“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
携帯Webのクッキー利用について調べてみたメモ【update】
携帯でクッキーがどれぐらい使えるか調べたメモ。 ■3キャリア+スマートホン(PC)対応クッキー記述 クッキーのドメイン、パス指定に何も記述しなければ完全一致として扱われるのでこれであればそのままクッキーの読み書きは可能です。 しかし一定規模のシステムであれば、クッキーのスコープを広く取りたいケースの方が多いと思います。 サブドメイン、複数のAレコードによるWebサーバが存在する場合に、3キャリア共通に使えるようにするクッキーのドメイン指定は、「.」から始まるドメインを指定することで可能です。 例: Set-Cookie: testcookie=thankyoumovatwi; path=/; domain=.movatwi.jp この辺、ハマリ所なのでウノウラボの記事もご参考ください。(なんとドメインが.jpと.inで挙動が違うらしいという、、) 携帯とCookieドメイン ■携帯電話でク
ダウンロードしたファイルに本当にウイルスが含まれているのどうかを判断する方法 | ライフハッカー・ジャパン
アンチウイルスやアンチマルウェアアプリは、パソコンにとって不可欠な存在ですが、使い方が誰にとっても簡単なわけでは、決してありません(例えば、McAfee)。 これらのアプリが出してくる警告が毎回正しいわけではなく、多くの場合、危険のないところから危険を検知してきてしまいます。ウイルスが含まれているかどうかが分からない場合、どうやって確認するべきかを今回は取り上げて行きたいと思います。 読者の方から、ライフハッカーの記事に載っていたリンク経由でダウンロードしたものにウイルスが含まれていた、というメールを頻繁に頂きますが、米編集部ではダウンロードがクリーンであることは確認しているので、心配ないです、と返信しています(この分野に関してライフハッカーは今までほぼ無傷でやってきています。)では、ダウンロードしてきたファイルに本当にウイルスが含まれているかどうかはどのようにして判断するべきなのでしょう
DNS Rebinding ~今日の用語特別版~
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 楽天テクノロジーカンファレンス2007にて、カーネギーメロン大学日本校の武田圭史先生の講演を聴講して、DNS Rebindingの説明がとても分かりやすかったので、ここに再現を試みる(文責は徳丸にある)。 DNS Rebindingとは DNS Rebindingは、DNSの返すIPアドレスを巧妙に変化させることにより、JavaScriptやJavaアプレットなどのsame origin policyを破り、インターネットからローカルネットワーク(通常外部からはアクセスできない)などに対してアクセスする手法
意図せぬレスポンスボディを含むリダイレクト応答 | 水無月ばけらのえび日記
更新: 2024年3月4日21時6分頃 「ダチョウ式リダイレクトと名付けてみる修行 (d.hatena.ne.jp)」。 ここで言っている「ダチョウ式リダイレクト」とは、リダイレクト応答のレスポンスボディに意図せぬものが出力されている状態を指します。「頭隠して尻隠さず」という言葉がありますが、英語では "To bury one's head ostrich-like in the sand." と言うそうで、ostrich はダチョウですね。 ステータスコードが 301 や 302 などになっていて、Location: フィールドが出力されていれば、レスポンスボディが何であれリダイレクトは行われます。この場合、多くのブラウザではレスポンスボディは見えませんが、パケットを見ればレスポンスボディは丸見えという状態です。普通にブラウザで見ていても分からないので、テストでも発見しにくい厄介な不具合
安全なシグナルハンドラを実装するには ――C/C++セキュアコーディング入門(4)
UNIXなどPOSIX準拠のOSでは、割り込みや例外を抽象化した「シグナル」と呼ばれる仕組みを用いてプロセスに(非)同期イベントが通知されますが、シグナルハンドラで行える処理には制約があり、これを無視したコードを書くと脆弱性につながる恐れがあります。今回はシグナルハンドラの制約に関するルールを見てみましょう。 シグナルハンドラの制約 UNIXなどPOSIX準拠のOSでは、割り込みや例外を抽象化した「シグナル」と呼ばれる仕組みを用いてプロセスに(非)同期イベントが通知されます。ユーザが[Ctrl]-[C]キーを押してプログラムを中断しようとしたり(SIGINT)、整数オーバーフローが発生したり(SIGFPE)すると、それらのイベントに対応するシグナルがカーネルからプロセスに対して通知されるのです。プログラマは、これらのシグナルを受信した時に特定の動作を行わせる「シグナルハンドラ」を書くことが
Firewall Builderによるファイアウォールの設定 | OSDN Magazine
Firewall Builder(fwbuilder)は、IPトラフィックのフィルタリング設定に役立つグラフィカルアプリケーションだ。このツールでは、ユーザが定義したフィルタリングポリシーをCiscoルータおよびLinksysルータで使われる各種言語やiptablesの仕様に変換できる。定義したポリシーとその実装をこうして分けることにより、ファイアウォールを実行するハードウェアを変更してもポリシーを定義し直さずに済む。 fwbuilderのパッケージは、Ubuntu HardyとFedora 9の各リポジトリに収められている。openSUSEの10.3にもワンクリックでインストール可能なパッケージがあるが、まだopenSUSE 11には対応していない。本稿では、64ビット版Fedora 9マシンでfwbuilderのバージョン2.1.19をソースからビルドして使用する。fwbuilderの
