpg   AddOutputFilterByType ImageFight image/gif image/jpeg </Location> 拡張子、 Content-Type による Filter 適用
  9. 10. mod_imagefight をインストールした Web サーバから PNG 画像を読み込んだとき(動的に画像を書き換え) イメージファイト動作画面( IE + Fiddler )
  10. 11. IE コンテンツ自動判別による XSS 防止    Anti-XSS コードの自動挿入( Apache )
  11. 12. Why? イメージファイト
  12. 13. ブラウザ の バグ(仕様) Web アプリ側で ad-hoc に 対応するのは面倒だよね
  13. 15. 続 イメージファイト
  14. 16. ブラウザ の バグ(仕様) を利用して、 ブラウザ判定できる?
  15. 17. JavaScript/CSS を使わない ブラウザ判別
  16. 18. HTML 2.0
  17. 19. 突然ですが、HTML 2.0 Quiz の時間です。 <img src= &quot; 1.gif &quot; src= &quot; 2.gif&quot;> 表示される画像は? (1) 1.gif が表示される (2) 2.gif が表示される (3) ブラウザによって異なる Answers. 【問題】
  18. 20. 突然ですが、HTML 2.0 Quiz の時間です。 <img src= &quot; 1.gif &quot; src= &quot; 2.gif&quot;> 表示される画像は? (1) 1.gif が表示される (2) 2.gif が表示される (3) ブラウザによって異なる Answers. 【問題】
  19. 21. 【問題2】 <img /src = “1.gif” src(x00) = “2.gif” src(x0c) = “3.gif” src = “4.gif” /> (1) 1.gif が表示される (2) 2.gif が表示される (3) 3.gif が表示される (4) 4.gif が表示される Answers. ※ ブラウザによって異なる
  20. 22. 応用問題
  21. 23. print<<EOF; <img /src x00 =&quot;ie.gif&quot; /''src x00 =&quot;firefox1_5.gif&quot; /''src=&quot;firefox2_0.gif&quot; /&quot;&quot;src=&quot;gecko_others.gif&quot; &quot;s x00 rc=&quot;safari2.gif&quot; &quot;src=&quot;safari3.gif&quot; &quot;&quot;src=&quot;konqueror.gif&quot; src x00 =&quot;w3m.gif&quot; src x0c =&quot;opera.gif&quot; src=&quot;others.gif&quot; src=&quot;lynx.gif&quot; /> EOF
  22. 24. http://wafful.org Demo
  23. 26. Konqueror や Safari2 の判定もできるよ
  24. 27. 以上 続きは Web で
  25. 28.     _  ∩    (  ゚∀゚ ) 彡     (   ⊂彡     |     |    し ⌒J わっふる ! わっふる ! wafful.org
  26. 29. Debugging Browser-detection on papers ご清聴ありがとうございました

×