SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた - piyolog
2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery(SSRF)攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident(米国向け) Information on the Capital One Cyber Incident(カナダ向け) Frequently Asked Questions (1)影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。
CDNetworksの改ざん、エッジサーバーからのアップロード機能を悪用か
図●シーディーネットワークス・ジャパンが説明するCDNの仕組み。オリジンサーバーにアップロードしたコンテンツが、エッジサーバーを通じて配信される。シーディーネットワークス・ジャパンのWebページから引用。 韓国CDNetworksのコンテンツ・デリバリー・ネットワーク(CDN)サービスで使うサーバーが2014年5月下旬、攻撃者によって不正に改ざんされた(関連記事:「HISやバッファローのウイルス感染は、CDNetworksの改ざん被害が関与」)。その攻撃手法が関係者への取材で徐々に明らかになってきた。コンテンツを直接ユーザーに渡すためのエッジサーバーが悪用されて、配信するコンテンツを保管するオリジンサーバーが改ざんされたとみられる。 CDNは、Webサイトで高速にコンテンツをユーザーに配信するための仕組み。CDNを利用するWebサイト運営者は、CDN事業者のオリジンサーバーに配信したいコン
強烈なDNSキャッシュポイズニング手法が公開される:Geekなぺーじ
本日、JPRSが緊急の注意喚起を公表しました。 緊急)キャッシュポイズニング攻撃の危険性増加に伴うDNSサーバーの設定再確認について(2014年4月15日公開)- 問い合わせUDPポートのランダム化の速やかな確認・対応を強く推奨 それに対して、2月中旬に脆弱性を発見してJPRSへと報告していた鈴木氏(脆弱性は前野氏との共同発見)が、JPRSの注意喚起では「危険性をよく理解して対策をとるにあたって十分な情報が含まれているとはいえません」として、以下の情報を公開しています。 開いたパンドラの箱 - 長年放置されてきたDNSの恐るべき欠陥が明らかに キャッシュポイズニングの開いたパンドラの箱 キャッシュポイズニングの開いたパンドラの箱 - 2 - 本来であれば、より上位からの正規の回答が優先されなければならないはずなのに、下位側が優先される仕様になっているので、偽装されたデータが優先されてしまう
JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
Firefox OS security overview - Archive of obsolete content | MDN
This document provides an overview of Mozilla's Firefox OS security framework, which is designed to protect mobile devices from threats to the platform, apps, and data. In Firefox OS, Mozilla has implemented a comprehensive, integrated, and multi-layered security model that delivers best-of-breed protection against security risks to mobile phones. Platform Security The Firefox OS platform uses a m
俺史上最強のiptablesをさらす - Qiita
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
RIPS - free PHP security scanner using static code analysis
vulnerabilities Code Execution Command Execution Cross-Site Scripting Header Injection File Disclosure File Inclusion File Manipulation LDAP Injection SQL Injection Unserialize with POP XPath Injection code audit interface scan and vulnerability statistics grouped vulnerable code lines (bottom up or top down) vulnerability description with example code, PoC, patch exploit creator file list and gra
Cookieによるhashdos攻撃と対策
このエントリでは、Cookieを用いたhashdos攻撃の可能性について検討し、実証結果と対策について報告します。 はじめに既に当ブログで報告の通り、hashdosと呼ばれる攻撃手法が公表されています。HTTPリクエストのパラメータ名に対するハッシュ値を故意に同一にした(衝突させた)ものを多数(数万程度)送信することにより、Webサーバーを数分程度過負荷にできるというDoS攻撃手法です。 先の記事でも説明しているようにPOSTパラメータ(HTTPリクエストボディ)に多数のパラメータを仕込む攻撃が典型的ですが、POSTパラメータ以外のパラメータを用いた攻撃についても検討しておかないと、防御漏れの可能性が生じます。 そこで、POSTパラメータ以外を用いた攻撃方法について検討します。 POST以外に多数のパラメータを仕込めるかPOST以外に多数のパラメータを仕込む場所があるでしょうか。候補となる
サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
第1回名古屋情報セキュリティ勉強会 #nagoyasec
