PHPで2要素認証を超簡単に実装する方法 | 株式会社サイバーブレーン | 東京都豊島区のホームページ・WEB制作会社
近年、Google アカウントやApple IDを使用して各サービスにログインする際、2要素認証(2ファクタ認証など)という文字列を目にする機会が増えていませんでしょうか。既に利用されている方も多いと思いますが、各サービスにログインする際、IDとパスワードに加えて登録電話番号宛に音声やショートメッセージに謎の番号が届き、その番号を入力してログインに成功するというあれです。 セキュリティへの意識が高まる近年、大手サービスのみならず自社システムへのログインにも2要素認証を導入したいというクライアントが増えてきました。リアルなシステムに2要素認証を組み込むにはそれなりの工数がかかりますが、今回は2要素認証をPHPで実装する際の基本的な方法を超簡単にご説明したいと思います。 2要素認証とは 通常のIDとパスワードの認証は、入力されたそれがサーバ側に保存されているものと同じかどうかを単純に比較(1要
2 段階認証は本当に安全なのか調べてみた | はったりエンジニアの備忘録
このブログを読んでいる人なら Google や AWS の 2 段階認証(マルチファクタ認証)を有効にしていると思います。もしパスワードが漏れてしまってもワンタイムパスワードを入力しないと認証されないので安心です。 有名どころのサービスでは使えるところが増えてきましたが、2 段階認証を有効にしていれば万全なのでしょうか。エンジニアである以上、その仕組みを理解したうえで自信を持って安全と言いたいところ。 というわけで、2 段階認証は本当に安全なのか仕様を紐解きながら調べてみました。 ワンタイムパスワードの仕様 ワンタイムパスワードを生成する仕様は HOTP と TOTP の 2 つがあり、RFC の仕様になっています(TOTP はドラフト段階)。 HOTP (HMAC-Based One-Time Password Algorithm) TOTP (Time-Based One-Time P
ubuntuをインストールする時の設定やセキュリティ各種|LABO IWASAKI
初めてクラウドサーバーやVPSなどに自分でサーバーを作る時、やっぱり設定が難しいし、セキュリティが心配です。 僕もかなり怖くてなかなか公開できなかった記憶が強く残っています。 今回は最低限、これだけやってりゃ大丈夫な設定を書いておきます。 そりゃ突っ込んだらもっと色々ありますが、この設定やってれば乗っ取られたりしないです。 僕もこの設定で数年数サイト運営しましたが大丈夫でした。 だからと言って「完璧」ではない事を了承しておいてください。あくまでも私見です。 あと、ここから先は自分で勉強した方が絶対自分の為です。僕もまた書くとおもいますが…。 サーバーにUbuntuが入ってる前提で、まっさらな状態を仮定して書いています。自サバではないのでご理解ください。 また、以下の設定で不利益を被っても当サイトは何も保証しませんし、責任もとりません。大丈夫だと思いますが、あくまで参考としておいてください。
hash_hmac()の使い方
(Last Updated On: 2018年8月13日)HMACの応用的な使い方をここ数本のブログで書いてきましたが、HMACの基本的な使い方を紹介していませんでした。リクエストパラメーターを安全に検証/バリデーションする方法を例に紹介します。unserialize()を安全に利用する利用例にもなります。 参考: HMACハッシュの使い方のまとめ HMACが考案された背景 HMACをAPIキーのバリデーションに使う方法を紹介する前に、何故HAMCが考案されたのか紹介します。 HMACはRFC 2104で標準化されています。HMACは基本的に暗号学的なハッシュ関数をより安全に利用するために考案されました。暗号学的なハッシュ関数といってもコンピュータの高速化やハッシュアルゴリズム自体の脆弱性の発見などにより、時間と共に危殆化します。 ハッシュ関数が「暗号学的なハッシュ関数」とされる条件を満た
memcached を悪用したDDoS攻撃についてまとめてみた - piyolog
2018年2月下旬にPort 11211に対するアクセス増加がみられるとしてJPCERT/CCが注意喚起を行いました。11211/udpポートはmemcachedでデフォルトで利用されているもので、JPCERT/CCは先の注意喚起で「memcached を踏み台として悪用したとみられる DDoS 攻撃の報告を受け取っています。」と攻撃への悪用についても報告しています。ここでは関連情報をまとめます。 タイムライン 日時 出来事 2018年2月21日頃 JPCERT/CCが11211/udpへのアクセス増加を確認。 同日頃から memcachedを用いたとみられるDoS攻撃が観測。 2018年2月28日 JPCERT/CCが11211/udpのアクセス制御に対する注意喚起を発表。 2018年3月1日 2時21分頃 Githubを対象にしたピーク時 1.35Tbps規模のDDoS攻撃が発生。(1
