教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
Greasemonkeyの共通な落とし穴を避ける - minghaiの日記
Greasemonkeyの過去においてのセキュリティ上の問題の解説。 Greasemonkeyだけに限らず、JavaScriptによるユーザ拡張を作成している全ての方に対して一読の価値があるドキュメントだと思われます。 原文:O'Reilly Media - Technology and Business Training Greasemonkeyの共通な落とし穴を避ける Greasemonkeyのセキュリティの歴史があなたの今にどう影響するのか (著) Mark pilgrim "Greasemonkey Hacks"の著者 2005/11/11 昔々、あるところにセキュリティホールがありました。(これは普通のおとぎ話ではないからそのまま読んでください。) Greasemonkeyのアーキテクチャは最初に書かれて以来大幅に変更されてきた。Version0.3は初めて広範囲に人気を得たバー
第31回 アンチウイルスソフトウェアClamAVの活用(2) | gihyo.jp
前回に引き続き、今回もClamAVを使ったレシピです。今回はhavpというHTTPプロクシを用いて、Webアクセスのフィルタリングや、マルウェアを発見した場合の通知の設定を行ってみましょう。 havpのインストール havp(HTTP Antivirus Proxy)は、ClamAVを用いたHTTPプロクシを構成するためのソフトウェアです。次のコマンドでインストールするか、Synapticからインストールしてください。 havpのインストールよりも前に、clamav・clamav-freshclamの2つのパッケージがインストールされている必要があるので、以下のように先にclamavとclamav-freshclamをインストールします(前回すでにインストールしている場合はhavpパッケージだけをインストールして構いません)。 $ sudo apt-get install clamav
第30回 アンチウイルスソフトウェアClamAVの活用(1):ClamAV/clamtk, klamav/clamfs | gihyo.jp
Ubuntu Weekly Recipe 第30回アンチウイルスソフトウェアClamAVの活用(1):ClamAV/clamtk, klamav/clamfs ClamAVはLinux・*BSD・Mac OS Xなどの環境で利用できる、GPLで配布されているアンチウイルスソフトウェアです。今回はUbuntu上でClamAVを使いこなすレシピをお届けします。 ClamAVの導入 一般的なデスクトップOSであるWindowsでは、アンチウイルスソフトウェアが欠かせません。これはWindowsがきわめて広く利用されており[1]、マルウェア[2]作者にとって大きなメリットがあるためです。幸いにして(?)Linuxはマイナーですし、Windowsに比べるとマルウェアの対象となることは遙かに少ないのですが、それでもマルウェアへの対処を行う必要があります。たとえばWineを使う場合[3]や、Windo
第40回 クライアント・サーバ環境の活用(1) | gihyo.jp
Ubuntuのユーザの中には、複数のPCを利用されている方もいるでしょう。今回から数回に分けて、複数のPCを使いこなすユーザ向けのレシピをお届けします。今回は伝統的なUnix環境のノウハウが中心です。 リモートデスクトップ 複数台のマシンを利用している場合、第21回などで紹介したリモートデスクトップがもっとも単純な相互利用の方法です。大抵の環境ではリモートデスクトップだけで問題ないでしょう。具体的な設定方法は本連載の過去の記事を参照してください。 リモートデスクトップを使うことによる利点は幾つかありますが、主立ったものは次の通りでしょう。 「使い慣れた環境」を複数のマシンから利用することができる。 クライアント側になるマシンの性能が低くても問題ない。 特に、クライアント側のマシンの性能が低くても問題ない、というのは大きなメリットになります。NetBook/NetTopといった低性能のマシン
404 Blog Not Found:tips - sshでパスワード無しログイン
2007年09月30日13:30 カテゴリTips tips - sshでパスワード無しログイン 以下に加えて、これも覚えておくといいかも。 odz buffer - SSH の接続を共有する パスワード無しの認証ファイルを作る $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' または $ ssh-keygen -d -f ~/.ssh/nopass-dsa -N '' -C you@your.example.com -N ''がポイントです。 前者の場合、ssh commentは$USER@$HOSTになりますが、最近はDHCPでホスト名を決めちゃう場合も多いので、それがいやな場合は後者の方法で決め打ちするのがいいでしょう。 完了すると、~/.ssh/nopass-dsaと、~/.ssh/nopass-dsa.pubの二つのファイルが出来ます。前者は絶
