The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254について SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例 SSRFを利用したメール送信ドメインの乗っ取り 「CODE BLUE 2018」参加レポート（岩間編） この「空前のSSRFブーム」に便乗して、SSRFという攻撃手法および脆弱性について説明します。 SSRF攻撃とは SSRF攻撃とは、攻撃者から直接到達できないサーバーに対する攻撃手法の一種です。下図にSSRF攻撃の様子を示します。 攻撃者からは、公開サーバー（203.0.113.2）にはアクセスできますが、内部のサーバー（192.168.0.5）はファイアウォールで隔離されているため外部から直接

AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門 この記事の中で、以下のように紹介しました。 ホスト名からIPアドレスを求める際にも以下の問題が発生します。 DNSサーバーが複数のIPアドレスを返す場合の処理の漏れ IPアドレスの表記の多様性（参考記事） IPアドレスチェックとHTTPリクエストのタイミングの差を悪用した攻撃（TOCTOU脆弱性） リクエスト先のWebサーバーが、攻撃対象サーバーにリダイレクトする 上記のTOCTOU(Time of check to time of use)問題は、DNSの名前解決の文脈ではDNS Rebindingとも呼ばれます。 DNS R

2019年7月29日、米金融大手 Capital Oneは不正アクセスにより1億人を超える個人情報が流出したと発表しました。WAFの設定ミスに起因して、Server Side Request Forgery（SSRF）攻撃を許したことにより情報を盗まれたと見られています。ここでは関連する情報をまとめます。 Capital Oneによる公式発表 Information on the Capital One Cyber Incident（米国向け） Information on the Capital One Cyber Incident（カナダ向け） Frequently Asked Questions （１）影響範囲 影響が及んだ人数の内訳は以下の通り。 米国 約1億人 カナダ 約600万人 発表時点でCapital Oneは流出した情報が外部へ出回ることや、詐欺への使用は確認していない。

This post is also available in: English (英語) 概要 Webベースのコンソールが管理用のソフトウェアやスマートデバイスに広く使われるようになったおかげで、データをインタラクティブに可視化したり、設定をユーザーフレンドリーに行えるようになりました。こうした流れは企業コンピュータシステムの複雑化や家庭用最新IoTデバイス（Internet of Things モノのインターネット）の利用数増加につれて勢いを増しています。こうしたWebアプリケーションはふつう、ファイアウォールで保護された環境の内側やプライベートネットワーク内に設置されていますから、その利用者に対しては高い信頼度が設定される傾向があります。また、それらの製品は利用者がすべて認証済みであることを前提としているので、機微な情報の開示や管理者権限の付与にさいしても、アプリケーションレベルでは強

補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 楽天テクノロジーカンファレンス2007にて、カーネギーメロン大学日本校の武田圭史先生の講演を聴講して、DNS Rebindingの説明がとても分かりやすかったので、ここに再現を試みる(文責は徳丸にある)。 DNS Rebindingとは DNS Rebindingは、DNSの返すIPアドレスを巧妙に変化させることにより、JavaScriptやJavaアプレットなどのsame origin policyを破り、インターネットからローカルネットワーク(通常外部からはアクセスできない)などに対してアクセスする手法

本文の内容は、2021年3月9日にÁlvaro Iradierが投稿したブログ(https://sysdig.com/blog/dockerfile-best-practices/)を元に日本語に翻訳・再構成した内容となっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用することで、セキュリティ問題を防ぎ、コンテナ化されたアプリケーションを最適化する方法を学びます。 コンテナ化されたアプリケーションやマイクロサービスに精通している人なら、自分のサービスがマイクロサービスであることに気づいているかもしれません。しかし、脆弱性の検出、セキュリティ問題の調査、デプロイ後の報告や修正など、管理のオーバーヘッドがマクロな問題になっています。 このオーバーヘッドの多くは、セキュリティをシフトレフトし、開発ワークフローの中で可能な限り早く潜在的な問題に取り組むこ

ProductSecurityImproving the developer experience for Dependabot alertsToday, we’re shipping improvements to Dependabot alerts that make them easier to understand and remediate. At GitHub, we believe in providing developer-first experiences to help you keep your code secure. Since we launched Dependabot alerts nearly four years ago, we’ve alerted users on over 425 million potential vulnerabilities

サイバー・グリッド・ジャパン ICT利用環境啓発支援室の高橋です。 「サイバーセキュリティって何？」と小学生から聞かれたら、説明できますか？ いきなりこんな質問をされると、多くの人が戸惑ってしまうのではないでしょうか。またサイバーセキュリティの仕事をしている人でも、準備をしていないと小学生が分かるレベルで説明することは難しいと思います。 そこで、「多くの人にサイバーセキュリティについて知ってもらいたい」「サイバーセキュリティに興味を持ってもらいたい」「将来のサイバーセキュリティの担い手を増やしたい」という目的で、サイバーセキュリティに関わる仕事について分かりやすく紹介する『サイバーセキュリティ仕事ファイル 1 ～みんなが知らない仕事のいろいろ～』（以下、サイバーセキュリティ仕事ファイル）を制作しました。 サイバーセキュリティへの理解はどのくらい？ サイバー攻撃による被害は、毎日のようにテレ

