Webセキュリティ腕試しサイトを無償公開 | News | 三井物産セキュアディレクション株式会社
三井物産セキュアディレクション株式会社(本社:東京都中央区、代表取締役社長:鈴木大山、以下 MBSD) は、Webセキュリティに関する腕試しサイト「MBSD Secu-cise (セキュサイズ)」を2023年4月24日より無償で一般公開しました。 Webアプリケーションを開発した経験のない初心者の方や、腕に自信がある方、セキュリティに興味のある方など、自身のWebセキュリティに関する技術力を確かめるために無償で利用することができます。腕試し結果はスコアで表示され、他の参加者のスコアと比較することができます。 ■MBSD Secu-ciseの概要 MBSD Secu-ciseはクラウド上に構築された環境となっており、インターネット経由で誰でも参加することが可能です。課題は全7問あり、課題の内容はWebアプリケーション診断の実案件で発生した事象を題材にしています。 ■開発者の想い この度公開さ
JavaのNULLバイトインジェクション | 技術者ブログ | 三井物産セキュアディレクション株式会社
先日(2022年8月)、Gitコード管理ツールであるBitbucketのコマンド実行脆弱性(CVE-2022-36804)が修正されました。 開発ベンダからは以下のアドバイザリが公開されています。 https://ja.confluence.atlassian.com/bitbucketserver/bitbucket-server-and-data-center-advisory-2022-08-24-1155489835.html その後、脆弱性の発見者であるMaxwell Garrett氏が、脆弱性の詳細や発見の経緯などを書いた記事を公開しています。 https://blog.assetnote.io/2022/09/14/rce-in-bitbucket-server/ 脆弱性の内容については氏の記事でほぼ網羅されていますが、今回のブログでは、あらためて脆弱性の概要と、氏の記事では
SOCアナリストによるWAF解説 | 技術者ブログ | 三井物産セキュアディレクション株式会社
今回は、WAF(Web Application Firewall)についてご紹介したいと思います。 WAFの解説サイトは多くありますが、WAFは、理論としては分かっていても、実際に触ってみないと具体的にどういったものなのか分かりづらい製品かと思います。弊社のWAFを検討されているお客様からも「WAFとIPSの違いがいまいち分からない」といった声をよく頂きます。 そこで、 WAFの具体的な仕組み、製品の種類/特長、チューニング、WAFの効果について、 SOCベンダーの観点も交えてご紹介します。 WAFの対象範囲 まずは一般的な説明からとなってしまいますが、Webアプリケーションを外部からの攻撃から守るためのセキュリティ製品は、主に、ファイアウォール、IPS、WAFが挙げられます。それぞれ、役割・対象範囲が異なっています。 図1.各機器の対象レイヤー/プロトコル例 ファイアウォールは、機能とし
プロセス情報をデタラメにする攻撃「Process Herpaderping」の内部構造を紐解く | 技術者ブログ | 三井物産セキュアディレクション株式会社
早速ですが、まずは以下の図1をご覧ください。 真ん中にメッセージボックスが表示されていますが、このメッセージボックスを表示するプロセスがどこから起動しているのか、つまり、実体EXEファイルの場所がこの図からわかるでしょうか? 図 1 プロセス情報がデタラメになっている様子 図1では、Process ExplorerやProcess Hackerで見る限り、プロセス名は「こんばんは!★」(拡張子なし)となっています。各ツールで表示されたプロセスのプロパティ情報を見ると、Process Explorerでは実体の場所がExplorer.exeであるかのように見えてしまっています。 一方でProcess Hackerでは、メッセージボックスのプロセスがMicrosoftの有効なデジタル署名を持っているかのように見えており、実体の場所が「こんばんは!★」を指しているように見えます。 では該当の「こ
お探しのページが見つかりませんでした|三井物産セキュアディレクション株式会社
たいへん申し訳ございませんが、お客様のアクセスしたページ(URL)を見つけることができませんでした。 お客様がお探しのページ(URL)は、サイトリニューアルに伴い変更したページの可能性がございます。 恐れ入りますが、下記サイトマップより該当する内容をお探しください。
Webアプリスキャナ - XSS診断機能の紹介 | 技術者ブログ | 三井物産セキュアディレクション株式会社
