文字コードに潜むセキュリティ
|
|
|
- れんか つまがみ
- 9 years ago
- Views:
Transcription
1 Yosuke HASEGAWA /
2 2
3 3
4 4
5 5
6 6
7 7
8 8
9 9
10 10
11 11
12 12
13 13
14 14
15 Valid Invalid / 0x2F 0xC0 0xAF U+002F 0xE0 0x80 0xAF 0xF0 0x80 0x80 0xAF 15
16 /etc/passwd passwd /appdir/passwd 16
17 ..(0xC0 0xAF)etc(0xC0 0xAF)passwd..(0xC0 0xAF)etc(0xC0 0xAF)passwd /appdir/../etc/passwd 17
18 18
19 19
20 20
21 U+005C U+00A5 U+20A9 0x5C 21
22 .... U+00A x5C 22
23 23
24 24
25 ! U+00A1 0xA5 U+00A6 0x7C À Á Â Ã Ä Å Æ A U+00C4 U+00C5 U+00C6 U+00C0 U+00C1 U+00C2 U+00C3 A 0x41 25
26 26
27 27
28 28
29 29
30 Gif / GIF Maße/MASSE Maße / Masse 30
31 31
32 stricmp wcsicmp _ stricmp _ wcsicmp _mbsicmp _stricmp_l _wcsicmp_l _mbsicmp_l CompareString CompareStringEx CompareStringOrdinal lstrcmpi IntlStrEqNI StrCmpI StrCmpIC StrCmpNIC StrIsIntlEqual... 32
33 33
34 34
35 U+304C U+304B U
36 36
37 . U+2025 U+002E. U+002E 1 U+2473 U
38 U U+005C 38
39 39
40 40
41 41
42 42
43 43
44 44
45 <html> 45
46 46
47 47
48 48
49 " & q u o t ; 82 A A F 74 3B " "
50 50
51 51
52 52
53 53
54 エンコード情報の不一致 サーバ側とクライアント側で異なる charsetと解釈される 典型的には UTF-7 によるXSS UTF-8 < < & t > > " " & & ' ' 処理 INNOVATION TO THE FUTURE エスケープ NetAgent Co., Ltd. UTF-7 <html> <; > HTML生成 ユーザ 54
55 55
56 56
57 57
58 58
59 59
60 60
61 /
62 62
63 63
64 64
65 65
66 66
67 [ { "name" : "abc+mpv/fwaiah0axqa7 var t+ad0awwb7aciaig :+ACI ", "mail" : "hasegawa@utf 8.jp" }, { "name" : "John Smith", "mail" : "[email protected]" } ] p// p / j 67
68 [ { "name" : "abc"}];var t=[{"":"", "mail" : "hasegawa@utf 8.jp" }, { "name" : "John Smith", "mail" : "[email protected]" } ] p// p / j 68
69 [ { "name" : "abc"}];var t=[{"":"", "mail" : "hasegawa@utf 8.jp" }, { "name" : "John Smith", "mail" : "[email protected]" } ] p// p / j <script src=" charset="utf 7"> <script> alert( t[ 1 ].name + t[ 1 ].mail l) ); </script> 69
70 Content Type: application/json; charset=utf 8 [ { "name"": "abc"}];var b"}] t[{"""" t=[{"":"", "mail" : "hasegawa@utf 8.jp" }, { "name" : "John Smith", "mail" : "[email protected]" } ] charset IE6,7 <script src=" charset="utf 7"> <script> alert( t[ 1 ].name + t[ 1 ].mail ); </script> 70
71 71
72 72
73 73
74 0x x3C x3E xA2 0xBC 0xBE
75 75
76 0x4D xCD x36 0xB
77 77
78 78
79 79
80 80
81 81
82 82
83 / Solidus / Division Slash 83
84 g g ɡ Lattin Small Letter G Lattin Small Letter Script G ɡ 84
85 ɡ 85
86 ɡ 86
87 ɡ 87
88 ɡ 88
89 ɡ 89
90 ɡ 90
91 91
92 U+200B U+200C U+200D U+202A U+FEFF ZERO WIDTH SPACE ZERO WIDTH NON-JOINER ZERO WIDTH JOINER LEFT-TO-RIGHT TO EMBEDDING BYTE ORDER MARK (ZWNBSP) 92
93 93
94 94
95 95
96 96
97 97
98 98
99 99
100 100
101 101
102 102