さくらVPSで利用していたmemcachedがリフレクションDDoS攻撃発信の踏み台として悪用された件 - Qiita
突如メールが・・・ セキュリティ案件 memcached のアクセス制御に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180009.html memcahcedの設定をデフォルトで使用していたため、リッスンするIPに制限がかかっておらず外部からアクセス可能になってたみたい。 なぜ外部からアクセス可能だとDDoS攻撃発信の踏み台になるかはこちらが詳しいです。(2018/03/02追記) 簡単にいうと下記。 UDP通信を使用している場合送信元偽装が簡単 送信元をDDoS攻撃したいIPに偽装して大量のデータをGETする操作を実施 偽装したIPに大量のトラフィックが集中する 参考(2018/03/02追記) memcached を悪用したDDoS攻撃についてまとめてみた http://d.hatena.ne.jp/Kango/20180301/151993
memcached のアクセス制御に関する注意喚起 | JPCERT-AT-2018-0009 | JPCERTコーディネーションセンター(JPCERT/CC)
JPCERT-AT-2018-0009 JPCERT/CC 2018-02-27(新規) 2018-02-28(更新) I. 概要JPCERT/CC では、2018年2月21日ごろから 11211/udp の通信ポートに対するアクセスが増加していることを、外部組織からの情報提供、およびインターネット定点観測システム (TSUBAME) の観測データから確認しています。TSUBAME にて観測されたスキャンは、当該通信ポートへのスキャンパケットから、memcachedに対して行われている可能性が考えられます。memcached の設定によっては、意図せずインターネットからアクセス可能な状態になっており、スキャンに応答している可能性があります。このような場合に攻撃の踏み台にされたり、memcached が保持する情報へアクセスされたりする可能性があります。JPCERT/CCでは、memcach
【図解】CPUの脆弱性[Spectre/Meltdown]と投機的実行の仕組み〜分岐予測とアウトオブオーダー実行〜
Spectre/MeltDown の概要と影響範囲2018/1/3 にCPUに関する脆弱性 Spectre (スペクター)/Meltdown (メルトダウン) が Google の "Project ZERO"によって公開され話題になっています。発見された脆弱性は 3 つ(Variant 1~3とラベルされています)で、うち2つが Spectre、1つが Meltdown に分類されます。 3 つとも CPU 性能向上のための「投機的実行 (Speculative Execution)」というコンセプトを実装した仕組み (Branch Prediction/Out of Order Execution) が原因だと判明しています。長い時間、予測を誤るように投機実行をさせ、その間にミスリードし、保護されたメモリ領域の読込や意図せぬプログラムの実行をさせるものです。 いずれの脆弱性もサイドチャ
![【図解】CPUの脆弱性[Spectre/Meltdown]と投機的実行の仕組み〜分岐予測とアウトオブオーダー実行〜](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d304b3c0d7227567b9aaf4d57b2fdca1cb4ad44/height=288;version=1;width=512/https%3A%2F%2Fmilestone-of-se.nesuke.com%2Fwp-content%2Fuploads%2F2018%2F01%2Fprogram-mem-01.png)
3大クラウドのCPU脆弱性(Meltdown/Spectre)対応状況メモ - Qiita
