XSS脆弱性診断システムを作ってみる
http://bitarts.net/secure/index.php?cmd=read&page=%C0%C8%BC%E5%C0%AD%BC%AD%C5%B5%2F%A5%AF%A5%ED%A5%B9%A5%B5%A5%A4%A5%C8%A1%A6%A5%B9%A5%AF%A5%EA%A5%D7%A5%C6%A5%A3%A5%F3%A5%B0&alias%5B%5D=%A5%AF%A5%ED%A5%B9%A5%B5%A5%A4%A5%C8%A1%A6%A5%B9%A5%AF%A5%EA%A5%D7%A5%C6%A5%A3%A5%F3%A5%B0脆弱性は、アプリケーション関係のセキュリティホールの中でも比較的、外部からの自動処理で検出しやすい脆弱性だ。逆にhttp://bitarts.net/secure/index.php?cmd=read&page=%C0%C8%BC%E5%C0%AD%BC%AD%C5%B5%2FSQL%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3&alias%5B%5D=SQL%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3などは脆弱性が存在していたとしても例外のハンドリングがきちんとできていると外部から検出するのは難しそう。
ということで、とりあえずクロスサイトスクリプティング脆弱性を診断するツールを作り始めています。って、まあすでにhttp://www.parosproxy.orgとかで実現されていることなんだけど、ちょっとレポート出力などに不満があるので自作してみることに。
まずは叩き台を作ってみた。これをベースにクロスサイトスクリプティング以外のセキュリティホールの検査にも対応させて行きたい。
ブログのフリには関係ないけど・・・
あたいのメールアドレス
JC5M-OOTK@ASAHI-NET.OR.JP
を詐称している蟲エージェントが沢山出回っているらしい。_Π○
Toだけみているような一部のスパムブロックではスパマー扱いされているらしい。_Π○
メール出しても受け取り拒否になっていたりするの。なんてこったい。(TΠT)
最近ファンレターとか問い合わせがめっきり少なくって、かわりにSPAMしかこないのはそういう背景も影響しているのかな(;_;)
で、JC5M-OOTK@ASAHI-NET.OR.JPをFROMで名乗って(RECIVEDにおいてアサヒネット以外の鯖から)出されるメールは多分詐称なので、やっぱし開かないほうが無難ね。
もう。まいっちんぐ!