第53回 sshの活用 | gihyo.jp
第40回において、ターミナルを利用したファイルのやりとりとしてssh/scpコマンドを紹介しました。sshはリモートマシンにログインを行ったり、リモートマシン上でコマンドを実行したりするためのプログラムです。今回はsshに関するTipsを紹介します。 公開鍵の登録 ssh-keygenで生成した公開鍵をリモートマシンの~/.ssh/authorized_keysに追加することで、公開鍵を利用した認証が行えるようになることは第40回で紹介しました。公開鍵を登録するためには公開鍵ファイルをscpコマンドなどで転送し、authorized_keysファイルの末尾に書き込む必要がありますが、これを自動で行ってくれるスクリプトがssh-copy-idです。ssh-copy-idはopenssh-clientパッケージに含まれるため、特にインストールを行うことなく使用することができます。 使い方は以下
Firefox 3.0.5 Status Bar Obfuscation / Clickjacking
Firefox 3.0.5 Status Bar Obfuscation / Clickjacking =========================================== <html> <body> <div id="mydiv" onmouseover="document.location='http://www.milw0rm.com';" style="position:absolute;width:2px;height:2px;background:#FFFFFF;border:0px"></div> <script> function updatebox(evt) { mouseX=evt.pageX?evt.pageX:evt.clientX; mouseY=evt.pageY?evt.pageY:evt.clientY; document.getEleme
Firefox 3.0.5 にステータスバーを偽装できる欠陥
セキュリティホールmemo で発見。 Firefoxに ステータスバーを偽装できる欠陥が見つかったとの報告があったようです。(実証コード付き) 一見なんの問題もないように見えますが、実証コード中にあるリンクをクリックすると、 脆弱性情報を掲載されたサイトのトップページ (要するにリンクはGoogleだけど違うページが表示される..ということです) が表示されてしまいます。 ファイルをローカルで閲覧した場合は Google のページが表示されますが、Webサーバ上にアップロードしたページを表示させると再現するようです。 脆弱性(欠陥)の確認方法: Web サーバは IIS7 を使い、実証コードをHTML文書にしたものを配置して、Vista SP1上でそれぞれのブラウザでアクセスして、実証コード中のリンクをクリックして確認しました。 各ブラウザの可否状況: Opera 9.6.3 この問題は影
Firefoxで「プライバシー情報の消去」の全部にチェックしても履歴は完全には削除されない - Active Galactic : 11次元と自然科学と拷問的日常
っていうことを、今頃知った。みんなで使うパソコンの設定をしていた身としては、履歴やクッキー、パスワードやフォームの類を全削除にしておけば問題はなく、クリーンなブラウザを快適に使ってもらえると思ってた。 へぇ、Flashクッキーなんて楽しい手段があるんだ。マクロメディアのローカルフォルダにクッキーがばっちり残っているじゃないか。Adobe Flashにはブラウザのクッキーとは独立した個人情報保管システムがあるみたいだね。他のプラグインも独自にローカルフォルダにデータを保管していたりするのかな。ん、ニコニコ動画の前回検索タグ履歴なんてのがあるぞ。 多分、Windowsだとこの辺にあると思う。 >C:\Documents and Settings\ユーザー名\Application Data\Macromedia\Flash Player\#SharedObjects\ もちろん、これは特定のブ
キャラバン-京都-|セキュリティ&プログラミングキャンプ・キャラバン2008
若年層の情報セキュリティおよびプログラミングについての興味を深めることと優れたセキュリティ&プログラミング人材の発掘と育成を目的として、今夏開催したセキュリティ&プログラミングキャンプの成果とその蓄積されたノウハウを広く一般の方々にも公開すること、これからキャンプに参加していただきたい若い方々に正しい情報セキュリティの理解と意識の向上を図ってもらうこと、また、OSSを中心としてプログラミングやアプリケーション開発について興味を持っていただくことを目的として、「セキュリティ&プログラミングキャンプ・キャラバン2008 -京都-」を開催します。皆様のご参加をお待ちしております。 開催場所:京都大学 学術情報メディアセンター南館201号室 〒606-8501 京都市左京区吉田二本松町 (京都市営バス 近衛通または京大正門前下車 徒歩5分) 交通アクセス:http://www.media.
