ヤフーにおけるWebサービスのアクセスコントロール
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、ヤフーにおけるWebサービスのアクセスコントロールについてご紹介します。 ヤフーでは、会社組織やWebサービスの運営面でいろいろなアクセスコントロールを行っています。 アクセスコントロールをする目的には、いくつも理由がありますが、たとえば、以下の理由が挙げられます。 お客様やパートナーの情報を守らなければなりません。 サーバの制御を奪われ、攻撃に利用されてはいけません。 システムの不正な利用を予防しなければなりません。 今回は、ヤフーのWebサービスにフォーカスして説明をします。 インターネットからヤフーへ
エフセキュアブログ : Allapleウイルスの作者に判決
Allapleウイルスの作者に判決 2010年03月11日20:20 ツイート mikko_hypponen ヘルシンキ発 by:ミッコ・ヒッポネン エストニアのウイルス・ライターが、エストニアのハリュで実刑判決を受けた。 Allapleウイルス・ファミリの作者、44歳のArtur Boiko氏は無罪を主張した。 とは言え、彼は有罪であるとされ、2年7カ月の懲役を言い渡された。 Allapleは多型性暗号化を使用した複雑なワームだ。ローカルHTMLファイルを修正することでネットワーク上に広がる。このようなHTMLファイルがパブリックWebサイトにアップロードされると、感染がさらに広がることになる。 どうやらBoiko氏は、自動車事故に遭い、If Insuranceと保険査定に関して議論となったらしい。その結果、彼のワームが以下のサイトにDDoS攻撃を開始した: www.if.ee
エフセキュアブログ : 間違いだらけのGumblar対策
間違いだらけのGumblar対策 2010年01月12日11:50 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 Gumblarが大流行し、大手メディアでも取り上げられるようになりましたが、情報が錯綜しているようです。そこで、実際に検体を解析しましたので、よくある間違いをQ&A形式にてお伝えします。 Q. OSだけでなくすべてのソフトウェアを最新版にアップデートしておけば大丈夫ですか? A. 違います。最新版でも攻撃を受ける可能性があります。未パッチのAdobe Reader/Acrobatの脆弱性を攻撃するものも出回りましたので、対策としてはAdobe Reader/AcrobatのJavaScriptを無効にする必要があります。 修正版ソフトウェアは2010年1月12日(日本時間だと13日)に出る予定です。ただし、今後も同種の脆弱性が発見され、修正版
エフセキュアブログ : SQLインジェクション攻撃のニューウェーブ
SQLインジェクション攻撃のニューウェーブ 2009年12月11日05:17 ツイート fsecure_response 多くのWebサイトに障害を出している、新たなSQLインジェクション攻撃に関する報告が届いた。その攻撃で使用されている悪意あるiframeのGoogleでの検索結果は、10万ヒット以上に達する: 最初のiframeがHTMLページに導き、このページが難読化されたJavaScriptを含むiframeをロードし、さらに不運な訪問者を悪用しようとするというのが典型的な流れだ。エクスプロイトに成功すると、Buzusファミリーのマルウェアのダウンロードへと導かれる。 我々はすでにこのマルウェア・バイナリを、最新の「エフセキュア インターネット セキュリティ 2010」データベースでは「Trojan.Generic.2823971」と、他の製品では「Trojan.Win32.Buz
レインボーテーブル - Wikipedia
レインボーテーブル (rainbow table) は、ハッシュから平文を得るために使われるテクニックの一つである。特殊なテーブルを使用して表引きを行うことで、時間と空間のトレードオフを実現している。 以降では、このテクニックの元となっているアイディアについて説明する。 3 種類の還元関数を使った簡単なレインボーテーブルの例 最も単純な方法[編集] レインボーテーブルは「あるハッシュ値に対して総当たり攻撃を行った際の計算結果を、別のハッシュ値を攻撃する際に使用する」というアイデアに端を発する。例えば、平文 Pi (i = 1, 2, ...) と、それらをハッシュ化した値 Ci をテーブルに格納しておき、このテーブルを逆引きすればハッシュ値から対応する平文が得られる。 ただし、この方法では、得られた平文とハッシュ値とのペアを全て記録しておく必要があり、実現には莫大な記憶領域を必要とする。
論点の整理: 文字エンコーディングバリデーションは自動化が望ましい - 徳丸浩の日記(2009-09-18)
