2008-07-06 第13回セキュリティもみじ:マルチバイトXSS攻撃等を防ぐApacheモジュールmod_wafful.c(id:TAKESAKOさん) セキュリティ IT MultiByteXSS対策 デモと事例とか色々あわせて、現状と対策を説明 正しい文字エンコーディングかどうかを調べる Valid EUC-JP Encoding EUCの正規表現を行う Valid Shift_JISEncording SJISの正規表現 Valid UTF-8 Encording UTF-8の正規表現でチェック 結局もう、ブラウザのバグをアプリ側で考えるのは面倒→なので、わっふるわっふる(Web Application FireWall On User Level) プログラムの書き換え無しで、セキュリティ対策を実装!わっふるわっふるw 今後のわっふるわっふるの展開 mod_wafful配布形態 現状 Freeバージョンダウンロード可能 今後 Advanced Version 組み込みDFエンジンで高速化 防御ファイルの作成支援 防御ファイルのWiki共有サイト立ち上げ Namazuなどの組織を含めて、対策防御ファイルを提供とか・・・ TAKESAKO::MS::MVP!!!!!!!!!!!!!!!!!!おめーーー♪
