各ブラウザのエンコーディングのテスト

このページについて

エンコーディングを使った攻撃の可能性について考察するために行った様々なブラウザの動作の検証結果をまとめたページです。詳しくは OWASP AppSec APAC 2014の発表資料、「エンコーディングとセキュリティ徹底調査 -XSS Allstars from Japan-」を参照してください。

テスト対象

Chrome/Safari/Firefox/Opera/IEと、一部でAndroidの標準ブラウザ・Mobile Safari・Edgeをテストしました。 特筆していなければ、SafariはOS X上のSafari、Operaはバージョン12.x(Presto)を指します。 IEはバージョン間の挙動の差異が大きいので、IE6～最新までを(大体)チェックしています。

テスト結果

• 各ブラウザが解釈可能なcharsetのリスト(古いブラウザver)
• 各ブラウザが解釈可能なcharsetの比較表
• イレギュラーなバイト値に特殊文字が出現するもの一覧
• 後続の文字を壊すバイト値が出現するもの一覧
• タグ中で無視されるバイト値が出現するもの一覧
• 後続の文字を連続して壊す始点と終点のバイト値一覧
• 通常と異なる1バイトに[0x00-0x7F]が出現するもの一覧
• [0x00-0x7F]に非ASCII文字が出現するもの一覧
• マップ位置が極端に異なるもの一覧

Contact

Twitter or メール( masatokinugawa at gmail )