DeNA_Techcon2017_DeNAでのチート・脆弱性診断への取り組みDeNA Techcon(https://techcon.dena.com/)での発表資料です。 イラスト素材はここ(http://www.illusts.xyz/)においてあります。Read less
メモリリーク、デッドロック、リダイレクトループ、JVMクラッシュ...バグだらけのWebアプリケーションを使ってバグを理解する - Qiita
メモリリーク、デッドロック、リダイレクトループ、JVMクラッシュ...バグだらけのWebアプリケーションを使ってバグを理解するJavaバグ脆弱性トラブルシューティングjconsole 概要 Webアプリケーションの開発や保守をしていると、いろいろなバグに遭遇します。メモリリーク、デッドロック、リダイレクトループ、JVMクラッシュ等々、バグは様々です。こういったバグは、実際にコードを書いて、実行・再現させてツールで解析してみると理解が深まります。 ということで、いろいろなバグを実装したWebアプリケーションをつくってみました。現時点では、以下を簡単に再現できます。 メモリリーク (Javaヒープ領域) メモリリーク (Permanent領域) メモリリーク (Cヒープ領域) デッドロック (Java) デッドロック (SQL) 完了しないプロセスの待機 無限ループ リダイレクトループ JVM
正規表現でのメールアドレスチェックは見直すべき – ReDoS
(Last Updated On: 2018年8月13日)前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問題を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS(十分短い文字列で指数関数的に実行時間が増加する)が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。(特にRubyユーザー) 追記:影響範囲はメールアドレスチェックに限らないので、正規表現チェックは全体的に見直さないと、どこが脆弱なのか判りません。見直してチェックしたとしても、それが完全であったと保証することは困難です。ネット検索して直ぐに見つかった検索パターンは非常に脆弱であったこと、メールアドレスのマッチパターンは脆弱になりやすい繰り返しの繰り返しが含まれること、これらがあったのでタイト
XSS Attack Tips / 今日から始めるXSS - http80
日々の健全なXSSにお役立てください。 ●極力短いコードでXSS 本題に入る前に軽く整理します。オーソドックスなXSSであれば、おなじみの次のようなコードになるでしょう。 "><script>alert(document.cookie)</script> *1 しかしながら、Reflectedするのにもかかわらず、場合によっては文字数制限という問題にぶち当たることもあるかと思われます。その場合、より短いコードでXSSを成功させる必要性があります。どこにReflectedされるかによって書き方は変わりますが、大まかには下記のどれかになるでしょう。 ◆HTML Body(HTML構文内) BAD: <input type="text" value="<?php echo $GET['name']; ?>"> PoC: "><script>alert(1)</script> (28文字) PoC
企業がセキュリティ対策を2017年に“転換”すべき理由
バランスを欠く後付けのセキュリティ対策をいつまで続けるのか――。米Gartner リサーチ部門でリサーチディレクターを務めるジェフェリー・ウィートマン氏は、企業のセキュリティ対策の現状についてこう指摘する。ガートナー ジャパン主催の「Gartner Symposium/ITxpo 2016」では、ウィートマン氏が2017年に向けたセキュリティ対策の転換を企業に呼び掛けた。 このカンファレンスでは「企業ビジネスのデジタル化」が大きなテーマに掲げられ、ウィートマン氏は同テーマの実現において企業に求められるセキュリティへの取り組み方を紹介した。ウィートマン氏は、「コンプライアンスやガバナンスなどのリスクと、信頼性や可用性、スピードといったレジリエンスのバランスを徹底して追求しなければならない」と述べた。 同氏によると、従来はこのバランスが十分に考慮されず、企業がビジネスを推進していく過程の後付け
XSSを防ぐ新しいXSS-Protectionヘッダ - ASnoKaze blog
evalとreportOnlyについて追記しました (2016/10/10) 2016/10/20 仕様名は以下の通りになりました。Anti-XSS Response-Time Uniqueness Requirement また、ヘッダ名は、XSS-Protectionヘッダではなく、ARTURヘッダとなっておりますが、また変更される可能性があります。 Googleの調査によると、CSPによるXSSの防止は現実的にデプロイの欠陥によりXSSの防止効果がないことを示しています。調査は「CSP Is Dead, Long Live CSP!」としてACMのカンファレンスで発表され、ペーパーも閲覧することができます。 9月に行われたW3C TPAC 2016のWebAppSecのミーティングで議論され、GoogleのMike West氏より新しくXSS Protectionという仕様が提案されて
URLを入力するだけ--ホームページを“もれなく”チェックできる診断サービス5選
通常の利用にはなんら問題がないように見えるホームページも、セキュリティの欠陥があったり、動作速度に問題を抱えていることは少なくない。このほかにも、検索エンジンに最適化されすぎていてユーザにとっては使いづらかったり、モバイルへの対応が不十分だったりすることもしばしばだ。ウェブ関連の技術やトレンドの進化によって、これまで問題がなかったサイトも、しばらく経って再度チェックしてみると問題が見つかるケースも多い。 こうした場合に便利なのが、URLを入力するだけでホームページにまつわるさまざまな診断をしてくれるサービスだ。特に最近ではスマホやタブレットといったデバイスやソーシャルメディアへの対応に加えて、セキュリティについてはHTTPSの標準化といった新しいトレンドもあり、こうした診断系サービスもそれらを反映した内容へとリニューアルしつつある。今回は新顔のサービスを中心に、自らが運営するホームページの
インフラセキュリティブートキャンプ #seccamp
3. 経歴 • 2003-09~2005-03 大学院ネットワーク管理 • 2004-03~2010-06 WIDE Project irc.fujisawa.wide.ad.jp運用 • 2004-09~2005-10 国際大学GLOCOM (研究アシスタント) • 2005-08~2008-09 AIP • 2008-10~2009-12 KBB, I&D • 2010-01~2013-06 Xtone • 2013-07~2016-01 CyberAgent (パシャオク⇒Ameba⇒DC運用) • 2016-02~現職 WHERE (測位技術スタートアップ) ⬅今ここ 学 生 社 会 人 1999-04 ↓ 2006-03 2006-03 ↓
SSLはなぜ「もう古い」なの?