弊社では(既製の製品ではなく)独自開発したWebアプリスキャナを使用しており、品質や作業効率の向上のため、そのツールを毎年少しずつ改善させています(開発には主に筆者があたっています)。 本記事では、今年(2020年)の4~6月に開発した「XSSのトドメを刺す」機能について簡単に紹介します。 機能の概要 XSSの「トドメを刺す」というのは、ちゃんとJavaScriptが動作しそうな値を自動で生成して送り、それが本当に動きそうかを自動で確認することを指しています。 トドメ機能が実現する前は、記号等が含まれる値を送信し、それが反射する箇所の文脈(コンテキスト)の情報と、出力に施されるエンコードやフィルタの情報だけをもって脆弱性の有無を判断していました。例えば、通常の要素内容テキストにパラメータの値が反射するケースで言えば、基本的にツールが確認するのは「<」が反射するか否かまでで、実際に有意なタグ
OWASP Global AppSec DC 2019 参加報告 | MBSD Blog
9月12~13日に米国ワシントンDCで開かれたOWASPカンファレンスに参加しました。OWASPのカンファレンスにはRegionalとGlobalの2種類がありますが、今回参加したのは年に数回開かれるGlobalの一つで、世界中からWebセキュリティの研究者が会して発表を行う場です。 以下、筆者が参加した初日のセッションについて簡単に報告します。 ※ 各セッションの公式ページのURLを記していますが、そこにはスライドへのリンクはありません。スライドのURLが分かるものは、別途そのURLを記しています。 ■ A Structured Code Audit Approach to Find Flaws in Highly Audited Webapps https://globalappsecdc2019.sched.com/event/SJrY/a-structured-code-audit
Black Hat USA 2019 参加報告(Web編) | 技術者ブログ | 三井物産セキュアディレクション株式会社
8/7~8にラスベガスで開催されたBlack Hat USAに参加してきました。筆者が参加したのは2016, 2017に引き続き3度目です(ブログ記事 2016年、2017年)。今年もWeb関連のブリーフィングを中心に報告します。 ■HTTP Desync Attacks: Smashing into the Cell Next Door https://www.blackhat.com/us-19/briefings/schedule/#http-desync-attacks-smashing-into-the-cell-next-door-15153 Burpの開発元であるPortSwigger社のJames Kettle氏の講演です。 発表した攻撃は、フロントエンドにプロキシなどが存在する場合に成立しえます。 図のように、フロントからバックのWebサーバへの接続には複数のHTTPリク
ブラウザのXSSフィルタを利用した情報窃取攻撃 | 技術者ブログ | 三井物産セキュアディレクション株式会社
(English version is available here) 今回はブラウザのXSSフィルタへの攻撃を取り上げます。 XSSフィルタはブラウザに内蔵されたセキュリティ機能です。WebアプリケーションにXSS脆弱性がある場合に、それが実際に攻略されるリスクを減らしてくれます。 一般にXSSフィルタは「ベストエフォート型の補助的対策(best-effort second line of defense)」と位置付けられています。つまりXSSフィルタは「根本的な対策」ではなく、100%の攻撃をブロックすることはそもそも期待されていません。「根本的対策」は従来から言われているWebアプリケーションにおけるXSS対策です。 ここで簡単にXSSフィルタの歴史を振り返ってみましょう。最初のブラウザのXSSフィルタは、Microsoftが2008年にIE8に実装したものです。その後すぐにWebK
ヘッドレスブラウザとSSRF | 技術者ブログ | 三井物産セキュアディレクション株式会社
ヘッドレスブラウザは、サーバ環境などでHTMLをレンダリングするためにバックグラウンドで動作させるブラウザです。 筆者も昨年診断ツールに組み込んだのを契機に使用し始めました。使ってみるとなかなか面白いので、今年は社内での学習用の「やられサイト」にも組み込んでみました。今回はこのやられサイトを題材にして、ヘッドレスブラウザとSSRF(Server-side request forgery)について書きます。 やられサイトの概要 開発したやられサイトは簡単なブックマークサイトです。ユーザがURLを入力すると、そのスクリーンショット画像をヘッドレスブラウザで取得して、ユーザが付けたコメントなどの付加情報とともに保存します。 下図はヘッドレスブラウザに関連する部分の構成です。 図のとおりNode.jsのPuppeteerを使用しており、バックエンドのブラウザエンジンはChromiumです。性能向上
ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩 | 技術者ブログ | 三井物産セキュアディレクション株式会社