_文字エンコーディングバリデーションは自動化が望ましい 私が9月14日に書いたブログエントリPHP以外では - 既にあたり前になりつつある文字エンコーディングバリデーションに対して、大垣靖男さんから名指しで「セキュリティ専門家でも間違える!文字エンコーディング問題は難しいのか?」というエントリを頂戴しましたので、それに回答する内容を書きたいと思います。 まずは論点の整理から始めます。 合意していると思われる内容 まずは合意できていると思われる内容から書き始めたいと思います。以下の内容は、大垣さんと私で合意事項だと考えています。 論点1.文字エンコーディングの問題によるセキュリティ上の脅威がある 論点2.文字エンコーディングに起因するセキュリティ上の問題に対して、文字エンコーディングのバリデーションが有効である 論点3.Webアプリケーションによっては文字エンコーディングのバリデーションが不
高木浩光流 インターネットの歩き方(後編) | ITスペシャリストに聞く | 情報セキュリティブログ | 日立システムアンドサービス
ITスペシャリスト 前編では、秋葉原に思いをはせる高木少年がセキュリティ・エバンジェリストになるまでのお話を伺いました。後編では、人気ブログ『高木浩光@自宅の日記』秘話を通じて、私たちが気をつけておきたい、否、気をつけなければならない、そして声をあげていかなければならないセキュリティの問題についてお話を伺います。話はだんだん白熱して・・・。 高木浩光(たかぎ・ひろみつ) 独立行政法人 産業技術総合研究所 情報セキュリティ 研究センター 主任研究員 1994年、名古屋工業大学大学院博士後期課程修了。博士(工学)。 同大助手を経て、1998年、通商産業省工業技術院電子技術総 合研究所に転任。2001年、独立行政法人産業技術総合研究所 に改組。2002年より同グリッド研究センターセキュアプログ ラミングチーム長。2005年4月より現職。専門は並列分 散コンピューティング、プログラミング言語処理系
HTAを利用したワンクリックウエアの新たな手口 | トレンドマイクロ セキュリティブログ
この事例に関するサポートページが公開されました。インストールした覚えのないアプリケーションのポップアップウィンドウが繰り返し表示される問題に遭遇されているユーザは、以下のサポートページをご参照ください。 「不正なポップアップウィンドウが表示される問題の解決方法」 Windows XP の場合 http://esupport.trendmicro.co.jp/pages/JP-2079453.aspx Windows Vista/Windows 7 の場合 http://esupport.trendmicro.co.jp/pages/JP-2079467.aspx 「作業を専門家に依頼する場合」 おまかせ!不正請求クリーンナップサービス http://jp.trendmicro.com/jp/support/personal/contact/remotesup/popupcleanup/ s
第5回■注目される文字コードのセキュリティ問題
今回から5回にわたって,アプリケーション全体に関する文字コードの問題と対策について説明する。文字コードがセキュリティとどう関わるのか,疑問に思うかもしれないが,Webアプリケーションで文字コードを指定可能な個所は非常に多く,しかも文字コードの選定や処理方法次第ではぜい弱性の原因になることが分かってきている(図1)。実は文字コードはWebアプリケーションのセキュリティ問題の最新の話題と言ってよい。 2008年10月に開催されたセキュリティ・イベントBlack Hat Japan 2008では,ネットエージェントの長谷川陽介氏が「趣味と実益の文字コード攻撃」と題して,文字コード問題の広範なプレゼンテーションを発表した 。そのプレゼンテーション資料が発表されている のでこの問題の詳細に関心のある方は参照されたい。ここでは,セキュアなWebアプリケーションを開発するために文字コードの問題をどのよう
ニッチー・ブラックモア
このブログについて - ニッチ過ぎて殆どの人にはどうでもいいけど、マッチした人にはすごく便利or共感される。そんな事ばかり書いてあります。
チャレンジSQL! - 交差点でコーヒーを
話題のSQLインジェクション文字列解読チャレンジしてみました。 はせがわさんとこにあった仮説をもとに。 最終的に 換字暗号 10文字で1ブロック 正負の両方にずれる(asciiコード的に) までしかわからず。解答はだとは思うけど、パターンにはまらない文字が2文字と正負の判定基準が謎。 追記: 上ののは、お昼休みに携帯から打った(大変だった)ので、帰ってきてからちゃんと書こうと思ったらヤマガタさんがかいてた。大胆にごそっと引用。 []暗号: <raqmtr$r{c<jwpt<+.z1/absnd*bfm.hs*nu:=&sbpjtp8[] ↓ |+++--+-+-|+--+--++-|-+-+--+++|++-+--+-+|++--++ ↓ |121442419|123442417|121442419|123442419|121446 ※差 []予想: <script src=http://