[謎] wikiをデフォルト設定で使用する人が多い気がするけど非常に問題がある気がする。 - goinger的日記
色々なwikiを見てまわっていると、デフォルトの設定(誰でも編集可能)のままにしているサイトが多いのが非常に気になります。特に日本だとpukiwikiばかりで、大多数があまり設定ファイルをいじくることもなく使用しているのですが、これは実に危険だと思います。 ある程度wikiを使ったことがある人なら分かるかもしれませんが、あまり人目につかないようなwikiですらスパムというものはやってきます。特に海外からやってくるような場合が結構多いです 大抵のwikiには編集履歴が残されている and 復元機能がついているのでちょっとくらいいたずらされても、復帰は容易ですが、今まで作ってきたwiki全てが改竄 or 消去 されていたら復帰するのに、それ相応な時間がかかります。(最近のwiki事情はよく知らないのでもしかしたら一瞬で元の状態にもどるかもしれませんが) 例え復帰に成功したとしても気分はげんなり
![[謎] wikiをデフォルト設定で使用する人が多い気がするけど非常に問題がある気がする。 - goinger的日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/db33ff3b108b7229177ab8b1eb71ce38a358dd7b/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117127124321883%2F17680117127124326579%2F1557343878)
高木浩光@自宅の日記 - 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認
■ 楽天CERTに対するブラウザの脆弱性修正を阻害しない意思確認 楽天は比較的早い時期からコンピュータセキュリティに真剣に取り組んできた希有な存在だと認識している。昨年には、企業内CSIRTを正式に組織し、組織名を「Rakuten-CERT」とした。*1 楽天、社内に「CSIRT」を設置, ITmediaエグゼクティブ, 2007年12月6日 「楽天ad4U」の「脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手」の問題(前回の日記参照)は、その手法自体が直接人々のプライバシーを侵害するか否かという問題ではない。実際、「楽天ad4U」について言えば、閲覧履歴の有無は参照するけれども履歴自体の送信はしないように作られており、開発元はこれを「プライバシー保護にも優れています」と宣伝している。 しかし、この問題の根本は、10月の日経の記事にも書いたように、この手法が広く使われるようになって、こ
高木浩光@自宅の日記 - 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート
■ 楽天ad4Uの隠しリンクを露出させるユーザスタイルシート 脆弱性を突いてブラウザの閲覧履歴を調べるという禁じ手に手を出した、掟破りの(自称「次世代」)行動ターゲティング広告「楽天ad4U」について、amachangの「IEのinnerHTMLやappendChildで要素が挿入された瞬間を取得する方法」を参考に、その隠しリンクを露出させるユーザスタイルシートを作ってみた。(Internet Explorer用。) #ad4u_list { display: expression(function() { if (!this.__mark) { this.__mark = true; // alert(this.innerHTML); var o = '<div style="overflow:scroll; border:dashed 4px red;">'; o = o + this
yebo blog: DJBによるDNSセキュリティ方式「DNSCurve」
2008/08/31 DJBによるDNSセキュリティ方式「DNSCurve」 qmailやdjbdnsの作者でも有名なDJBこと、Dan Bernstein氏 (Kaminsky氏もDanだ) がDNSのセキュリティ向上を、現状のDNSプロトコルやメッセージ形式の範囲で改善する方法「DNSCurve」を提案している(djbdnsのメーリングリスト)。この方式は、楕円曲線暗号(Curve25519)を使った公開鍵方式を使ったもので、 機密性: クエリと応答の全パケットが暗号化される 完全性: 偽の応答を排除するため、全ての応答を暗号化認証する 可用性: 偽造パケットの高速に見分けて排除する という特徴がある。DNSキャッシュはDNSCurveを実装する必要があるが、DNSサーバについては、DNSCurveを実装するのが難しければDNSCurve forwarderを使う事で対応できる。DNS
