[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:01215] Re: クロスサイ�トスクリプティングの検出

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:01215] Re: クロスサイ�トスクリプティングの検出
From: Kenji Yamamoto <yamaken@xxxxxxxxxx>
Date: Fri, 15 Mar 2002 15:01:13 +0900


山本です。

|Subject: [stalk:01214] Re:クロスサイトスクリプティングの検出
|From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
|Date: Fri, 15 Mar 2002 14:50:29 +0900
|Message-Id: <20020315144027.89CF.HIDEAKI@xxxxxxxxxxxxx>
|User-Agent: Becky! ver. 2.00.08

| ということですと、
| 
| alert tcp any any > $HOME_NET 80 ( msg:"CCS ATTACK DETECTED";content:">"; )
| 
| というかなりあれげなルールの方がいいんでしょうか...

正規化したリクエストを投げつけてくる場合があります。"%3E" なども
検討が必要でしょう。これ、素通ししてしまうケースも結構ありますよ。

少なくとも私は手元で、正規化した文字列でチェックを行うことも欠か
しません。CSS, SQL Injection やそれによる攻撃の仲介の可能性は各
業界大手の企業でぞろぞろ見つかってしまってますので、そこら辺で出
てきた中でも特に CSS を用いた文字列(すでに公開されているもの)を
組み合わせてアスキー文字列に変換、正規化しただけではありますが。

山本謙次

--
Kenji Yamamoto MCP+I, MCSE(TCP/IP, IEAK4, IIS 4.0)
mailto:ethernet@xxxxxxxxxxxxxxxx
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　      ★ケータイに“足あと”がつく！追跡して友達になろう。
              http://profile.www.infoseek.co.jp/?svx=971122

References:
- [stalk:01210] Re: クロスサイトスクリプテ�ィングの検出
  - From: MICKY
- [stalk:01212] Re: クロスサイトスクリプテ�ィングの検出
  - From: office
- [stalk:01214] Re: クロスサイトスクリプテ�ィングの検出
  - From: Hideaki Ihara

Prev by Date: [stalk:01214] Re: クロスサイトスクリプテ�ィングの検出
Next by Date: [stalk:01216] Re: クロスサイトスクリプテ�ィングの検出
Previous by thread: [stalk:01214] Re: クロスサイトスクリプテ�ィングの検出
Next by thread: [stalk:01216] Re: クロスサイトスクリプテ�ィングの検出
Index(es):
- Date
- Thread