DNS Rebinding | 鳩丸ぐろっさり (用語集)
用語「DNS Rebinding」についてDNS Rebinding (でぃーえぬえす りばいんでぃんぐ)話題 : セキュリティ DNS の情報を再読込させることで「同ドメインだが IP アドレスが違う」という状況を作り出し、same originポリシーを破ろうとする攻撃手法。攻撃者は有効なドメイン名をもち、その DNS サーバを管理している必要があります。 たとえば、攻撃者が bakera.jp ドメインを管理していて、218.219.246.132 という IP アドレスを持っていたとします。そして、以下のようにしておきます。 攻撃者は、自身の管理するDNSに、bakera.jp → 218.219.246.132 という情報を登録しておく。このとき、TTLの値を非常に短いものにしておき、情報がキャッシュされないようにしておく。攻撃者は、スクリプトを含む罠のWebページを http:
CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
サンシャイン牧場 アイテム課金 | 水無月ばけらのえび日記
更新: 2009年11月23日20時0分頃 サンシャイン牧場ですが、アイテム課金が始まったようですね。いろいろ騒がれてもいますが、個人的には、当初からこうなるだろうとは思っていたので、課金が始まったこと自体には驚いていません。 しかし、実は大変なことになっています。詳しくは書けませんが、現時点では、サンシャイン牧場でカード情報を登録することは避けるべきです。おそらく近いうちに動きがあると思いますので、もう少し待ちましょう。 ※追記: とりあえず、カード番号は漏れていないようです。 ※2009-10-23追記: 諸々お察しください。とりあえず購入の機能は停止したようで、「メンテナンス中です」と表示されるようになりましたが……。 ※2009-10-23さらに追記: 問題の部分も停止したようです。ひとまず危険はなくなりました。ただ、この停止が一時的な物なのかどうか、修正されるのかどうかといった情
予告.inがXSSでやられた | 水無月ばけらのえび日記
ヤラレチャッタ。 予告.inが不正コード被害、閲覧で2ちゃんねるに犯行予告投稿 (internet.watch.impress.co.jp)「予告.in」に不正コード埋め込み 閲覧すると2chに犯行予告投稿 (www.itmedia.co.jp)予告inにおけるXSS脆弱性、及び被害の概要について (yokoku.in)XSSで実害が出て報道されるのは珍しいですね。a threadless kite - 糸の切れた凧(2008-08-03) (yamagata.int21h.jp)によると、通報対象の URL として以下のようなものを入力されたようです。 そして上記のURLがa要素のhref属性にそのまま出力されてしまったと。 ※ちなみに予告.inでは、属性値がいっさい引用符で括られていないようです。嫌な予感がしますが……。そもそも脆弱うんぬん以前にinvalidですし、なんかHTMLが全
CSRF と Cookie 漏洩は関係ない | 水無月ばけらのえび日記
そしてcookieを奪うのがどれほど簡単かというのは、CSRFの事例が後をたたないことからも伺い知ることができる。 うーむ、CSRFの理解って結構浸透してきたと思っていたのですが、そうでもないようで……。 CSRF は Cookie を奪取してセッションハイジャックするような攻撃ではなく、攻撃者は Cookie の値を知る必要がありません。また、CSRF 攻撃によって攻撃者が Cookie を奪取することもできません。もちろん、別途 XSS があったりすれば Cookie を奪取できる余地がありますが、それは XSS による漏洩ということになるでしょう。 それから、User-Agent の一致チェックは対策としては不十分です。というのも、CSRF では原理上 User-Agent が一致するに決まっていますし、Cookie 奪取を想定するなら、攻撃者が User-Agent を一致させるこ
情報処理試験でNUL文字攻撃の問題など | 水無月ばけらのえび日記
更新: 2006年4月20日 スラッシュドットに「情報処理試験(2006年春)はどうでしたか (slashdot.jp)」というトピックができていますね。今回、「テクニカルエンジニア(情報セキュリティ)」という試験区分が新たに追加されたとのこと。 「情報処理技術者試験センター:問題冊子・配点割合・解答例 (www.jitec.jp)」として問題が公開されているので見てみましたが、ディレクトリトラバーサルやSQLインジェクションの攻撃手法を答えさせるものがあったりして、なかなか興味深いです。 個人的に印象深かったのは、拡張子指定を迂回する話ですね。Perl スクリプトで、外部から与えられた $fname という名前に対して '.cep' という文字列を連結してから open に渡しています。$fname は何もサニタイズされていませんが、プログラム内で '.cep' という固定の文字列が連結
最近一週間ほどのえび日記 | 水無月ばけらのえび日記
字幕職人の朝は早い……公開: 2019年7月11日21時0分頃 2019年7月20日、JACことJapan Accessibility Conference - digital information vol.2 (japan-a11y-conf.com) が開催されました。私は実行委員、スタッフ、スポンサー担当、司会、登壇といった役割で関わりました。 なお、各セッションの内容については、セッション一覧 (japan-a11y-conf.com)をご覧ください。 個人的に最も印象に残ったのは、セッションB-5の "Ask Us Anything" の一幕。とある動画サービスで、「補聴器ユーザーの葛藤と苦悩」という番組があったのですが、なんと、そういうテーマであるにもかかわらず字幕がついておらず、補聴器ユーザーが視聴できなかったのだそうです……。 さて、そんなJACですが、一部を除いてセッシ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHPでは"0x0A"=="10"がtrue | 水無月ばけらのえび日記
DateTime::Durationでハマる | 水無月ばけらのえび日記