Google Chrome、ハッキングコンテストで唯一の生き残りブラウザに
Mac版Safariはコンテスト開始後数分で侵入され、IE 8、Firefoxも初日のうちにハッキングされた。 カナダのバンクーバーで3月18~20日に開催されたハッキングコンテストPwn2Own 2009で、参加者らはGoogleのChrome以外の主要Webブラウザすべてのハッキングに成功した。このコンテストはカナダのセキュリティ企業dragostech.comが2007年から毎年開催しているもので、今年はWebブラウザと携帯端末のセキュリティ侵入のテクニックが競われた。 ターゲットとなったWebブラウザは、Windows 7搭載のソニーのVAIOにインストールされたInternet Explorer(IE)8、Firefox、Chromeと、Mac OS X搭載のMacBookにインストールされたSafariとFirefox。Webブラウザの脆弱性を突くコード(エクスプロイトコード)
世間の認識と脅威レベルのギャップ――XSSは本当に危ないか?
皆さんこんにちは、川口です。コラムの第6回「IPSは“魔法の箱”か」でまっちゃ139で講演をしたお話を書きましたが、今度は関東でやっている「まっちゃ445」にお招きいただき、お話ししてきました。 まっちゃ445は募集開始から定員が埋まるまでがとても速く、今まで参加したことがなかったのですが、今回は運良く(?)講師側ということでキャンセル待ちにならずに参加することができました。ロックオンの福田さんがオープンソースのECサイト構築システム「EC-CUBE」に脆弱(ぜいじゃく)性が発見された際のインシデントハンドリングのお話をされていました。EC-CUBEにSQLインジェクションとクロスサイトスクリプティング(以下、XSS)が発見されたあとの対応のお話です。JSOCで日々インシデントにかかわっているいる自分としてはとても興味深い内容でした。 日本のエンジニアのセキュリティ意識は過剰? 今回のよう
第9回■上流工程で文字集合仕様と文字エンコーディングを決定する
これらの対策のうち,ここでは「文字集合の変換を伴う変換をしない」など,アプリケーション全体の文字コードの取り扱いについて上流工程で留意すべき内容について説明しよう。「入力値のチェック」については次回以降,「入力値の検証」の項で詳しく説明する。「アプリケーションでの正しいマルチバイト文字の処理」については,個別の処理内容の項で説明する。 文字コードの取り扱いについて,上流工程で留意すべき点としては,次の三つが挙げられる。 要求仕様として文字集合を定義する端末がサポートする文字集合を確認する実装に用いる文字エンコーディングを決定する まずアプリケーション仕様として,処理対象となる文字集合を規定する必要がある。日英語以外の韓国語や中国語,アラビア語などの対応が必要な場合はUnicodeを選択するしかない。さらに日本語だけの場合でも,例えばJIS X 0201+JIS X 0208はJIS第2水準
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
スクウェア・エニックス,プレイオンライン会員向けに「ワンタイムパスワード」導入を決定
スクウェア・エニックス,プレイオンライン会員向けに「ワンタイムパスワード」導入を決定 編集部:Chun 「ファイナルファンタジーXI」などをサービス中のスクウェア・エニックスは,プレイオンライン会員向けに「ワンタイムパスワード」の導入を発表した。 ワンタイムパスワードとは,希望した会員にランダムで生成したパスワードを発行するサービスで,そのパスワードは1回しか使用できないというもの。次回ログイン時には,また別のパスワードを発行してログインすることになる。 ワンタイムパスワードの利点は,キーロガータイプのアカウント情報を盗む行為に対して絶大な威力を発揮するところだ。FFXIでも,以前よりアカウントハッキングの被害が多数報告されており,こうしたサービスの要望を見かけることが多かった。そして,ついにスクウェア・エニックスが“動いた”というわけだ。 アカウントハッキングの被害では,持っている装備や
perl - EncodeでXSSを防ぐ : 404 Blog Not Found
2009年03月03日19:00 カテゴリLightweight Languages perl - EncodeでXSSを防ぐ 良記事。 第7回■文字エンコーディングが生み出すぜい弱性を知る:ITpro だけど、問題点のみ具体例があって、対策にないのが片手落ちに感じられたので、その点を補足。 結論だけ言ってしまえば、Perlなら以下の原則を守るだけです。 404 Blog Not Found:perl - Encode 入門 すでにOSCONでもYAPCでも、あちこちそちこちでこの基本方針に関しては話したのですが、ここ 404 Blog Not Found でも改めて。 Perl で utf8 化けしたときにどうしたらいいか - TokuLog 改め だまってコードを書けよハゲ入り口で decode して、内部ではすべて flagged utf8 で扱い、出口で encode する。これが
