Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
Enterprise x HTML5 Web Application Conference 2014の発表資料です。Read less
私が制御システムに根こそぎ侵入した方法 2014年01月20日15:15 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 昨年も紹介したS4という制御システムに関するカンファレンスで、今年はICS Villageという新しい企画(公式サイト)がありました。制御システム用の機器を用意し、みんなで攻撃してみるというイベントです。 会場では、4つのセグメント(コーポレートゾーン、DMZ、制御センターゾーン、フィールドゾーン)からなるネットワークが構築され、参加者は無線を使ってコーポレートゾーンに接続できるようになっていました。 攻撃の最終目的はフィールドゾーンにアクセスし、フィールド機器(多くはPLCと呼ばれる機器)の制御を乗っ取ることですが、各セグメントの間にはファイアウォールがありますので簡単にはフィールドゾーンにたどり着くことすらできません。運営側に確認し
ここ最近デジカメのExif(イグジフと読むらしい)情報について いくつか人とお話する機会がありました。 「ブログ書いてると、詳しい人が調べたら自宅とかわかっちゃうんですよね?」と言われましたが、それより前に一番気をつけたいのがデジカメの写真の取扱い方です。 友人と話してたらExif情報について知らない人もわりといたので、なるべくわかりやすくまとめます。初心者向けです。ネット猛者のみなさんにはあまりにも常識過ぎるのでスルーして下さい。 デジカメにはExif情報というデータが含まれています。 いつ・どんなカメラで・どんな設定で写真を撮ったか。の情報が入ってるものです。 一番問題なのはGPS情報です。 これがうっかりついたままアップしてしまうと、自宅の情報を公開したりしてしまいます。 デジカメにもGPSの機能がついているものもありますが、一番GPS情報がつきやすいのはスマホです。 ■カメラの設定
さくらのVPSにアタックしてくる人たちを、ハニーポットなど使いながらその行動を観察した記録です。観察日記。 今回のネタは以下2つです。 *SSH honeypot(Kippo)を使った悪い人の行動観察、アンケート */cgi-bin/php (Apache Magica攻撃)の観察 なおこのスライドは、2013年12月7日のSecurity Casual Talks(すみだセキュリティ勉強会)での発表資料です。 http://ozuma.sakura.ne.jp/sumida/ またスライド中、動画は以下のURLで閲覧できます http://youtu.be/gp3SBjZNWHURead less
連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回から、HTML5やJavaScriptに関連したセキュリティの話題について連載することになりました。よろしくお願いします。 もう読みましたか? HTML5のWebアプリセキュリティに関する報告書 皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター(以下、JPCERT/CC)から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。 この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして
更新し忘れたが、既に下記の脆弱性は修正されている 4/11/2013 6:42 PM 追記: 明日エンジニアと調査するとカスタマーサポートから連絡があり、また近日アップデートパッチを用意するとのことだ。 先日紹介した、Satechi Smart Travel Routerだが、ふと直感的にセキュリティに問題があるような予感がしたので、自分のルーターをアタックしてみた。 結果から言うとCSRFが存在し、外部からインターネット越しに細工をしてあるURLを踏ませることで、ルーターのパスワード、SSIDを書き換えたり、WiFi to WiFiのリピータ機能のソースとなるWiFiを勝手に別の場所に書き換えて、Man in the middle攻撃を成立させたりできることが発覚した。 自分がどのようにSatechi Smart Travel Routerの脆弱性を発見したのかを動画にとったので、無編集
OWASP Japan、Webアプリの一般的なセキュリティ要件をまとめた文書公開:開発者にも、そして発注者にも安全なWebアプリの要件定義を OWASP Japanは2013年11月1日、Webシステム/Webアプリの開発において一般的に盛り込むべきと考えられるセキュリティ要件をまとめた「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。 OWASP Japanは2013年11月1日、「Webシステム/Webアプリケーションセキュリティ要件書」を公開した。安全なWebアプリケーションを実現するため、開発を依頼する発注者側と、実際に開発を担う受注者側の双方が留意すべき要件についてまとめている。 The Open Web Application Security Project(OWASP)は、Webアプリケーションのセキュリティ改善に向けた啓発、研究活動を行う非営利団体だ
HTML5 は、WHATWG および W3C が HTML4 に代わる次世代の HTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来の HTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
