JSUG Spring Fest 2018の資料です。 OAuth 2.0については始めから解説しています。 Spring Security 5.1のクライアント機能・リソースサーバー機能を紹介しています。認可サーバーはKeycloakです。
はじめに 対象イベント 読み方、使い方 Remote Code Execution(RCE) 親ディレクトリ指定によるopen_basedirのバイパス PHP-FPMのTCPソケット接続によるopen_basedirとdisable_functionsのバイパス JavaのRuntime.execでシェルを実行 Cross-Site Scripting(XSS) nginx環境でHTTPステータスコードが操作できる場合にCSPヘッダーを無効化 GoogleのClosureLibraryサニタイザーのXSS脆弱性 WebのProxy機能を介したService Workerの登録 括弧を使わないXSS /記号を使用せずに遷移先URLを指定 SOME(Same Origin Method Execution)を利用してdocument.writeを順次実行 SQL Injection MySQ
この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XXE) A8 安全でないデシリアライゼーション これらのうち、「A8 安全でないデシリアライゼーション」については、過去に「安全でないデシリアライゼーション(Insecure Deserialization)入門」という記事を書いていますので、そちらを参照ください。 本稿では、XML外部実体参照(以下、XXEと表記)について説明します。 XXEとは XXEは、XMLデータを外部から受け取り解析する際に生じる脆
「XML」「セキュリティ」という単語でWeb検索すると、多くヒットするのはXMLデジタル署名やXML暗号などを説明したWebページです。 本日の日記では、それとはちょっと違うテーマ(XXEと呼ばれる攻撃)について書きます。 脆弱なコードと攻撃方法 さっそく脆弱性があるサンプルプログラムです。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class Test1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRe
株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が外部に流出した可能性があることを確認しましたので、お知らせいたします。 お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。 1. 今回の不正アクセスによる情報流出の状況(下線部を10月26日に更新) お客様のログインID(3,798ID)※1 *このうち、RICOH DriveのログインID(3,429ID)、RICOH SnapChamberに係る解約済みのログインID(369ID)※2※3 *このうち、ログインIDにメールアドレスを設定しているお客様が606件あります。 *お客様の保存ファイル、パスワードなどの流出はございません。(以下に記載する「暗号化したパスワード」を除く) *IDはリコーグループ内での利用を除いた数となります。 ※
2017.11.30 プロフェッショナルサービス事業部 諌山 貴由 先日 OWASP Top 10 - 2017 がついに公開されました。 このOWASP Top 10 とは、OWASP Top Ten Projectが最も重大と考えるセキュリティリスクの Top 10をまとめたものです。変更点はいくつかありますが、今回OWASP Top 10 - 2017 の中にXXE(XML External Entity)がランクインしていました。 XXEを用いた攻撃(以降 XXE攻撃)は、セキュリティ界隈においては、かなり昔から知られている攻撃手法ですが、開発者等にはあまり認知されていないと思われますので、あらためてこのXXE攻撃について解説を行っていきます。 今回触れていない攻撃手法については、またの機会に紹介をしたいと思っています。 XXEとは XXEとは XML External Entit
「XML」「セキュリティ」という単語でWeb検索すると、多くヒットするのはXMLデジタル署名やXML暗号などを説明したWebページです。 本日の日記では、それとはちょっと違うテーマ(XXEと呼ばれる攻撃)について書きます。 脆弱なコードと攻撃方法 さっそく脆弱性があるサンプルプログラムです。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class Test1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRe
もはや PHP まったく書いてないのに PHP 関係のエントリばかりが増えていくというのは奇妙なものですね。 さて、今年の 2 月に Zend Framework より公開された以下のアドバイザリについては皆様すでにチェック済みのことでしょう。 ZF2014-01: Potential XXE/XEE attacks using PHP functions: simplexml_load_*, DOMDocument::loadXML, and xml_parse http://framework.zend.com/security/advisory/ZF2014-01 僕自身は Zend Framework を使っていなかったので、「あーなんか XXE [1] への対策漏れしている場所とかあったのかなー」とかなんとかでよく読まずにスルーしていたのですが、最近になって調べてみたところどうも
Few things are better than a good ethical hacking challenge and what could be more fun than finding a target that can be used against itself? Find out how the Detectify team hacked their way to read access to Google’s production servers. To stay on top on the latest security alerts we often spend time on bug bounties and CTFs. When we were discussing the challenge for the weekend, Mathias got an i