2011年07月30日(土曜日)に開催された、第1回名古屋情報セキュリティ勉強会のTweetまとめです。 ただし、三輪さんの「某グループ企業向け提案書から考えるありがちな提案とウソ」に関しては、Tweetがありません悪しからず。。。 三輪さん「正確には、リアルタイムのつぶやきなどをご遠慮頂きたいのです、断片的な言葉だけで誤解を招きたく無いためです、講義後は自由に話しても問題ありません」(From:https://twitter.com/#!/NobMiwa/status/97164281556119554) --- セッション1:「某グループ企業向け提案書から考えるありがちな提案とウソ」(S&Jコンサルティング株式会社三輪さん) 続きを読む
JSONのエスケープをどこまでやるか問題 - 葉っぱ日記
Ajaxなアプリケーションにおいて、サーバからJSONを返す場合に、JSON自体はvalidであるにも関わらず、(IEの都合で)エスケープが不足していて脆弱性につながってる場合があるので、書いておきます。 発生するかもしれない脆弱性 JSONのエスケープが不足している場合に発生する可能性のある脆弱性は以下の通りです。 JSON内に含まれる機密情報の漏えい XSS それぞれの詳細については後述します。 開発側でやるべきこと 文字列中のUnicode文字は "\uXXXX" な形式にエスケープするとともに、ASCIIな範囲であっても「/」「<」「>」「+」も同様にエスケープすることにより、前述の脆弱性を防ぐことができます。 Perlであれば、以下のような感じになります。JSON->ascii(1) に続けて、JSON文字列を正規表現で置換しているあたりがキモになります。 use utf8; u
拙著「インターネットのカタチ - もろさが織り成す粘り強い世界 -」の目次:Geekなぺーじ
追記:目次(コラムを含む最新版)、はじめに、1章、参考文献などの情報を「関連情報ページ」で公開しました。 詳しくは、そちらをご覧下さい。 6月後半に拙著「インターネットのカタチ」がオーム社/開発局から発売される予定です。 1995円です。 私が所属していた研究室の優秀な博士課程学生との共著です(インターネット計測研究部を丸ごと任せました)。 できるだけ一般的な読み物として読めるように、技術的な前提知識を必要とせずに「インターネットが壊れた」という事例から垣間見えるインターネットの構成を解説することに努めました。 一方で、TCP/IPの基礎がわかる方々が読んでも面白いと感じてもらえる内容を目指しました。 「TCP/IPそのものを勉強してもインターネット全体像はわからない、TCP/IPを勉強してない人にもインターネット概要を伝えたい」という考え方です。 最後の「付録」は、さらに興味がある人が自
LH質問箱「なぜChromeはGmailを安全でないと警告するのか」にお答えします | ライフハッカー・ジャパン
ライフハッカー編集部さんへ Google Chromeのセキュリティアイコンがよくわかりません。Gmailのように安全なはずのサイトでも、「そのページは安全ではありません」と警告してきます。これはどういうことでしょうか? P.N. Sensitive to Security より Sensitive to Securityさん、こんにちは。 この手のご質問は、何度か聞いたことがありますよ。多くの場合、あまり心配する必要はありません。Chromeのセキュリティインジケーターについては、Chromeの公式ウェブサイトで詳しく説明されているので、そちらをご参照いただいてもいいのですが、Google ChromeチームのシニアプロダクトマネジャーIan Fette氏からのお話をもとに、なぜこんなことが起こるのか? なぜ心配する必要がないのか? わかりやすくご紹介しましょう。 ■Chromeのセキュ
iPhoneアプリのSSL接続をパケットキャプチャする方法 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 ブラウザでアクセスするWEBサービスだと、たとえSSL/TLSでセッションが暗号化されていても所詮ピア・ツー・ピア通信なので例えばFirefoxだとFirebugなどでブラウザ側でパケットをキャプチャできます。 でもiPhone(iOS)アプリだとiPhoneにそんなツールが入れられないしキャプチャできない、と思い込んでいませんか? 実は僕もそうだったのですが、この件に関連して可能なキャプチャ方法を見つけたので覚え書きで残しておきます。 但し素人の方法なのでもっと洗練された方法もあるはず。セキ
Sender ID:送信者側の設定作業 ― @IT
送信ドメイン認証は、Yahoo!やGmailで「DomainKeys」が、Hotmailで「Sender ID」が利用されているほか、多くのISPが対応を表明したことにより一段と普及が進んでいる。すでに米国などでは、送信ドメイン認証に対応しているドメインからのメールを優遇して通すなど、利用することのメリット、また利用しない場合のデメリットなどが現れてきている。 本稿では2回にわたって、IPアドレスベースの認証方式に分類される「SPF(Classic SPF)」およびSender IDについて解説する。前編では、SPFおよびSender IDを導入するに当たって、実際にどのように手を動かせばいいのかについて説明したい。 IPアドレスベースの送信ドメイン認証 まず、IPアドレスベースの送信ドメイン認証について説明する(図1)。送信側は、「Sender Policy Framework(SPF)
livedoor Techブログ : 第一回 ライブドア テクニカルセミナー・ログ
2009年2月27日(金)に開催されました 第1回 ライブドア テクニカルセミナー「Open & Share」の発表資料と動画を公開致します。 プラクティカル Cicindela 中の人による中の人のための、ライブドアブログ公式攻撃マニュアル(抜粋) インサイド livedoor Blog ライブドアのネットワークとトラフィックパターン P2Pコンテンツ配信技術の現状 デジタルコンテンツ配信の法的問題 プラクティカル Cicindela 株式会社ライブドア 井原 郁夫(15分) オープンソースのレコメンデーションエンジン「Cicindela(シシンデラ)」。実際の各種サービスで利用するための工夫と実践向けのプログラム設計手法を公開。 中の人による中の人のための、ライブドアブログ公式攻撃マニュアル(抜粋) 株式会社ライブドア 井原 郁央(5分) 2008年のある事件をケースとした、社
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米国における暗号技術をめぐる動向
(PDF) 平成24年度総合セキュリティ対策会議 「サイバー犯罪捜査の課題と対策」部会 (第3回)
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
MS、ウイルス対策ソフト「Microsoft Security Essentials」を無償公開