アカウント名:
パスワード:
セキュリティ的には大文字小文字を区別しないと不利なんじゃなかったっけ? 理由はわからん。 何かで見た。
最初から小文字だけとか大文字だけしか受け付けないとかいう設計にすればよかったんじゃね? そうすればデジタル化!で、英語でも大文字か小文字が廃止されていたかもしれん。 FAXは古い、的ノリで。
インジェクションでcmd.exeを置き換えてcmd.exe の自動実行をすげ替えるとき、区別だと呼び出し cmd.exe に対して CmD.eXE とかは反応しないけど、Windowsだとしちゃうね。んでインジェクション検知の正規表現マッチングで grep -i みたいにしないといけないし、Perlなら[A-Z][a-z] しないといけない。パターンがザルだとくぐり抜けられちゃう。多分そういうことだと思う
そういう脆弱性は良くありますね。特に、Unix向けに開発されたソフトウェアをWindowsに移植した場合にね。CWE-178: Improper Handling of Case Sensitivityhttps://cwe.mitre.org/data/definitions/178.html [mitre.org]
あと、8.3形式や代替ストリームの事を忘れてるパターンも良く有る。IPA ISEC セキュア・プログラミング講座:C/C++言語編 第9章 ファイル対策:ファイルの別名検査 [ipa.go.jp]
逆に、WindowsのソフトウェアをLinuxに移植した場合、symlinkの扱いが雑でsymlink attackを踏むのもあるある
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
セキュリティ的には (スコア:0)
セキュリティ的には大文字小文字を区別しないと不利なんじゃなかったっけ? 理由はわからん。 何かで見た。
最初から小文字だけとか大文字だけしか受け付けないとかいう設計にすればよかったんじゃね? そうすればデジタル化!で、英語でも大文字か小文字が廃止されていたかもしれん。 FAXは古い、的ノリで。
Re: (スコア:1)
インジェクションでcmd.exeを置き換えてcmd.exe の自動実行をすげ替えるとき、区別だと呼び出し cmd.exe に対して CmD.eXE とかは反応しないけど、Windowsだとしちゃうね。んでインジェクション検知の正規表現マッチングで grep -i みたいにしないといけないし、Perlなら[A-Z][a-z] しないといけない。パターンがザルだとくぐり抜けられちゃう。多分そういうことだと思う
Re:セキュリティ的には (スコア:2, 参考になる)
そういう脆弱性は良くありますね。
特に、Unix向けに開発されたソフトウェアをWindowsに移植した場合にね。
CWE-178: Improper Handling of Case Sensitivity
https://cwe.mitre.org/data/definitions/178.html [mitre.org]
Re: (スコア:0)
あと、8.3形式や代替ストリームの事を忘れてるパターンも良く有る。
IPA ISEC セキュア・プログラミング講座:C/C++言語編 第9章 ファイル対策:ファイルの別名検査 [ipa.go.jp]
Re: (スコア:0)
逆に、WindowsのソフトウェアをLinuxに移植した場合、symlinkの扱いが雑でsymlink attackを踏むのもあるある