You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

2021/4/23 追記 Twitter にて指摘を頂いたので追記。 詳細は当該ツイートを読んで頂きたいが、プリフライトリクエストを CSRF 対策として用いるのは適切ではないという内容。 この記事に書いた仕組みや挙動そのものが間違っているわけではないのだが、プリフライトリクエストはそもそもセキュリティのための機能ではない。 そして、詳しくは記事の続きを読んでほしいが、プリフライトリクエストが発生するということは、HTTP メッセージのやり取りが 1 回増えるということなので、パフォーマンス上、望ましくない。 代替案がないならともかく、リクエストのオリジンをチェックすれば対応できるのだから、敢えてプリフライトリクエストを利用する必要はない。素朴に書けば以下のようになるだろうか。 const ALLOW_ORIGIN = `http://localhost:${constants.SPA_P

サマリ2020年2月にGoogle ChromeはCookieのデフォルトの挙動をsamesite=laxに変更しましたが、2022年1月11日にFirefoxも同様の仕様が導入されました。この変更はブラウザ側でCSRF脆弱性を緩和するためのもので、特定の条件下では、ウェブサイト側でCSRF対策をしていなくてもCSRF攻撃を受けなくなります。この記事では、デフォルトsamesite=laxについての基礎的な説明に加え、最近のブラウザの挙動の違いについて説明します。 （2022年1月29日追記） 本日確認したところ、Firefoxにおけるデフォルトsamesite=laxはキャンセルされ、従来の挙動に戻ったようです（Firefox 96.0.3にて確認）。デフォルトsamesite=lax自体は先行してGoogle Chromeにて実装されていましたが、細かい挙動の差異で既存サイトに不具合が

はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。 本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。 「ログイン機能」はToB、ToC問わず多くのWebアプリケーションで実装されている機能で、XSSやSQL Injection、Session Fixationといったような典型的な脆弱性の観点については、なんらかの解説を見たことのある方も多いと思います。 しかし、「仕様の脆弱性」というのはあまり多く語られていない印象です。今回はそのようなタイプの脆弱性についての解説を行います。なお、IDaaSを用いずに自前でログイン機能を実装しているケースを複数パターン想定しています。 はじめに ログイン機能の仕様パターンとセキュリティ

■概要 2022年01月04日に、幼稚園から高校、大学向けのWebサイトのデザイン、ホスティング、コンテンツ管理ソリューションを115か国、8,000以上の学校に提供しているアメリカのSaaSプロバイダーであるFinalsite社がランサムウェアの被害に遭いました（公表は06日）。そして、同日、ホストしていた学校のWebサイトにアクセスできなくなったり、エラーが表示されるという事象が発生。Finalsite社のコミュニケーションディレクターであるMorgan Delack氏によるとランサムウェアへの感染がそれらの事象の直接的な原因ではなく、顧客データを保護するために積極的にシステムをオフラインにし、それによって約5000の学校のWebサイトがオフラインなるとのことでした。この件に関して、Finalsite社は、特設ページ（Finalsite ransomware incident comm

久しくブログは書いていなかったのですが、元気をもらったので書いてみようと思います。 minihardening.connpass.com 4/21 に メルカリさんの会場を借りて開催された MINI Hardening Project #3.2 に参加してきました。 Hardeningとは Hardening（ハードニング）とは、「衛る技術」の価値を最大化することを目指す、全く新しいセキュリティ・プロジェクト （Hardening Project 2019 | Web Application Security Forum - WASForum より）ということで、CTFとは異なった観点のセキュリティ技術を学べるイベントのことです。 脆弱性のあるアプリケーションやサーバーを渡され、競技時間の間、攻撃者（運営）からのアタックを防ぎ、可能な限りサービス継続を維持することが目標となります。 侵入さ

2013年の「Cookieless Monster: Exploring the Ecosystem of Web-based Device Fingerprinting」によると、Alexa のアクセス数Top1万のサイトのうち、4%のサイトがFingerprintに関する技術を用いていることが示されました。また、2014年の「The Web Never Forgets: Persistent Tracking Mechanisms in the Wild」では、Alexa のアクセス数Top10万のサイトのうち、5.5%のサイトがFingerprintに関する技術を用いており、今後も増えていくことが予想されます。 では、Fingerprintとは一体どのようなものなのでしょうか？Fingerprintのそもそもの語源は、英語で「指紋」という意味ですが、Web上では「Webサイト利用者の

GitHub Advisory DatabaseのRSSフィードがなかったの作りました JSON FeedとAtomフィードを出力しています。 基本的にはJSON Feedをメインにしてますが、SlackがJSON FeedをサポートしてなかったのでAtomを追加しました。 RSS Feeds for GitHub Advisory Database GitHub Advisory Databaseは、脆弱性のデータベースでRubyとかGoとかnpmとかRustとか言語ごとの脆弱性が集まっています。また、GitHub自体がセキュリティアドバイザリーの仕組みを持っているので、外部の脆弱性データベースにないものとかもあります。 About GitHub Security Advisories - GitHub Docs JavaScriptだとnpm auditとかはこのデータベースを参照した