書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 - 徳丸浩の日記(2008-10-29)
id:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。 本書は、ウノウ株式会社の下岡秀幸氏、中村悟氏の共著なので、現役バリバリのPHP開発者が執筆しているということ、下記のようにセキュリティのことも少しは記述されているらしいという期待から購入したものだ。 目次から抜粋引用 07-07 Webアプリケーションのセキュリティ [セキュリティ] 08-04 データベースのセキュリティ [SQLインジェクション] 09-13 セキュリティ対策 [セキュリティ] 本書をざっと眺めた印象は、「ゆるいなぁ」というものであるが、その「ゆるさ」のゆえんはおいおい報告するとして、その経過で致命的な脆弱性を発見したので報告する。 問題の報告 それは、本書P280に登場する「SQLインジェクション対策用の関数(dbescape)」
カミンスキー氏、DNS脆弱性について詳細を公開--Black Hatカンファレンスで
UPDATE セキュリティ研究者のDan Kaminsky氏が、Domain Name System(DNS)の根本的な脆弱性とその深刻さの度合いについて詳細を明らかにした。 Kaminsky氏は、ラスベガスで開催されたセキュリティ会議「Black Hat」において米国時間8月6日に行ったプレゼンテーションで、どうすればこの脆弱性を利用してDNSキャッシュポイズニング攻撃を実行できるかを詳しく説明した。 Kaminsky氏は、「悪意あるユーザー」が自分のIPアドレスの数字をドメインに割り当てるのを防ぐはずのトランザクションIDは、セキュリティ対策としては役に立たないと説明した。攻撃者は、「1.foo.com」「2.foo.com」などと、一部を少し変えただけの大量のドメインの要求をDNSサーバに送ることができる。トランザクションIDは必ず0から65535までのどれか1つの数字なので、攻撃者
「MD5 の安全性の限界に関する調査研究」に関する報告書 | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2008年7月時点のものです。 1991 年に開発され、現在でも広く用いられているMD5 (Message Digest 5)と呼ばれるハッシュ関数が、解析技術の進歩により安全性の低下が指摘されていることから、MD5 を利用する上での限界を調査しました。特に、電子メールシステムでのセキュリティ策として用いられているAPOP (Authenticated Post Office Protocol) において、パスワード解読の可否・強度を実証・確認するとともに、当面の対応策検討とその有効性の確認を行いました。 概要 本調査研究では、MD5 のハッシュ値から元の情報を特定する手法に関する再確認、並びに実環境での検証を行い、MD5 を利用する上での限界を明らかにしました。 調査研究の成果 APOP 方式を用いる電子メールシステムとAPOP の脆弱性を突く攻撃サーバーを構築し、実際と
「安全なウェブサイト運営入門」におけるOSコマンド・インジェクションの脆弱性:IPA 独立行政法人 情報処理推進機構
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。 ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一報 10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。 10:31 (mikapon) おはようございます 10:32 (mikapon) ethnaのサイトなんですが 10:32 (mikapon) mlの保存書庫の所にiframe埋め込まれてませんか? ちょうど出社中の時間で、この発言をリアルタイムでは見れなかったのですが、土曜日に tiarra を入れたおかげで、発言を見ることが出来ま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
3200万人の個人情報漏洩―RockYouのハッカー侵入への対応は最悪
陸自隊員14万人分の情報漏えい=ほぼ全員分、一尉を逮捕−警務隊(時事通信) - Yahoo!ニュース
行動ターゲティング広告はどこまで許されるのか?インターネット-最新ニュース:IT-PLUS
携帯ID開放の危うさ・事件が起きる前に対策を インターネット-最新ニュース:IT-PLUS