Firefox のマルウェア? - えむもじら
先週くだらない事件がありました - 誰かが Firefox に感染するマルウェアを作成したのです。もちろんそれはとてもいやなことですが、多少の混乱があるので、少なくとも何が起こっていて、何が起こっていないかを明らかにしておきたいと思います。 何が起こっているのか? 基本的にソフトウェアが存在する限り、ソフトウェアをこっそりダウンロードさせて隠れた場所にインストールしようとする困った輩が存在します。セキュリティ専門家は異なるタイプを区別するために「ウィルス」「トロイの木馬」「ワーム」「マルウェア」などの名前を使いますが、重要なのはこれらの迷惑なプログラムにだまされると迷惑なことが起こるということです。 今回のケースでは、奴らはハードディスクの中身を消したりすべてのアイコンを逆さまにしたりするのではなく、Firefox を対象にすることに決めました。一度プログラムを動かすとそれは Firefo
高木浩光@自宅の日記 - 公衆無線LANで使うと危ないiPod touchアプリに注意
■ 公衆無線LANで使うと危ないiPod touchアプリに注意 ヨドバシカメラでiPod touchを購入すると公衆無線LANサービスの加入案内が付いてくるように、iPod touchは、公衆無線LANでの使用が奨励されている機器である。 しかし、現状の公衆無線LANサービスは、無線通信の暗号化に用いる鍵が加入者全員で同一のところがほとんどであり(あるいは、暗号化しないところもある)、電波を傍受されて通信内容を読まれる危険性や、気付かないうちに偽アクセスポイントに接続してしまう(そして、通信内容を読まれたり書き換えられたりする)危険性がある。 ただ、現時点では、このリスクはしかたのないものとして受容されており、その代わりに、パスワードや重要な情報を送受信する際には、アプリケーションレベルでの暗号化(SSL等の使用)が必須という考え方になっている。 つまり、Webブラウザを使う場合であれば
Greasemonkeyに成りすまし、Firefoxをターゲットにするマルウェア | スラド セキュリティ
Firefoxのみをターゲットとした、電子バンキングサイトのログイン情報を盗むマルウェアについて、BitDefenderが警告を発している。(参考:プレスリリース・本家記事) マルウェアは「Trojan.PWS.ChromeInject.A」という名前で、Firefoxのアドオンフォルダ上では「Greasemonkey」に成りすましている。Firefoxが起動すると有効になり、JavaScriptでBarclaysやBank of America、PayPalなど、100以上の金融系および電子送金サイトを識別し、登録されているサイトにアクセスするとIDやパスワードなどのログイン情報を盗み、データをロシアのサーバーに送るという仕組みだ。 マルウェアは、ドライブバイダウンロードや別のものと見せかけてダウンロードさせることによって感染するとのことで、Firefoxのアドオンとして登録されているも
クレジットカード時代の終わり - Walk in the Spirit:楽天ブログ
2008年12月05日 クレジットカード時代の終わり (9) カテゴリ:雑感 午前中、昨夜からの熟睡のさなか、 ヨメさんに起こされる、 「電話よ、」 相手:こちら****カード、担当の**です、 私:はい、 相手:昨日、お客様の口座から不正らしき引き出しがあり、確認の電話です、 私:えっ、不正引き出し!? 相手:ソニーエンターテイメント、20万円、スイカ読み取り、3万円、こちらに覚えはございますか、 私:えーー、ナイナイナイ、全然ないすよ、 相手:それでは保険担当から再度、電話させて頂きますのでしばらくお待ちください、 しばらくして、 相手:私、保険支払いを担当しています**です、 私:はーー、 相手:早速ですが、カードははさみを入れて破棄ください、一週間後に新規NOのカードを発行します、お客様の損失額は当社の保険でカバーされます、お客様の使用履歴を見ますと、Yahoo、Softbankな
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なテンプレートシステムはあるのか | 水無月ばけらのえび日記