ハッカージャパンに連載開始しました
ハッカージャパンの7月号から、2013年 07月号から、「基礎から学ぶWebアプリケーションの脆弱性入門」という連載を開始しましたので報告します。6月11日発売ということですで、入手可能だと思います。 ハッカージャパン誌から連載の打診をいただいた時、ハッカージャパン誌の性格上マニアックな内容を期待されているのかと思ったのですが、入門的な内容をと言うことでしたので、前述のようなタイトルとなっています。 単にSQLインジェクションとは…、XSSとは…では新味がないので、読者が漠然と感じているであろう素朴な疑問にできるだけ答えるようにしたいと考えています。以下は、見出しの一部です(全部ではありません)。 脆弱性とは何だろう?グレーゾーンの脆弱性入力か、出力か、それが問題だサニタイズとWebアプリケーションセキュリティの黒歴史前述のように、あくまで入門的な内容ではあるのですが、「私は今ハッカージャ
一般的な脆弱性とアプリケーション要件としての脆弱性
脆弱性には2種類あります。 一般的に要求される最低限のセキュリティ水準を満たさない場合アプリケーション要件として規定しているセキュリティ機能が、要件を満たしていない場合たとえば、パスワードリセットするのに、(a)秘密の質問に対する答えを知っている、(b)あらかじめ登録したメールへの送信文を読める、の両方が必要という要件に対して、実際には片方だけでリセットできたとすると、「アプリケーションの要件を満たさない」という意味では脆弱性ですが、一般的な要求水準は満たしているので、「一般的には許容されるレベルだが、本来のセキュリティ機能を満足していない」という意味で「軽微な脆弱性」となります。 一方、個人情報入力フォームがSSL暗号化していない場合、「最低限の水準」を満たしていないとはいえないので一般的には脆弱性ではありませんが、プライバシーポリシー等に「個人情報は暗号化して送信されます」などと書いて
祝:名著「金床本」のKindle対応
紙の本について、かつてこう書きました。 本を手にとって最初に思うことは、その大部さである。いまどき、箱入り、ハードカバーで494ページもあり、ずしりとした手ごたえを感じる。日常のリファレンスや満員電車のお供にするのであれば、もっと軽薄短小であって欲しいと思うところだが、本書の場合そうではない。その理由は後述する。 【中略】 繰り返すが、本書は初心者向けの解説では決してなく、上級者が自身の楽しみに読むのが正しいと思う。であれば、箱入りであるとかハードカバーであることは決してデメリットではない。楽しい読み物として末永く楽しむべき本には、それにふさわしい体裁があるというものである。 書評 - ウェブアプリケーションセキュリティより こう書いたものの、やはり手元で「あれ、これはどうだっけ」と調べるには、電子書籍だと便利ですね。それに、紙の本が4,830円であるのに対して、Kindle版は2,800
なりすまし犯行予告に悪用可能なWebアプリケーション脆弱性
なりすまし犯行予告が話題になっています。現在問題になっているものは、マルウェアが使われているようですが、それ以外に、無線LANの乗っ取りや、Webアプリケーションの脆弱性悪用などの手法があります。NHKの報道では、クロスサイトリクエストフォージェリ(CSRF)脆弱性が、過去に悪用された事例が紹介されています(ただしmixiの例と思われます)。 また、3つ目として、利用者からの投稿を受け付ける掲示板側にセキュリティー上の欠陥があった場合、利用者がウイルスに感染しなくても、書き込みをされるおそれがあります。 このうち、CSRF=クロスサイトリクエストフォージェリと呼ばれる攻撃手法では、利用者に攻撃者が用意したホームページのリンクをクリックさせただけで、別の掲示板に文章を投稿させることが可能だということです。 この場合、利用者はクリックしただけなので、文章を投稿したことにはほとんど気付かないとい
Gmailの成りすまし事件、傾向と対策
池田信夫氏のGmailアカウントがハックされて、寸借詐欺メールが送信されたようです。 Gmailの振り込め詐欺にご注意池田信夫、自らのメールアカウントを乗っ取られ今日も見事な醜態を晒す私の周囲でも、知人が同種の被害にあっていますので、他人事ではない気がします。池田氏が被害にあった原因は不明のようですが、このエントリではその原因を予想(妄想)し、対策について検討します。 池田氏の主張:twitter連携アプリからの漏洩池田氏は自らのブログエントリで以下のように主張しています。 Gmailのパスワードを知らせたことはないのですが、ツイッターと共通にしていたため、「連携アプリ」を認証するときパスワードを入力します。これはシステム側に通知されないことになっていますが、悪意をもって偽装することは容易です。かなりあやしげなアプリも含めて20ぐらい使っていたので、そこから推測してGmailにログインされ
TポイントツールバーのWEB閲覧履歴を開示請求した
Tポイントツールバーが収集したWEB閲覧履歴の開示請求ができることを8月19日(日)知りました。届出書は以下からダウンロードできます。 (A)『個人情報保護法に基づく請求』に用いる届出書 Ⅳ(開示請求:TポイントツールバーWEB閲覧履歴専用) これに記入(Tカード番号、住所、氏名などの個人情報)して、本人確認書類のコピーを添えて簡易書留で郵送すれば、開示されると理解しました。料金は不要です。一方、削除請求というのもありますが、8月31日(金)付けで削除されたということなので、現時点でこれを使う機会はなさそうです。 私は、Tポイントツールバーを導入してWEB閲覧をしていましたので、開示請求をして、どのような形で閲覧履歴が開示されるかを見てみたいと思いました。幸い、以下のように試すのは容易なようでした。 必要事項を書くだけで事務的に開示されるようで請求側の心理的負担が少ない例えば、開示理由を書
pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - ockeghemのtumblr
アノニマス匿名のハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。(注:当初anonymous hackersをアノニマスハッカーと訳していましたが、ここは「匿名の」という意味ですね。訂正します) 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。ところが重複がかなりあり、ユニークなID:パスワードの組み合わせだと、34,069に減少します。さらに、「同一ユーザ名でパスワードが異なる」組み合わせが6個ありました。
第1回メルマガ配信予告(無料です)
かねてご案内しておりましたHASHコンサルティングのメールマガジンですが、第1回配信内容を以下のように予定しております。 配信日は、うまくいけば(徳丸の記事執筆が順調であれば)、明日(4月27日)の予定です。 解説コラム「日本3大SNSのログイン画面について、SSL利用状況を検証する」JavaScript入門書の脆弱性自伝「第1回 ブログが全ての始まりだった」記事広告「徳丸に仕事を依頼するには」メルマガの説明・登録はこちらから、無料です。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