以前、属性値でのXXE(Xml eXternal Entity)攻撃を試したのですが、やり方がよく判りませんでした。 最近また試してみて、属性値での攻撃方法が判ったので日記に書いてみます。 Servletプログラム 以下のようなJava Servletプログラムをサーバに置きます。 import java.io.*; import javax.servlet.*; import javax.servlet.http.*; import org.w3c.dom.*; import org.apache.xerces.parsers.*; import org.xml.sax.*; public class AttrTest1 extends HttpServlet { public void service(HttpServletRequest request, HttpServletRes
Thank you for visiting OWASP.org. We have migrated our community to a new web platform and regretably the content for this page needed to be programmatically ported from its previous wiki page. There’s still some work to be done. NVD Categorization CWE-611: Improper Restriction of XML External Entity Reference: The software processes an XML document that can contain XML entities with URIs that res
XXE攻撃 基本編ではXXE攻撃ついて基礎となる説明を行いました。 今回は、前回の記事では取り上げなかったXXE攻撃にスポットをあてます。 また、脆弱性の診断や検証を行っていると、脆弱性が存在するにもかかわらずうまく攻撃が成功しないケースをよく経験します。 このようなときに障害となる問題をどのように解決をおこなっているかの過程についてもあわせて説明します。 XXE攻撃 基本編を読まれていない方はまずはこちらを一読ください。 パラメータ実体参照とは XXE攻撃 基本編では以下の2種類の実体参照について説明しました。 <!DOCTYPE name [ <!ENTITY nf "test"> <!ENTITY nl SYSTEM "external_file.xml"> ]> <name><first>&nf;</first><last>&nl;</last></name> 上記のようにXML内
以前の日記では、外部からのXMLをサーバサイドでParseするアプリへの攻撃の概要について書きました。 今日の日記では、何点か補足する事項について書きます。 ファイルの内容を盗み出す他の方法 前の日記の中で、サーバ上のファイルの内容を外部から盗み出すにはいくつかの条件があると書きました。 その条件のひとつに「コーディングのスタイル」がある、具体的には「textContent」で要素の内容を取得するアプリ(下のPHPコードではAのスタイルのアプリ)でのみ、サーバ上のファイルの内容を盗まれる可能性がある、と書きました。 <?php ... $elm = $doc->getElementsByTagName('test')->item(0); // A: 外部実体参照が展開される $var = $elm->textContent; // B: 外部実体参照は展開されない $var = $elm-
Private content!This content has been marked as private by the uploader.
Introduction Index Alphabetical Index ASVS Index MASVS Index Proactive Controls Index Top 10 Cheatsheets XML External Entity Prevention Cheat Sheet¶ Introduction¶ An XML eXternal Entity injection (XXE), which is now part of the OWASP Top 10 via the point A4, is attack against applications that parse XML input. This issue is referenced in the ID 611 in the Common Weakness Enumeration referential. A
XXE#Valid use case#This is a non-malicious example of how external entities are used: <?xml version="1.0" standalone="no" ?> <!DOCTYPE copyright [ <!ELEMENT copyright (#PCDATA)> <!ENTITY c SYSTEM "http://www.xmlwriter.net/copyright.xml"> ]> <copyright>&c;</copyright> Resource: https://xmlwriter.net/xml_guide/entity_declaration.shtml Testing methodology#Once you’ve intercepted the POST to the vulne
Beyond Security simplifies network and application security testing. BeSTORM is a black box fuzzer, a method of dynamic application security testing, that uncovers unknown security weaknesses during the product development stage, so fixes can be made before a product is launched. This chaos testing style requires no source code to run and offers more than 250 pre-built protocols and modules or the
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く