昨日は疲れました。死んだといっても過言では無い。このサーバもほとんど落ちた。1日のアクセス数60000人。ただしアドセンスはたいしたことない。だってみんな必死で検索してるんだもの・・・。 ここいうツイートで癒やされました・・・涙 ロリポップと契約していた顧客がロリポップのサーバ改ざん発表のあとで直撃弾くらいました。ショップでなくてブログだったので引っ越しを先に考えていたのが甘かったです。それもパスワードを複雑にして2段階認証を設定して、wp-config.phpも推奨通り404にしていてやられました。のちにロリポップ側で400に強制変更したようだが、404だってそうそう入れるものじゃ無い。侵入されたサイトのバックアップを直前に取ってあったので、時限爆弾の可能性もあるなとエンジニアが半日かけて精査したけどないようでした。ログイン画面からプルートフォースアタックで入って来たわけではないのは確か
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
毎日新聞のWEBサーバーはApache2.2.3とPHP5.1.6 まずFirefoxにLive HTTP Headersのアドオンを入れた状態で、毎日新聞のサイトを開いて、右クリックで「ページの情報を表示」→「ヘッダ」を選ぶとレスポンスヘッダが見られるのですが、ここに「X-Powerd-By PHP5.1.6」と書かれてあるのが確認できるかと思います。PHPのバージョンが露出している状態です。 ServerヘッダでApacheのバージョンも露出していることがわかります。Apache2.2.3と比較的古めのバージョンを使っていることがわかります。Apache2.2.3やPHP5.1.6のバージョンに関しては既に報告されている脆弱性がいくつもあって、パッチを適用していないならば、Apache Killerなどの攻撃スクリプトが叩きこめてしまう可能性があることがわかってしまいます。 これは不
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
,、,, ,、,, ,, ,, _,,;' '" '' ゛''" ゛' ';;,, (rヽ,;''"""''゛゛゛'';, ノr) ,;'゛ i _ 、_ iヽ゛';, ,;'" ''| ヽ・〉 〈・ノ |゙゛ `';, ,;'' "| ▼ |゙゛ `';, ,;'' ヽ_人_ / ,;'_ /シ、 ヽ⌒⌒ / リ \ | "r,, `"'''゙´ ,,ミ゛ | | リ、 ,リ | | i ゛r、ノ,,r" i _| | `ー――----┴ ⌒´ ) (ヽ ______ ,, _´) (_⌒ ______ ,, ィ 丁 | | | 前回のエントリ で軽く触れましたが、ARPスプーフィングを用いると、サブネット内からデフォルトゲートウェイを通って外に出て行くはずのパケットを、自分のホ
もし、ジェームズ・ボンドがコンピューターにログオンしたとしたら、ファイル、Cookie、IPアドレスなど、コンピューターを使った痕跡は何一つ残さないはずです。極端に聞こえるかもしれませんが、これくらい慎重になったほうがいい場合もあるでしょう。 この記事では、DVDやUSBを使って、一切の痕跡を残さずコンピューターを使う方法をご紹介します。 「痕跡を残さない」とは文字通りまったく何も残さないという意味です。LinuxベースのLive OS『Tails』を使えば、どんなコンピューターも痕跡を残さず利用できます。Tailsは強固なセキュリティ機能を備えたポータブルOSで、DVDやUSBにインストールが可能。インストール手順は後ほどご説明しますが、まずはTailsの概要をざっと見ていきましょう。 Tailsの概要 Tailsを使うのはとても簡単です。起動ディスクを作成するだけで、完全に匿名かつ一切
■2012/11/11追記 iOS 6より[[UIDevice currentDevice] identifierForVendor]というAPIがAppleより提供され、よりプライバシーに配慮した上により安全な方法で自分の開発したアプリケーションを利用するユーザーを個別に認証することが可能になりました。それに伴い拙作のライブラリもidentifierForVendorが利用可能であればこちらを利用するように修正いたしました。今後はこのidentifierForVendor(または広告APIなどを作る場合であれば[[UIDevice sharedManager] advertisingIdentifier])が個体認識の主流になっていくと思われます。identifierForVendorとadvertisingIdentifierの仕様まとめは http://stackoverflow.c
Nexus 7 を買った。 技術者としてまずやるべきことを書いておく。 セキュリティの確保 Android タブレットは Linux カーネルを採用している。 Nexus 7 でも Linux カーネルに標準搭載されている dm-crypt を利用してタブレットに保存されたすべてのデータを暗号化することが可能だ。技術者たるもの手持ちのタブレットから情報が漏洩してソーシャルネットワークをハックされたり、ましてや自分の管轄するサーバーがクラックされるようなことがあってはならない。もちろん暗号化したから絶対に安全というわけではないのだが、タブレットが盗難にあった場合でも暗号を解除される前にセキュリティを変更して対処することが可能である。 現在はカジュアルに軍事利用可能なレベルの暗号を利用でき FBI も犯罪捜査の暗号解除に失敗するような時代である。技術者なら手持ちのすべてのデータは可能な限り最高
5. RFC RFC 4250 The Secure Shell (SSH) Protocol Assigned Numbers RFC 4251 The Secure Shell (SSH) Protocol Architecture RFC 4252 The Secure Shell (SSH) Authentication Protocol RFC 4253 The Secure Shell (SSH) Transport Layer Protocol RFC 4254 The Secure Shell (SSH) Connection Protocol RFC 4255 Using DNS to Securely Publish Secure Shell (SSH) Key Fingerprints RFC 4256 Generic Message Exchange Authent
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く