1/11 Amazon Web Services ブログに下記の日本語訳版が投稿されました。 プロセッサの投機的実行に関する公開調査について https://aws.amazon.com/jp/blogs/news/processor_speculative_execution_research_disclosure/ Processor Speculative Execution Research Disclosure https://aws.amazon.com/jp/security/security-bulletins/AWS-2018-013/ すでに脆弱性から保護された状態にある。 圧倒的多数のEC2で有意義なパフォーマンスへの影響も見られなかったとしている。 ただし、保護強化のため仮想マシンOSレベルでも顧客自身でパッチを適用することを推奨している。 Amazon Linux
PHPプログラマのためのXXE入門
この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XXE) A8 安全でないデシリアライゼーション これらのうち、「A8 安全でないデシリアライゼーション」については、過去に「安全でないデシリアライゼーション(Insecure Deserialization)入門」という記事を書いていますので、そちらを参照ください。 本稿では、XML外部実体参照(以下、XXEと表記)について説明します。 XXEとは XXEは、XMLデータを外部から受け取り解析する際に生じる脆
メールの送信元を完璧になりすます「Mailsploit」は何が危険か | 匿名ブログ
Mozillaの「Thunderbird」や、macOSおよびiOSに標準搭載の「Apple Mail.app」など、多数のメールクライアントにおいて、受信されたメールの送信元を詐称することが可能な脆弱性「Mailsploit」が5日、公開されました。日本語の情報がまだ出回っていないため、自分用のメモも兼ねてまとめました。 — 今回発覚したこの脆弱性の影響を受けるメールクライアントは非常に多く、先述の「Thunderbird」「Apple Mail.app」だけでなく、Microsoftの「メール」アプリ、「Outlook 2016」、Webメールでは「Yahoo!メール(英語版)」など、世界中でリリースされているほぼ全てのメールクライアントが該当しています。 Mailsploitのサイトでは、実際にそのデモを試すことができます。 Mailsploitのデモ 送信先の欄に自分のメールアドレ
iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開される。
iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開されています。詳細は以下から。 iOSを利用しているとiTunes Storeやアプリ内課金などを行うプロセスでApple IDのパスワード入力を求められると思いますが、悪意のある攻撃者がこのポップアップを偽装し簡単にApple IDのパスワードをユーザーから盗み出すコンセプト(以下、PoC:Proof of Concept)をGoogleのエンジニアFelix Krauseさんが公開し、話題になっています。 📝 One of these is Apple asking you for your password and the other one is a phishing popup that steals your password https://t.co/PdOJcthqL7 pic.twitt
マンションのLAN内のゲートウェイが中間者攻撃してくるお話 - Qiita
来歴 私は去年、とある賃貸マンションへ入居した。 インターネットは無料で利用可能、壁の端子にLANケーブルを挿すだけ。 ただ、この物件のインターネット回線がおかしい。1日に1回くらい、Webサイトを閲覧しようとしたときに、マンションの管理会社のホームページへリダイレクトされる現象が起きる。 イメージとしてはこんな感じ。 東京の天気が表示されるべきなのに、入居者用Webページのログイン画面へリダイレクトされる。 腹が立ったので今年の5月くらいに現象を調べ、原因がわかったことで満足していたが、重い腰を上げて結果を以下の記事にして公開する。改めてGoogle先生に聞いたら、同じことで悩んでいる人がいた。 自動リダイレクトの回避方法について。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10165027165 なお、後述の図には
Webエンジニアだったら当然知っておきたい「 クリックジャッキング対策 」とは? | 株式会社ヌーラボ(Nulab inc.)