答え:脆弱性が見つかったので使用禁止になったから Web通販サイトなどにアクセスするとWebブラウザーのアドレスバーに「錠マーク」が表示される。日経NETWORKの読者でも多くの人は、「SSL▼が使われているサイン▼だ」と理解しているはずだ。ところが実際は異なる。この場合のほとんどはSSLの後継のプロトコル「TLS▼」を使っている。なぜか? SSLが「使用禁止」になったためだ。安全な通信手段の代名詞は今後、TLSとなる。SSLとTLSの交代劇を説明する前に、まずはこれらの歴史を見ていこう。 SSLは単一の企業が開発 インターネットは安全性が保証されていないネットワークであるため、通信の盗聴やなりすまし、改ざんといった危険がある。TLSやその基になったSSLは、これらの危険から通信データを守るために用意されたプロトコルだ(図1-1)。盗聴に対しては、やり取りするデータを暗号化して防ぐ。通信相
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
「安く早く」が崩壊しかけてるかも:Geekなぺーじ
日本国内でトップレベルのセキュリティ専門家である徳丸浩さんが、Twitterで「何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」と発言したことが話題になっています。 [Security] Webとセキュリティとソフトウェア工学 それぞれの方々のご意見を拝見した限り、「自前でWordPres立ててはいけない」という表現に対して「ダメって言うな!」や「じゃあ、どこで経験つめばいいの?」といった論点での反論は多い一方で、「インターネットは超荒波だから気をつけようね」という点に関しては見解が一致してそうだと思います。今のインターネットの荒波がどれぐらいかというと、最後は主人公たちが乗っていた漁船が荒波に飲まれて全員死亡というパーフェクトストームという映画ぐらいのレベルだという感想を個人的に持っています。 いまのインターネットは、安さと早さを追
Web Storage: セッショントークンのマシな手段 ― cookieとセキュリティ面を比較してみる | POSTD
最近、私は「セッショントークンを、cookieの代わりに Web Storage (sessionStorage/localStorage)に保存するのは安全ですか?」ということを尋ねられました。このことについてGoogleで検索したところ、検索結果の上位のほとんどが「Web storageはcookieに比べてかなりセキュリティが弱く、セッショントークンには不向きである」と断言していました。透明性のため、私はこの逆の結論に至った理論的根拠を公に書くことにしました。 Web Storageに関する議論の中核として言われるのは、「Web StorageはsecureフラグやHttpOnlyフラグといったcookie特有の機能をサポートしていないため、攻撃者が容易に盗み取ることが可能」というものです。path属性についても言及されます。私は、これらの機能それぞれについて調べてみました。そして、
「IoT開発におけるセキュリティ設計の手引き」を公開 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
公開日:2016年5月12日 最終更新日:2024年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
高木浩光@自宅の日記 - 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険
■ 「食べログ」アプリの「ブックマーク」デフォルト公開で利用者の意図に反して特定個人識別される危険 「食べログ」は著名なサービスであるが、その利用者の多くは店を探す目的のみに使い、レビュー(「口コミ投稿」)を書く気は全くないという人がかなりの割合で存在すると推察される。私もその一人で、出先でGPSを使って近くの店を探すため、もっぱらスマホアプリ版の「食べログ」を使ってきた。 一昨年の2月まで、オレンジ色のアイコンだった旧版の「食べログ」アプリは、「ブックマーク」機能があり、これは、スマホにローカルに記憶しておくものであったため、ログインが不要であり、私も、ログインせずに、このローカルブックマーク機能を活用していた。このような利用者は、完全に匿名であり、閲覧するだけの利用であって、一切の情報の公開に関与していないという意識で「食べログ」を使っていただろう。 これが、一昨年、白アイコンの新版「
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
経営者に向けた300ページのサイバーセキュリティ指南書、パロアルトが無償配布 
IPA、無償の脆弱性体験学習ツール「AppGoat」の最新版v3.0を公開
なりすましメール対策にドメイン認証技術「DMARC」導入を、日本では85%が未導入 ウイルス添付の迷惑メールを防ぐ工夫をIIJが解説
TLS徹底演習
通信の安全を守るためにエンジニアができること