regexp - ^$でなくて\A\zを使おう : 404 Blog Not Found
2009年03月09日00:30 カテゴリLightweight LanguagesTips regexp - ^$でなくて\A\zを使おう まずは回答から。 正規表現で「制御文字以外」のチェック - ockeghem(徳丸浩)の日記 文字エンコーディングの妥当姓 制御文字(\x00〜\x1f, \x7f)のチェック 文字列長のチェック このうち後ろ二つを正規表現として書くにはどうすればいいかを考えていました。 こういう時には、「全文字がOKならOK」と考えるのではなく、「一文字でもNGならNG」と考えると楽になります。それは「スペースと非制御文字以外」なのですから、/[^ \S]/が求めていた正規表現で、=~ではなく!~が使うべき演算子ということになります。全角スペースもOKにしたければ、/[^ \x{3000}\S]/。[追記参照] [Run via Codepad] #!perl -
第8回■主要言語の文字エンコーディングの対応状況を押さえる
文字コードの問題に正しく対応する前提として,アプリケーションが稼働する基盤ソフトウエアがマルチバイト文字列処理に対応している必要がある。特に問題となるのが,言語処理系とデータベース管理システム(DBMS)である。利用者の使い方が正しくない場合も,ぜい弱性が混入することがある。このため,今回は主要言語とデータベース(MySQLとMS SQL Server)のマルチバイト文字対応状況について説明する。 文字列の処理単位は文字単位かバイト単位か Webアプリケーション開発で人気のあるスクリプト言語の多くは,かつては文字列をバイト単位で扱っているものが多かった。以下のPerlスクリプトは“漢字”という文字列の長さを表示するものだが,ソースの文字エンコーディングによって結果が変わる。具体的には,Shift_JISやEUC-JPの場合は4,UTF-8の場合は6と表示される。原因は,このスクリプトが文字
ミニブログ「Twitter」,パスワードが破られポルノ系サイト・スパムの被害に
米Twitterは米国時間2009年3月6日,ミニブログ・サービス「Twitter」用アカウント約750個のパスワードが破られて乗っ取られ,外部のWebカメラ・チャットサイトのURLがメッセージとして不正投稿されたと発表した。トレンドマイクロは,アカウント乗っ取りはグリニッジ標準時3月6日19時から2時間のあいだに行われたとしている。Twitterは被害を受けたアカウントのパスワードをリセットし,スパム・メッセージを削除した。 スパム・メッセージは「hey! 23/Female. Come chat with me on my webcam thingy here www.{BLOCKED}.com.」(「こんにちは!23歳の女の子です。Webカメラで私とおしゃべりしない?URLはwww.×××.comよ」)という内容。掲載されているリンクをクリックすると,ポルノWebカメラ・チャットのポ
javascript - クリックジャック殺しなbookmarklet : 404 Blog Not Found
2009年03月05日02:30 カテゴリLightweight Languages javascript - クリックジャック殺しなbookmarklet 意外な盲点。 主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは しかし、 クリックジャック - 素人がプログラミングを勉強するブログ FirefoxユーザはNoScriptを使うか、about:configからpermissions.default.subdocumentを3にしましょう。 というのはあまりに厳しく悲しい。対策しようは果たしてないのでしょうか? その結果が、こちら。 clickUnJack javascript:(function(d,u){var s=d.createElement('script');s.charset='UTF-8';s.src=u;d.body.appendChild(s)})(do
クリックジャック - 素人がプログラミングを勉強していたブログ