こんにちは。Typetalkチームの永江です。今回は4月にリリースした、BacklogとTypetalkの連携機能である「Backlogカード」の実装の際に行った クリックジャッキング対策 について説明します。 Backlogカードとは Backlogカードは、Typetalkのトピック内にBacklogの課題やコメントをカード形式にして表示する機能です。Backlogの課題キーや課題のURLを貼り付けるだけで、以下の画像のように表示できます(※詳しいご利用方法についてはこちらの「Typetalkのトピック上で課題の詳細を見られる Backlogカード をリリースしました!」をご参照ください)。 Backlogカードの実装は、TypetalkからBacklogに用意した埋め込み用の課題ページを<iframe>で表示するというものです。このような実装にしたのは、もともとBacklogに<if
弊社役員のGyazoアカウントおよびTwitterアカウントへの不正アクセスに関するお詫びとご報告 - Gyazo Blog
平素よりGyazoならびにScrapboxをご利用いただきありがとうございます。この度、弊社CTO増井俊之(以下当人)のTwitterアカウントとGyazoアカウントが不正利用されているとのご指摘をユーザーのみなさまよりいただき、事実関係を調査いたしましたところ、不正利用の事実が判明いたしました。 アクセスログ等の確認ならびに当人への聞き取り調査により、当人がGyazoアカウントに他のWebサービスと同じパスワードを設定しており、このパスワードが漏れたために第三者に不正利用されたものと確認しております(いわゆるパスワードの使い回し)。また、当人がGyazoアカウントにTwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており、その画像を元にTwitterアカウントも不正利用されたことが、アクセスログ等の確認ならびに当人への聞き取り調査により判明しました。現在、当人にパ
PHP本体でタイミング攻撃を防御できるようになります
(Last Updated On: 2021年3月25日) PHP 5.6からタイミング攻撃に対する対策が導入されます。メジャーなアプリケーションはタイミング攻撃対策が導入されていますが、PHP 5.6から簡単に対策できるようになります。 タイミングセーフな文字列比較関数はhash_equalsとして実装されました。 http://php.net/manual/es/function.hash-equals.php タイミング攻撃とは タイミング攻撃とは、コンピュータが動作する時間の違いを測って攻撃する、サイドチャネル攻撃(副作用攻撃)と呼ばれる攻撃手法の1つです。HTTPSの圧縮の副作用を利用したサイドチャネル攻撃が有名です。 コンピュータの動作時間、温度、音、電子ノイズ、電力使用量など、アルゴリズム自体の脆弱性を攻撃するのではなく副産物を利用する攻撃方法でサイドチャネル攻撃の一種です。
WordPress 4.7.1 の権限昇格脆弱性について検証した
エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。 本稿では、脆弱性混入の原因について報告する。 はじめに WordPress本体に久しぶりに重大な脆弱性が見つかったと発表されました。 こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正 安全確保のため情報公開を先送り Make WordPress Core Conten
Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査)
a.md Chrome ExtensionのLive HTTP Headersを調査した。Firefox用のものではない。Firefox用のものではない。 https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo 11/7追記 類似 or 同様の方法で難読化scriptを埋め込んでいる拡張機能が大量にあったため、Googleに報告済み。 https://twitter.com/bulkneets/status/795260268221636608 English version: https://translate.google.com/translate?sl=ja&tl=en&js=y&prev=_t&hl=ja&ie=UTF-8&u=https%3A%2F%
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
CakePHPのSecurityComponentの脆弱性で任意のPHPコードが実行できる仕組み - disり用。
もはや懐かしい感じのあるCakePHPのセキュリティトークンから任意のPHPを実行できる脆弱性ですが、なぜこれで任意のPHPコードが実行可能になってしまうのか心配で夜も眠れない方の為に、実行される仕組みを解説してみようと思います。詳細とアドバイザリ、PoCは以下のものを参照しています。 http://co3k.org/diary/12 http://malloc.im/CakePHP-unserialize.txt http://malloc.im/burnedcake.py CakePHPのSecurityComponentが提供するCSRF対策のトークンは単一の識別子ではなく、':' でトークンと$lockedという謎の値が繋がれたものになっています。$lockedには配列をシリアライズしたものをROT13で変換したものが入っています。この$lockedに任意の値を入れることで任意のP
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