Webサイトの診断でImageMagickを使ったアップロード画像の処理を見ることがあります。診断の結果、特有の興味深い挙動が見つかることもあるため、今回時間を取って検証してみました。 その結果を3回に分けて記事にします。1回目の本記事では、既知の脆弱性、システム情報の漏洩の問題を取り上げます。2回目はDoS、最後の3回目はアクセス制御やXSSを中心としたいわゆるWebアプリのセキュリティを取り上げます。 検証ではRailsとCarrierWaveを使ったWebアプリを使用しました(詳細は末尾)。CarrierWaveはRailsなどで古くから使われているファイルアップロード処理用のgemライブラリです。これらを選んだのは、筆者の経験上、ImageMagickとともに使われていることが多く、また挙動が特徴的だからです。 以下では、ImageMagickの概要と、CarrierWaveの基本
Burp Suite Japan LT Carnivalイベントレポート
Burp Suite Japan LT Carnivalイベントレポート 2018.07.13 プロフェッショナルサービス事業部 洲崎 俊 皆さんこんにちは、私は、MBSDに所属する『とある診断員』の洲崎と申します!今回は、7/5に開催されたBurp Suite Japan LT Carnivalというイベントの内容を弊社ブログにてレポートいたします。 Burp Suiteというツールを知っていますか? 皆さんはBurp Suiteというツールをご存知でしょうか?Burp SuiteとはPortSwigger社が開発している脆弱性診断ツールであり、「ローカルプロキシ」と呼ばれる機能を持ったソフトウェアの一つです。 ローカルプロキシとはその名の通りクライアントのLocal環境で動作するプロキシのことで、このソフトウェアを利用することで、HTTPプロトコルの通信内容の詳細を確認したり、通信内容
XXE 応用編 | 技術者ブログ | 三井物産セキュアディレクション株式会社
XXE攻撃 基本編ではXXE攻撃ついて基礎となる説明を行いました。 今回は、前回の記事では取り上げなかったXXE攻撃にスポットをあてます。 また、脆弱性の診断や検証を行っていると、脆弱性が存在するにもかかわらずうまく攻撃が成功しないケースをよく経験します。 このようなときに障害となる問題をどのように解決をおこなっているかの過程についてもあわせて説明します。 XXE攻撃 基本編を読まれていない方はまずはこちらを一読ください。 パラメータ実体参照とは XXE攻撃 基本編では以下の2種類の実体参照について説明しました。 <!DOCTYPE name [ <!ENTITY nf "test"> <!ENTITY nl SYSTEM "external_file.xml"> ]> <name><first>&nf;</first><last>&nl;</last></name> 上記のようにXML内
XXE攻撃 基本編 | MBSD Blog
2017.11.30 プロフェッショナルサービス事業部 諌山 貴由 先日 OWASP Top 10 - 2017 がついに公開されました。 このOWASP Top 10 とは、OWASP Top Ten Projectが最も重大と考えるセキュリティリスクの Top 10をまとめたものです。変更点はいくつかありますが、今回OWASP Top 10 - 2017 の中にXXE(XML External Entity)がランクインしていました。 XXEを用いた攻撃(以降 XXE攻撃)は、セキュリティ界隈においては、かなり昔から知られている攻撃手法ですが、開発者等にはあまり認知されていないと思われますので、あらためてこのXXE攻撃について解説を行っていきます。 今回触れていない攻撃手法については、またの機会に紹介をしたいと思っています。 XXEとは XXEとは XML External Entit
Apache HTTP Serverのバージョンを当てる方法 | MBSD Blog
2017.09.04 プロフェッショナルサービス事業部 米山 俊嗣 セキュリティ診断(Webアプリケーション診断やネットワーク診断)の結果、バナーに表示されたバージョンを隠しましょう、TRACEメソッドを無効にしましょうなどの報告をすることがあります。これらの設定は、サーバを構築する上での”お作法”ではあると考えていますが、この”お作法”を行ったから大丈夫というわけではありません。 今回はこのような設定を行っても、バージョンは特定できるものなので、やはり、パッチはしっかりと当てましょうというお話になります。 さて、Apache httpd 2.2.XはEOLが2017年12月と発表されており、2.2.34が最終バージョンになる可能性が高く、このタイミングで、リプレースやバージョンアップを考えている方もいらっしゃると思います。既に運用中のシステムで何か変えることは色々と難しいと思いますが、リ
Burp拡張を作ろう - PassiveScan編 | MBSD Blog
