[stalk:01259] Re: AppShield

[Yutaka Kokubu <bun@xxxxxxxxxx>]

こんにちは。国分です。

> JavaScript の結果を hidden フィールドに格納するタイプの
> Web アプリケーションだと、どうなのかな....と。
> 多分、正常な通信が遮断されちゃいますよね。
> (デフォルトの学習機能では、hidden フィールドはそのまま戻る。だと思ったので)
> 
> 自信がなかったのは、クライアント・スクリプトで hidden フィールドを
> 書き換えている Web サイトがあるのかなぁ....という事でした。

残念ながら、(私の知ってるVer3.1Jまででは)JavaScript で書き換えられる項目を
*自動で* 判断することはできませんでした。
hidden フィールド以外にも、JavaScript が作ったCookie を送信したり、
JavaScript が動的に生成するリンクなんかに出会ってしまうと、
正常な通信でも遮断してしまいます。

もちろん回避方法は用意されていて、
JavaScript が作り出すリクエストを、登録しておく事が可能です。
例えば、
http://somesite/cgi-bin/login.cgi?user=kokubu&passwd=hogehoge
というリクエストは正常である、ということを手動で設定しておけば、
それが JavaScript が作るリンクであっても、通過できるようになります。
同様に cookie やフォームのパラメタも設定できます。
ただしこれを設定すると、誰でも上記 URL にアクセスできる事になり、
セキュリティ強度は下がってしまいます。

他に、使える場面は限られますが、
AppShield が <A> タグを理解できる事を逆手にとって、HTML の中に、
<A href="http://somesite/cgi-bin/login.cgi?user=kokubu&passwd=hogehoge"></A>
というクリックできないリンクを埋め込んでおく、といった方法もあります。


> セキスタの AppShield は、私の準備不足が大問題でしたが、
> 固すぎっす。.....大文字/小文字を取り替えただけでもハジくなんて....(T_T)
大文字/小文字だけでなくて、「a」が「%61」になっただけでも
ハジいてしまうはずです。
融通が効かない分セキュア、ってことでしょうか。

--
// Yutaka Kokubu <bun@xxxxxxxxxx>
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　 　　　　　　　　　　グリーンが呼んでるぜぃ！
　      http://www.golfport.co.jp/infoseek/index.html?svx=971122