最近流行のクリックジャックについて、メモ程度にまとめておく。 一言で言うと、外部サイトのボタンをユーザが間違えてクリックしてしまうように仕向けるテクニックが、クリックジャックである。 クリックジャッキングってこうですか? わかりませんではiframeをCSSのopacityプロパティを利用して透明にして、その下にダミーのボタンを置いている。目に見えているボタンを押そうとすると、その上に被せてある透明なiframeのボタンが押されてしまう。 [Sleipnir]No Click Jacking — Gistはこの攻撃に対する防御手段として考えられたユーザースクリプトで、透明なiframeを検出する。 しかし、opacity以外にもクリックジャックをする方法はあるので不十分である。 例えば 2009-03-04_2146 - javascripter's library にスクリーンキャストを
そろそろクリックジャッキングについて一言いっておくか - 最速転職研究会
Firefox3で「サードパーティのCookieも保存する」をオフにする。 防げる。 いずれのブラウザにもサードパーティ製のcookieを制限するオプションがあるが、Firefox3以外だと、フレーム内表示された場合に「新規にcookieを保存しない」だけで保存済みのcookieは送信してしまう。 軽く調べてみたところ、次のようになった。(間違ってたら教えてください) サードパーティのcookieの新規保存 サードパーティの保存済みcookieの送信 表示中のドメインのcookieの保存/送信 IE6,7,8(デフォルト) x o o IE6,7,8(セキュリティ高) x x x Opera9.6(デフォルト) o o o Opera9.6(制限) x △ o Safari(制限/デフォルト) x o o Safari(全て受け入れる) o o o Firefox2(デフォルト) o o
2009年2月20日開催 重要インフラ情報セキュリティフォーラム2009 - JPCERT Coordination Center
2024 2023 2022 2021 2020 2019 2018 2017 2016 2015 2014 2013 2012 2011 2010 2009 2008 2007 2006 2005 2004年以前 JPCERT/CCが過去に講演などで使用した資料の中で一般に公開できるものを用意しています。 <注意> 以下の各文書で紹介しているソフトウェア、バージョン、URL等は、各文書の発行時点のものであり、変更されている可能性があります。 ※「デジタル署名付」と表示されている PDF 文書は GlobalSign CA for Adobe より発行されたデジタル証明書により真正性が証明されております。 Adobe Reader バージョン 9.0 以降をご使用いただくことで、PDF 文書の真正性を検証することができます。 2024
クリックジャッキング対策 - IT戦記
var allowed = false; if (parent != window) { // 自分がフレーム内なら document.addEventListener('click', function(e) { if (!allowed && confirm('クリックジャック?')) { e.stopPropagation(); e.preventDefault(); } }, true); } window.addEventListener('message', function(e) { if (e.origin == 'http://example.com/') { // example.com からは許可 allowed = true; } }, true); とかじゃダメかに?既出? http://internet.watch.impress.co.jp/cda/news/
[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底
突然,一部のユーザーが米グーグルの動画サイト「YouTube」にアクセスできなくなる──。こんな事件が2008年2月24日に発生した。この事件の背景には,インターネットのバックボーンを支えるプロトコルの一つ,BGPの仕様上の弱点があった。 BGPは主にISPなどの大規模ネットワーク同士で経路情報をやり取りする際に使うルーティング・プロトコル。BGPで不正な経路情報を流されてしまうと,ユーザーは誤った経路に誘導される。BGPもDNSと同様,認証部分に弱みを抱えているのだ。 「来る経路は拒まず」の仕様が“アダ”になる BGPでは,経路情報をやり取りする大規模ネットワークをASという単位でとらえ,「AS番号」と呼ばれる一意の番号を振っている。大抵のISPやデータ・センター,一部の大企業などはAS番号を持っている。 AS同士はBGPを使って,「どのASの先にどんなアドレスのネットワークがあるか」と