●70974_100_AC009160_KAPヘ<3099>ーシス自動車約款(11.10).indb
" # $ % & ' ( ) * +, -. / 0 1 2 3 4 5 6 7 8 9 : ; < = >? @ A B C D E F G H I J K L M N O P Q R S T U V W X Y " # $ % & ' ( ) * + , -. / 0 1 2 3 4 5 6 7 8 9 : ; < = > ? @ A B
76
! # % & % & %& %& " $ 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 % & &! & $ & " & $ & # & ' 91 92 $ % $'%! %(% " %(% # &)% & 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 !$!$ "% "%
- 1 - - 2 - 320 421 928 1115 12 8 116 124 2 7 4 5 428 515 530 624 921 1115 1-3 - 100 250-4 - - 5 - - 6 - - 7 - - 8 - - 9 - & & - 11 - - 12 - GT GT - 13 - GT - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - -
4. 半角文字コード変換表 ここでは 半角文字のコード変換についての詳細な表を記載します の文字と文字コード (16 進数 ) には 表内で灰色の網掛けを設定しています 4.1 IBMカナ文字拡張からへの変換 16 進数 16 進数 16 進数 16 進数 16 進数 16 進数 SP 0x40 S
2013 年 4 月 3 日 お客様各位 株式会社セゾン情報システムズ HULFT 事業部 コード変換機能での のサポート 拝啓貴社ますますご清祥のこととお慶び申し上げます 平素は格別のご高配を賜り 厚く御礼申し上げます idivo Ver.1.4.0 では コード変換機能で変換できるコード体系の 1 つとして をサポートしました ついては 次に示すコード変換のパターンにおける 文字と文字コード (16
( )!?
(2) Copyright 2006 Kota Abe ( )!? : This is a pen. 84 104 105 83 (, encode) ( ) 84 104 105 83 This is a pen. (, decode) Do you know Tom Riddle? Yes!! ASCII American Standard Code for Information Interchange
w
11 No.469 NOV. 200214 w e r 7 t k k H H y u i Y o !0 Y Y Y Y Y Y!1 1 1!2 !3 a!4 b!5 !6 B 1 1 1 1 b b !7 f 1 1 !8 1 11/ G 1 R u u u u u u u u u u u u ub u u u u u uc u u u u s s s s s s s s sb s s!9 c Y
3.4 con: 3.5 ws: 3.6 newpage: (TeX ) 3.7 clearpage: (TeX ) 4. 4.1 4.2 4.3 :QMath 1 1.1 XeX XML1.0 XML DTD (Document Type Definition, ) DTD XeX jarticl
2000-11-29 2005-04-20 XeX IMS:20001129001; NDC:021.4; keywords:, ; 1. 1.1 1.2 1.3 1.4 1.5 1.6 2. HTML 2.1 p: 2.2 br: 2.3 cite: 2.4 blockquote: 2.5 em: 2.6 strong: 2.7 sup: 2.8 sub: 2.9 ul: 2.10 ol: 2.11
johokiso-char.pdf.pdf
1 2 (2) l ASCIIJISUnicode ISO-2022-JP, Shift_JIS, EUC-JP Web l Copyright 2006-2018 Kota Abe 2018/06/12 3 4 l ()!? 5 6 l : This is a pen. 84 104 105 83 This is a pen. (, encode) () (, decode) l 41 42 43
-----------------------------------------------------------------------------------------1 --------------------------------------------------------------------------------------1 -------------------------------------------------------------------------------------1
1 2 3 4 1 2 3 4 1 2 3 4 12 3 4
1 2 3 4 5 6 1 2 3 4 5 6 1 2 1 2 1 2 1 2 1 2 3 4 12 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 4 12 3 4 1 2 3 4 5 6 7 8 1 2 3 46 7 1 2 3 4 5 6 7 1 2 3 4 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 16 7 8 92 3 46 7 :
S1460...........\1.E4
