セキュリティは楽しいかね？ Part 1

今週のセキュリティ一口メモ

security

今週気になった記事の中からいくつかピックアップ。

UTF-7でXSS

UTF-7でXSSを発生させる10の方法 - 葉っぱ日記
ブラウザによる文字コードの取り扱い方に問題があるため、UTF-7を使うとXSSを発生させることができる場合がある。特に文字コードの自動判別を行うIEは攻撃対象になりやすい。それらの方法についてまとめたUTF-7 XSS Cheat Sheetが公開されている。非常に興味深い。

プライバシー保護が最も優れているのはギリシャ、ルーマニア、カナダ、最も悪いのは、マレーシア、ロシア、中国

http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-559597
世界47ヶ国におけるプライバシー保護の状況を様々な基準で点数付けしたレポートが公開されている。日本は可もなく不可もなくといったところか。

MBR Rootkit

マスターブートレコードに感染するrootkit攻撃が発生 - ITmedia NEWS
MBR Rootkit: A Web Threat? - TrendLabs Security Intelligence Blog
InfoSec Handlers Diary Blog - Master Boot Record rootkit
http://www.symantec.com/enterprise/security_response/weblog/2008/01/from_bootroot_to_trojanmebroot.html
マスターブートレコード(MBR)に感染するルートキットが出回っているらしい。PCI Rootkitや Blue Pillなど最近はハードウェアを攻撃対象にしたマルウェアが流行になっているかも。

クロスサイト・プリンティング

http://www.computerworld.jp/news/sec/93629.html
http://ha.ckers.org/blog/20080108/cross-site-printing/
Jeremiah Grossman: Cross-Site Printing (Printer Spamming)
javascriptを利用してイントラネットを攻撃するというのは最近のWebアプリケーション攻撃の一つのトレンドだが、今度はプリンタへの攻撃だそうだ。もはやなんでもアリ。