XMLをparseするアプリのセキュリティ - 2009-06-21 - T.Teradaの日記
「XML」「セキュリティ」という単語でWeb検索すると、多くヒットするのはXMLデジタル署名やXML暗号などを説明したWebページです。 本日の日記では、それとはちょっと違うテーマ(XXEと呼ばれる攻撃)について書きます。 脆弱なコードと攻撃方法 さっそく脆弱性があるサンプルプログラムです。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class Test1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRe
どさにっき
2009年6月24日(水) ■ slowloris _ 最近話題になってる Apache その他に対する DoS 攻撃ツール slowloris。中途半端なリクエストヘッダを送って、宙ぶらりんのままの HTTP セッションを大量に生成させてサーバ側のリソースをパンクさせる、という理屈らしい。消化しきれない中途半端なリクエストを Apache が食おうとしてるのが原因ってことだから、ちゃんと消化できる状態になるのを待ってから Apache に食わせるようにしてやればこの攻撃にも耐えられるよね、きっと。 _ ということで試してみた。 AcceptFilter。FreeBSD で AcceptFilter http httpready と設定すると、accf_http(9) を利用してカーネルレベルで HTTP リクエストをバッファリングして、リクエスト全体を受信完了するまで apache にリ
エフセキュアブログ : パスワードはポストイットに書こう
パスワードはポストイットに書こう 2009年05月27日01:07 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン Facebookはゆっくりと、だが確実に、活発なスパムに対する自衛を進めている。 専門家の間では考察も行われている。何故Facebookなのか? Facebookは、個人のパスワードすべて(すなわち銀行やコマースサイトの)を立ち上げ、盗むための要となっているのだろうか? Facebookに登録すると、メインの電子メールアカウントやそれに伴うすべてを危うくする可能性があるのだろうか? そうかもしれないが、理由が何であれ、Facebookの人気の高さが同サービスをターゲットにしている。その成長や規模はすさまじいものだ。 フィンランドを例にとってみよう。フィンランドにはたった530万人しか居住していないというのに、100万以上のFacebookアカウ
perl - open my $fh, "comand |"; # はモダンじゃない : 404 Blog Not Found
2009年02月10日01:00 カテゴリLightweight Languages perl - open my $fh, "comand |"; # はモダンじゃない モダンPerl入門 牧大輔 「モダンPerl入門」発売記念ということで、同書を補足するentryを。 同書でちょっと残念だったのが、[5.2 外部コマンドの実行]。あまりモダンではないのだ。 P. 141 system("/sbin/wget", "http://example.com"); これはいいのだが、以下がちょっとまずい。 my $output = `/bin/ls tmp`; open(my $fh, '| cat -v'); これ、何がまずいか、というと、コマンド実行の際に/bin/shを使ってしまうのだ。そのおかげでcommand < from > to 2&>1のようなリダイレクトも使えるなどの利点もあ
ヤフーがyimg.jpを使う本当のワケ - 最速配信研究会(@yamaz)
ヤフーの画像はなぜyimg.jpドメインなのか? サイト高速化の手法とヤフーの失敗例 でヤフーがなぜドメインを変えて画像サーバを運用しているかが書かれている.「静的なコンテンツに対してクッキーフリードメインを使うことによって速度向上を狙う」というのが理由とあって,これはこれでもちろん正しいのだけれど,これはどちらかというと副次的な理由で本当の理由は違う. クッキーフリードメインを使うことで悪意あるFlashコンテンツなどから自社ドメインのクッキーを守るためというのが本当の理由で,これはあちこちで使われているテクニックだ.Flashコンテンツは外部の業者さんに作ってもらったり,広告の入稿素材として入ってくるので,信頼できないデータとして取り扱う必要があり,万一まずいデータがアップされることがあっても大丈夫にしておく必要がある. 最近ユーザからの任意のコンテンツを受けつけて同一ドメインで配信し
自堕落な技術者の日記 : MD5証明書に警告を出すFirefoxアドオン - livedoor Blog(ブログ)
このブログのコメント欄でなひ様に教えてもらった CodeFromThe70s.org SSL BLACKLIST 4.0 Firefoxアドオン SSL BLACKLIST Local Databse Firefoxアドオン http://codefromthe70s.org/sslblacklist.aspx を早速インストールしてみました。 これは、以前ブログでも何回か書いたDebianが生成したOpenSSH,OpenSSL鍵の危殆化問題に対応して、やばい鍵に警告ダイアログを出してくれることを主目的としたプラグインなようですが、MD5withほにゃららの証明書をHTTPSで使おうとした場合にも対応しているようです。 とりあえずの自衛策としてはいいんじゃないでしょうか。 #なんか、間違い探しみたいですか?!(^^;(謎) 警告ダイアログっぽくないですね、、、赤・黄色・黒なんか使ってババ
