@random な勉強会 (2010/10/30)

Daisuke Kotani @daisuke_k

図書館関係多いなぁ #atrandomkyoto

Yukio NAGAO @ynagao

大学図書館務めの人が < 自己紹介 #atrandomkyoto

たりき @Vipper_The_NEET

行きたかったッ！行きたかったぞジョジョぉぉぉぉぉ！ #atrandomkyoto

張茂 @Zhang_Mao

#atrandomkyoto 大学図書館員は臣含めて３人か。てかＯ大のＭさん、隣に居たのに気付かなかった……すみません

Yukio NAGAO @ynagao

徳丸さんセッション #atrandomkyoto

中田淳平 willway.eth @j_nakada

自己紹介終了。徳丸氏による文字コードに起因する脆弱性とその対策 #atrandomkyoto

中田淳平 willway.eth @j_nakada

sqlインジェクションとか知ってる前提で #atrandomkyoto

Yuta Hanayama @yutahanayama

@randomな勉強会、始まりました。よろしくお願いします。 #atrandomkyoto

中田淳平 willway.eth @j_nakada

バックスラッシュと¥は、文字集合ではややこしい関係。一対一対応じゃないと文字化けする。 #atrandomkyoto

Yuta Hanayama @yutahanayama

Unicodeの話。今回はコード的な話ということで、サロゲートペアや合成文字の話はなし。 #atrandomkyoto

Yukio NAGAO @ynagao

文字コード超入門～(符号化) 文字集合とエンコーディング (文字符号化方式) の解説 #atrandomkyoto

Yukio NAGAO @ynagao

デモ 1 半端な先行バイトによるXSS #atrandomkyoto

Yukio NAGAO @ynagao

マウスオーバーで再現 #atrandomkyoto

Yukio NAGAO @ynagao

PHP 5.3.3 で解消 #atrandomkyoto

Yukio NAGAO @ynagao

デモ 2 : UTF-8 非最短形式によるパストラバーサル #atrandomkyoto

Yukio NAGAO @ynagao

JRE 6 u10 以前で再現 #atrandomkyoto

Yuta Hanayama @yutahanayama

文字をバイト列のまま評価するのは欧米圏のアプリケーションではありがちな処理ですね。 #atrandomkyoto

中田淳平 willway.eth @j_nakada

JAVAのバージョンが古いとUTF-8非最短形式をつかれるが、諸事情によってバージョンアップできない現場が多いと聞くし怖いね。 #atrandomkyoto

Yukio NAGAO @ynagao

デモ 3 : 5C問題によるSQLインジェクション #atrandomkyoto

Tomohiro Hanada @decoyservice

各地で #atrandomkyoto とか #collabocon2010 とかやっているんですね。

Yuta Hanayama @yutahanayama

s/欧米圏/シングルバイト文字圏/ #atrandomkyoto

Yukio NAGAO @ynagao

PDO が日本語処理に問題があり、MySQL にクエリを叩きこむ #atrandomkyoto

中田淳平 willway.eth @j_nakada

EUC-JPを打つ練習をしましょう。 #atrandomkyoto

Yukio NAGAO @ynagao

悪用例 (UNIONアタック) union 句を利用して、要素を抜き出す #atrandomkyoto

Yukio NAGAO @ynagao

デモ 4 : UTF-7 による XSS #atrandomkyoto