3 4 3 4 5 3 4 5 3 4 3 4 3 3 3 3 4 3 4 3 3 4 4 3 3 3 3 4 3 4 3 3 3 3 3 3 4 3 4 3 4 5 4 3 5 4 3 3 4 5 3 4 5 4 3 4 3 3 4 3 4 3 3 3 3 3 4 3 3 4! "! " " 0 6 ! " 3 4 3 3 4 3 ! " 3 3 4 5 4 5 6 3 3
m_sotsuron
iphone Web 0848066 1. 1 1 1 2 iphone 2 3 2 4 3 2. 3 1 3 2 iphone Web 6 3 HTML 10 4 CSS 12 5 iphone 14 6 15 7 16 8 ipad 18 3. 22 iphone Web Web 2 iphone Web iphone iphone Web iphone Web PC 1 2000 iphone
... 3... 3... 3... 3... 4... 7... 10... 10... 11... 12... 12... 13... 14... 15... 18... 19... 20... 22... 22... 23 2
1 ... 3... 3... 3... 3... 4... 7... 10... 10... 11... 12... 12... 13... 14... 15... 18... 19... 20... 22... 22... 23 2 3 4 5 6 7 8 9 Excel2007 10 Excel2007 11 12 13 - 14 15 16 17 18 19 20 21 22 Excel2007
07_経営論集2010 小松先生.indd
19 1 2009 105 123 Web Web Web Web World Wide Web WWW OS 1990 WWW Web HTML CSS JavaScript Web 1 WWW 2 Web Web 3 Web 4 HTML5 5 Web Web 3 1970 WWW HTML Web WWW WWW WWW WWW WWW 105 Web WWW 2 Web 1 1 NTT NTT
http://banso.cocolog-nifty.com/ 100 100 250 5 1 1 http://www.banso.com/ 2009 5 2 10 http://www.banso.com/ 2009 5 2 http://www.banso.com/ 2009 5 2 http://www.banso.com/ < /> < /> / http://www.banso.com/
1 JIS X 8341-3:2016 WCAG2.0 http://waic.jp/docs/wcag2/understanding.html WCAG2.0 http://waic.jp/docs/wcag2/techs.html 2 ... 1... 3... 6 1.1... 6 1.2... 7... 8 1.1.1... 8 1.2.1... 13 1.2.2... 14 1.2.3...
DMC-TZ57
DMC-TZ57 & http://panasonic.jp/support/dsc/ SQW0168-1 F0215MR1025 & ### & ### ### ### & & È È AF > = 1 2 3 4 5 ( 1: 3È 2: 4# 3: 2ë 4: 1 6 7 8 9 10 11 1213 14 3421 4 4 ### 15 16 17 18 19 20 21 22 2324
n=360 28.6% 34.4% 36.9% n=360 2.5% 17.8% 19.2% n=64 0.8% 0.3% n=69 1.7% 3.6% 0.6% 1.4% 1.9% < > n=218 1.4% 5.6% 3.1% 60.6% 0.6% 6.9% 10.8% 6.4% 10.3% 33.1% 1.4% 3.6% 1.1% 0.0% 3.1% n=360 0% 50%
2
1 2 3 4 5 6 7 8 9 10 11 12 Character ASCII Code Description \ [092] backslash / [047] forward slash : [058] colon * [042] asterisk? [063] question mark " [034] double quotes < [060] less than > [062] greater
EPSON
B K L & & & & & & & & L & & & & & & & K & & & & & L L L & & & K L L L & & L L L & & & & & & & & & & & & & & & & & & & & & & & & & & & L & K L K & & & & & & & L L & & L & & L L & & & & &
2.8% 2.0% 2.4% 2.4% 0.4% 0.1% 0.3% 0.5% 3.8% 5.6% 25.6% 29.3% 64.6% 60.0% 1
2.8% 2.0% 2.4% 2.4% 0.4% 0.1% 0.3% 0.5% 3.8% 5.6% 25.6% 29.3% 64.6% 60.0% 1 16 24 21 20 20 23 10 11 9 10 3 3 3 2 3 1 3 4 6 8 2 0 1 2 3 4 5 6 0 1 2 3 4 5 6 0 1 2 3 4 5 6 3 4 Q & A Q1 A1 Q2 A2 Q3 A3 7
‡o‡P†C‡P‡Q”R„û†^‡P†C‡P‡Q
,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,, Q & A ,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,
2012_05_GLK_cover.indd
c %& r Z \ W W n q & F % % & & % & & % % % & % & % & % & % & % & F F % % % & & & & % & A