なぜSuhosinを使うのか - hnwの日記
Suhosinプロジェクトのドキュメント「Suhosin - Why ?」を日本語訳してみました。慣れた方の翻訳とはかけ離れた出来だと思います。というのも、日本語として自然な言い回しに変えようとした部分があり、翻訳としては少々問題があるかもしれません。また、僕の英語力にもそもそも問題があるわけですが、文意は99%取れたつもりでいます。 原文も長い文章では無いので、興味を持たれた方は原文も合わせてチェックして、僕のまずい翻訳を指摘して頂ければ助かります。 Suhosinが何かについては廣川さんの記事「【PHPウォッチ】第30回 相次ぐ脆弱性修正リリースとセキュリティ強化PHP「Suhosin」」が詳しいのでそちらをご覧下さい。 補足:SuhosinはPHP本体に対するパッチと、PHPエクステンションとの2つで成り立っており、それぞれ独立しています。(参照:Suhosin Downloads)
高木浩光@自宅の日記 - ログイン前Session Fixationをどうするか
■ ログイン前Session Fixationをどうするか 21日の日記「Session Fixation脆弱性の責任主体はWebアプリかWebブラウザか」で、ブラウザベンダはCookie Monster問題をどうするのだろうかということについて書いたが、Firefox 2.0 について調べてみたところ、解決していなかった。また、IE 7 も解決していない。 そのような状況では、セッション追跡がcookieだけによって行われている場合であっても、Session Fixation攻撃に対して配慮せざるを得ない。 これまで、Session Fixation対策といえば、ログイン後の状態をセッションハイジャックされることの防止のみが語られることが多かったが、ログイン前についてはどうだろうか。 たとえば、ログイン前から使えるショッピングカートに対してSession Fixation攻撃が行われると
SSH パスワード認証に対する総当たり攻撃への対抗ツール
SSH のパスワード認証に対する総当たり攻撃 (辞書攻撃) への対応については付録 G にあるとおりなのですが、この中で パスワード認証の無効化 ポート番号の変更 についてはできかねる、という場合も多々あろうかと思います。また最近は、キーボードを用いた対話的な認証に対しても攻撃が行われています。 そのような場合には、パケットフィルタなどと組みあわせて、複数回ログインに失敗した場合にはアクセスを禁止する、ようにすると効果的です。 このためのツールが複数存在します。 Block brute force password attempts via SSH。 Advanced Policy Firewall が必要です。 BlockHosts。tcp_wrapper に対応した SSH が必要です。 BlockSSHD。 Linux と BSD に対応しています。BSD の場合は FreeBSD
SecTools.Org Top Network Security Tools
SecTools.Org: Top 125 Network Security Tools For more than a decade, the Nmap Project has been cataloguing the network security community's favorite tools. In 2011 this site became much more dynamic, offering ratings, reviews, searching, sorting, and a new tool suggestion form. This site allows open source and commercial tools on any platform, except those tools that we maintain (such as the Nmap
pfSense® - World's Most Trusted Open Source Firewall
Open Source Security Secure networks start here.™ With thousands of enterprises using pfSense® software, it is rapidly becoming the world's most trusted open source network security solution. Get Started Now Securely Connect to the Cloud Virtual Appliances Netgate® virtual appliances with pfSense® Plus software extend your applications and connectivity to authorized users everywhere, through Amazo
BackTrack v.2.0 基本操作方法 [Pen-test.jpn.org]
画面右下の「KDE Keyboard Tool」アイコンを右クリックして [Configure...] を選択する。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
www.zone-h.org - Home