2017.08.30 プロフェッショナルサービス事業部 諌山 貴由 みなさん、Burp suiteライフをいかがお過ごしでしょうか? 以前にBurp拡張を作ろうという記事を書かせていただきました。 今回は、Burp suite の Extensionをつかって脆弱性スキャナの実装を作成してみます。Extensionを作成するための基礎的な知識がない場合は、前回の記事を適宜参照していただければと思います。 脆弱性スキャン方式にはPassiveScanとActiveScanの2種類がありますが、まずはこのスキャン方法の違いを説明します。 PassiveScan 受動的なスキャン方式で、送信リクエストに手を加えることをせずに、送信リクエストやレスポンスの内容をもとに判断を行うスキャンになります。 Webサーバに影響を与えることのない安全なスキャンが可能です。 ActiveScan 能動的なスキャ
Black Hat USA 2017 & Defcon 25 参加報告(Web編) | MBSD Blog
2017.08.03 プロフェッショナルサービス事業部 寺田 健 米山 俊嗣 夏のセキュリティカンファレンスと言えば…、皆さん何が思い浮かぶでしょうか? Black Hat USA・Defconですよね(きっと)。MBSDのプロフェッショナル事業部からは、今年も複数メンバがこれらのカンファレンスに参加してきました。 例年通り様々な分野の発表があったのですが、この記事では(執筆者の趣味により)「Web系」の発表に焦点をあてて、その概要を紹介したいと思います。 ■Cracking the Lens: Targeting HTTP's Hidden Attack Surface PortSwigger(Burpの開発会社)のJames Kettle氏による発表です。 クライアントとWebサーバの間にある「見えないシステム」(リバースプロキシ、ロードバランサ、解析システムなど)の発見と、それらへの
機械学習でWebアプリの脆弱性を見つける - Reflected XSS 編 - | 技術者ブログ | 三井物産セキュアディレクション株式会社
1. はじめに 今年3月、Black Hat ASIA Arsenalに診断AI「SAIVS」を出展した際、訪問者から「機械学習を使って自動でWebアプリの脆弱性は検出できないか?」という要望を複数受けました。今回はこのご要望にお応えすべく、SAIVSに「機械学習でWebアプリの脆弱性を見つける」能力を追加しましたので、そのアイデアとデモを紹介したいと思います。 今回のアイデアは下記の実現を目標にしています。 「少ない手数で脆弱性を検出する。」 多数のシグネチャ(脆弱性の検査パターン)を総当たりで試行するのではなく、検査対象のWebアプリの挙動を見ながら少ない試行(理想は1回)で脆弱性を検出することを目指しています。 なお、Webアプリの脆弱性と言っても多種多様ですが、今回は「Reflected Cross Site Scripting(以下、RXSS)」を対象にします。また、RXSSも単
Burp Suite拡張を作ろう | MBSD Blog
2016.09.14 プロフェッショナルサービス事業部 諌山 貴由 Web診断に欠かせないWeb Proxyツールとして、Burp Suite、Fidder、OWASP ZAP等があります。 それぞれのツールには一長一短があり、どのツールがよいかという点については意見が分かれるかとは思いますが、 弊社の診断メンバーは圧倒的にBurp Suiteの利用者が多いといえます。これには診断の教育コストの面もありますが、 それとは別にBurp Suiteにはマニアックな機能が多く、これらの一部の機能が診断にとって欠かせなくなっている面があるかと思います。しかしながらBurp Suiteを使い始めた人にとっては、うまく利用することができずに挫折してしまう人も多いとも感じています。最近では、Burp Suiteの日本ユーザ会も発足しており、日本語での情報が入手しやすくなっているため、もっと利用者が増えて
機械学習を用いた診断AIの概要 | 技術者ブログ | 三井物産セキュアディレクション株式会社
1. はじめに 先日、某セキュリティ系の勉強会で「AIにWebアプリケーション診断をさせてみる」と題し、Webアプリケーション診断(以下、Webアプリ診断)を行う人工知能(以下、診断AI)のデモを行ったところ、意外にも好評でしたので、本Blogで少し深堀したいと思います。 なお、本Blogでは機械学習アルゴリズムにも触れますが、これらの詳細な解説は行っておりません。機械学習アルゴリズムの詳細については、「6.参考文献」に示した書籍やWebサイトで解説されておりますので、そちらでご確認いただければ幸いです。 それでは、診断AIの概要について解説を始めます。 2. 最終目標 以下の動作を実現できる「診断AI」を目指して開発を進めています。 「人間の診断員と同じように、診断対象のWebアプリをクローリングしながら診断を行い、発見した脆弱性を開発者、または、サイトオーナに報告することができる。」
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