![[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底](https://cdn-ak-scissors.b.st-hatena.com/image/square/3d9a1b2a19db5f4932072b1264886632957cceed/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Farticle%2FCOLUMN%2F20090225%2F325481%2Ftopm.jpg%3F20220512)
技術メモ-クリックジャッキング対策- X-FRAME-OPTIONSについて
JPCERT-ED-2009-0001 JPCERT/CC 技術メモ - クリックジャッキング対策 ~ X-FRAME-OPTIONS について ~ 第二版:2009-03-04 (Ver. 2.0) 初 版:2009-03-03 (Ver. 1.0) 執筆者:常見 敦史、小宮山 功一朗 本文書の掲載 URL:http://www.jpcert.or.jp/ed/2009/ed090001.pdf 本文書は、Web サイト制作者及び運営者を対象に、クリックジャッキング攻撃の概要とその対策の一 つとして X-FRAME-OPTIONS の概要、記述方法、設定値による挙動の違いについて解説します。 Copyright © 2009 JPCERT/CC All Rights Reserved. -2- 改訂履歴 変更内容 日付 初版 2009 年 3 月 3 日 二版 章番号を追加しました。
第6回■異なる文字集合への変換がぜい弱性につながる
文字集合自体は抽象的な「文字の集まり」に過ぎないので単独で問題になることはないが,異なる文字集合に変換する際には問題が発生する場合がある。文字集合が異なるということは,対応する文字が1対1対応していないので,変換先の文字集合で対応する文字がないケースや,多対1の対応が発生する可能性がある。 図1に,Unicodeからマイクロソフト標準キャラクタセットに変換する場合を例示した。マイクロソフト標準キャラクタセットには「骶」(尾てい骨の“てい”)や,ハングルなどはない。また,バックスラッシュ「\」(U+005C)と円記号「\」(U+00A5)がともにJIS X 0201の「\」(0x5C)に変換される場合について示している。 「漢」のように1対1対応している文字は問題ない。ハングルや「骶」のように対応するコードポイントがない場合はエラーになるか文字化けする。インターネットで「尾 骨 びていこつ」
[DNSキャッシュ・ポイズニング]偽サイトに誘導,遅れる拡張DNSの実装
DNSは開発されてから20年以上,基本仕様をほとんど変えないまま使われてきた。「実はこれは奇跡的なことで,そろそろDNSを見直さなければならないのかもしれない」(さくらインターネット技術部の大久保修一リーダー)。実際,2008年にカミンスキー氏が発表した新手のDNSキャッシュ・ポイズニング攻撃は,DNSの危うさを知らしめた。とはいえ,すぐにDNSを代替できる仕組みは存在せず,当面使い続けなければならないのが現実だ。何が起こっているのかを理解しておかなければならない。 UDPに起因,“古さ”が弱点もたらす DNSキャッシュ・ポイズニングは,DNSサーバーに一時的にキャッシュしてあるドメイン名とIPアドレスの対応情報を偽の情報に書き換える攻撃である。悪用されるとユーザーのWebブラウザは偽のWebサイトに誘導されてしまう。 その仕組みは以下のようになる。WebブラウザからURL中のドメイン名に
第7回■文字エンコーディングが生み出すぜい弱性を知る
文字コードに関する問題は大別すると文字集合の問題と文字エンコーディングの問題に分類できる。前回は文字集合の取り扱いに起因するぜい弱性について説明したので、今回は文字エンコーディングに起因するぜい弱性について説明しよう。 文字エンコーディングに依存する問題をさらに分類すると2種類ある。(1)文字エンコーディングとして不正なデータを用いると攻撃が成立してしまう点と,(2)文字エンコーディングの処理が不十分なためにぜい弱性が生じることがある点だ。 不正な文字エンコーディング(1)――冗長なUTF-8符号化問題 まず,(1)の不正な文字エンコーディングの代表として,冗長なUTF-8符号化問題から説明しよう。前々回に解説したUTF-8のビット・パターン(表1に再掲)を見ると,コード・ポイントの範囲ごとにビット・パターンが割り当てられているが,ビット・パターン上は,より多くのバイト数を使っても同じコー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
United States
