Evernote XSS事件のエクスプロイトとその対策過程と顛末 | uuu
Evernoteに任意のHTMLを注入できる脆弱性がありました。 http://togetter.com/li/125281 Evernoteのセキュリティポリシーとかには触れず、とりあえず何が可能だったのか、どういう状況だったのかを書きます。 4/18 16時ごろ Evernoteの登録ページのHTMLに以下のような記述があります。 <script type="text/javascript"> $(document).ready(function() { suggestedTags = []; suggestedNotebook = ""; sourceUrl = ""; providerName = ""; payload = { "user" : { ... }, ..後略.. </script> このsourceUrl = ""の部分、https://www.evernote.c
“完璧なWAF”に学ぶWAFの防御戦略 - ockeghem's blog
セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の寄稿の前半は、現状のWAFの課題として、Webアプリケーションに対する攻撃の多く(大半)がWAFのデフォルト設定では防御できないと指摘する。例えばクロスサイト・スクリプティング(XSS)に関しては、以下のような指摘がある。 仮にscriptをブラックリストに指定したとしましょう。それでもまだ不十分です。<IMG>タグでXSSが発動することをご存じでしょうか?プログラムなどでは<IMG>タグは画像添付に必須であり、WAFで禁止することは難しいのが実情で、ブラックリスト方式の課題となっています。 「現状の課題と“完璧なWAF”」より引
Webコンテンツの改ざんを発見する
前回は、社内でWebコンテンツを作成し、サイトにアップロードして管理する場合のGumblar対策を解説した。Webコンテンツの作成を外部に委託している場合もあるだろう。そのような場合、委託先にも社内で作るときと同様のセキュリティ対策を求めることになる。具体的には、委託する場合の仕様書に、前回に説明したWebコンテンツ作成関連端末のぜい弱性対策を必須とする条項を入れることになる。 Webサイトへアップロードする前にコンテンツの安全性をチェック だが、委託仕様書などに従ったた契約における対策は、あくまで保険にしかならず、Gumblarが侵入する可能性に対して万全とはいえない。委託先から、Gumblarに汚染されたコンテンツが納品されてくる場合を想定して、あらかじめ安全なWebコンテンツの受け入れ態勢を作る必要があるだろう。 GumblarによるWeb改ざんの方法は、FTPクライアントのIDとパ
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
ソーシャルサイトでURLの重複チェックをすり抜けるハック | 秋元@サイボウズラボ・プログラマー・ブログ
via reddit 悪用厳禁なハック。Diggなどで新しいニュースを投稿する際に、過去に誰か他の人がまったく同じURLで投稿していると、エラーになってしまうという。 「以前はウケなかったけど自分なら面白い紹介文を書ける」という人は、なんとかしてそのURLをシステムにねじ込みたいかもしれない。そんなときには、サーバやスクリプトエンジンの動きを利用することで、別のURLにして投稿できますよ、というもの。 たとえば、 http://example.com/hoge/ がだめなら、 http://example.com/hoge/./ としてみる。 それから、 http://example.com/hoge/?hoge=hoge などと、無意味なパラメータをつけてみる。パラメータがついても目的のページにアクセスできる場合は、これで重複チェックを飛び越せるというものだ。 メールアドレスもそうだと思
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://tokumaru.org/d/20080722.html
