タイムテーブル

18:30 開場
19:00 挨拶
19:05 HASHコンサルティング 徳丸浩様 文字コードに起因する脆弱性とその対策
20:05 休憩
20:10 サイボウズラボ 竹迫良範様 プログラムを騙す10の方法 ? シグネチャマッチを回避する攻撃と防御
20:40 サイボウズラボ 奥一穂様 XSSに強いウェブサイトを作る ? テンプレートエンジンの選定基準とスニペットの生成手法
20:50 ECナビ春山 パスワード保存の常識(?)
21:00 休憩
21:05 LT @ikepyon さん, ikeda.yurikoさん, @m_noriiさん
21:20ごろ 勉強会終了. 懇親会開始

文字コードに起因する脆弱性とその対策

• 文字コード超入門

文字コードとは文字集合+文字エンコーディングのこと。

#文字コード=文字を集めたのもの
#文字エンコーディング=文字をバイトで表す形式


文字化けが起こるのは文字集合が1対1でない部分があるため。
文字集合を変更するときは注意が必要。
また、文字集合によって円記号の位置が異なるので5C、5Aは要注意。
・Shift_JISは5C問題
・EUC_JPは蛍問題
・UTF-8は非最短形式問題
があるよというお話。

• デモ

PHP5.3.1以前で起こるもの、
htmlのcharsetの記述の微妙な間違いで起こるもの、
また最新の5.3.3で起こるようになってしまったもの、
様々でした。
まずはPHPを最新アップデートをしましょうとのことです。

• 対応策
  

・入力文字の文字エンコーディングが正しいものかをチェック
#最初にmb_convert_encoding($str,"UTF-8","UTF-8")でUTF-8からUTF-8に変換するという手も
・最新のPHPの使用
・htmlspecialcharsの第三引数は必ず指定
・charsetを正しく記述(Shift_JIS,EUC_JP,UTF-8)
・文字集合は最初から最後まで変更しないほうがよい
・ただPC・携帯電話の両方に対応しているサイトは変更が発生してしまうので要注意



諸々の詳細はこちらから
#まるな(ry
神泉セキュリティ勉強会第1回　に行ってきた - ichirin2501の日記

文字コードに起因する脆弱性とその対策(phpカンファレンスのスライド)

プログラムを騙す10の方法 ? シグネチャマッチを回避する攻撃と防御

…デモに釘付けでメモがないですｗ


GIF画像にJavascriptやPHPが埋め込むことができる
PHPのregister_globalsの問題
PHPのリモート・ファイル・インクルードの問題


などのデモでした。
個人的に面白く感じたのはimgタグのデモ。

<img src="ie.jpg" src="firefox.jpg" src="chorme.jpg">

通常このように書くとどのブラウザも1番最初に記述されたsrcを表示する。
でもsrcの書き方に細工をすることでブラウザの挙動が変わる、
Javascriptを使わなくてもブラウザ判定もできるよ、


とのこと。
#たしかsrc#="img.jpg"な感じだったような。。


記号プログラミングはソースコードがいつも笑顔で癒される
キーボードのアルファベット部分がなくなっても書ける
バイナリエディタも必要ない
バイナリアンはもう古い
これから記号プログラミングです


というような終わり方でした。

XSSに強いウェブサイトを作る ? テンプレートエンジンの選定基準とスニペットの生成手法

僕の理解ではちょっと追いつかなかったです。。


資料はこちらから
Kazuho@Cybozu Labs XSSに強いウェブサイトを作る – テンプレートエンジンの選定基準とスニペットの生成手法 (第１回神泉セキュリティ勉強会発表資料)

ECナビ春山 パスワード保存の常識(?)

ハッシュにおける、saltやstretch、共通鍵暗号などのお話。
すごく興味がある分野なので懇親会でお話を伺いたかったのですが、
この日は参加する余裕がなかったので残念でした。。


資料はこちらから
1_1_ パスワード保存 — 2010-10-26 第1回神泉セキュリティ勉強会用資料 v1_0 documentation

LT

• WORDPRESSのセキュリティ ikeda.yurikoさん
• SoftbankのSSL仕様変更について m_noriiさん
• Webアプリ検査ツールの薦め ikepyon さん

#

とても濃い時間でした。
ありがとうございました
もっと、すっと理解できるように頑張らねば。
#実はこの日記書いてる途中に2回もブラウザが落ちたりで消えてしまって…
#途中から駆け足になってしまいました…