安全なウェブサイトの作り方 - 1.5 クロスサイト・スクリプティング 概要 ウェブアプリケーションの中には、検索のキーワードの表示画面や個人情報登録時の確認画面、掲示板、ウェブのログ統計画面等、利用者からの入力内容やHTTPヘッダの情報を処理し、ウェブページとして出力するものがあります。ここで、ウェブページへの出力処理に問題がある場合、そのウェブページにスクリプト等を埋め込まれてしまいます。この問題を「クロスサイト・スクリプティングの脆弱性」と呼び、この問題を悪用した攻撃手法を、「クロスサイト・スクリプティング攻撃」と呼びます。クロスサイト・スクリプティング攻撃の影響は、ウェブサイト自体に対してではなく、そのウェブサイトのページを閲覧している利用者に及びます。 本物サイト上に偽のページが表示される 偽情報の流布による混乱 フィッシング詐欺による重要情報の漏えい 等 ブラウザが保存している

安全なウェブサイトの作り方 - 1.9 クリックジャッキング 概要 ウェブサイトの中には、ログイン機能を設け、ログインしている利用者のみが使用可能な機能を提供しているものがあります。該当する機能がマウス操作のみで使用可能な場合、細工された外部サイトを閲覧し操作することにより、利用者が誤操作し、意図しない機能を実行させられる可能性があります。このような問題を「クリックジャッキングの脆弱性」と呼び、問題を悪用した攻撃を、「クリックジャッキング攻撃」と呼びます。 発生しうる脅威 クリックジャッキング攻撃により、発生しうる脅威は次のとおりです。マウス操作のみで実行可能な処理に限定される点以外は、CSRF攻撃による脅威と同様です。 ログイン後の利用者のみが利用可能なサービスの悪用 利用者が意図しない情報発信、利用者が意図しない退会処理 等 ログイン後の利用者のみが編集可能な設定の変更 利用者情報の公

SAMLの概要 SAMLとは、Security Assertion Markup Languageの略称で、アイデンティティの認証および権限付与機能に基づいて、企業をまたいで安全な通信を可能にする標準規格です。最も多いSAML用途は、アイデンティティプロバイダー（IDP）とサービスプロバイダー（SP）間のシングルサインオン（SSO）機能の実現です。雇用者などのアイデンティティプロバイダーとSaaS企業などのサービスプロバイダーの両方が SAMLを導入すると、アイデンティティプロバイダーで認証されたユーザーがサービスプロバイダーでも認証されてSSOが実現し、シームレスに外部アプリケーションを利用できるようになります。 SaaS Webアプリが普及し、営業担当者向けの顧客関係管理（CRM）から会計担当者向けのインボイスシステムまで様々な分野で従業員の業務効率化が進むようになりました。しかし、い

シングルサインオン（Single Sign-On、SSO）とは、その名の通り、SSOはユーザーが1組の認証情報だけを使って、複数のウェブアプリケーションに一度にアクセスできるようにする機能です。 SSOがなぜ必要なのか？ 人事、給与、コミュニケーションなど業務で利用するアプリケーションが増加することによって、従業員が管理しなければならないIDとパスワードも増大しました。また、管理者にとってもアプリケーションごとにIDやパスワードの管理を行う必要があり、悩みの種となりました。 クラウドアプリケーションをはじめとして、様々なアプリケーションを導入している企業にとって、SSOソリューションは、従業員が1回のログインで各サービスにアクセスできるようにします。これにより、ユーザーは複数のパスワードを覚える必要がなくなるため、仕事がしやすくなり、IT部門がパスワードの再設定に費やす時間も削減できます。

SSLとTLSは、どちらもインターネット上でのウェブブラウザとウェブサーバ間でのデータ通信を暗号化し送受信させる仕組みのことですが、 表記の違いやSSL/TLSと表記されるようになったのには理由があります。このページでわかりやすく説明します。 TLSとは? 「SSL/TLS」と表記される理由 TLS（Transport Layer Security）は、SSL（Secure Sockets Layer）と同じくインターネット上のウェブブラウザとウェブサーバ間でのデータの通信を暗号化し、送受信させる仕組みで、SSLの進化バージョンにあたります。現在「SSL/TLS」と表記されることが多いですが、その理由はこの2つのプロトコルが開発され、発展してきた経緯によるものです。 SSLは米Netscape社が開発しましたが、SSL1.0は脆弱性が発見されたため、製品に実装されることはありませんでした。

はじめに こちらの記事でご紹介したSQLインジェクション脆弱性を持つWebサイトを用意し、AWS WAFで攻撃をブロックしてみました。 CloudFront ディストリビューションの作成 Webディストリビューションを作成します。 試験サイトではHTMLフォームでPOSTを使います。 Allowed HTTP Methodsにて、GET, HEAD, OPTIONS, PUT, POST, PATCH, DELETEを選択します。 CloudFront経由で接続可能なことを確認します。 試験サイトでは、ユーザ名とパスワードを入力することでそのユーザーのメールアドレスを表示します。 パスワードに' OR 'A' = 'Aを指定すると、全てのユーザーのメールアドレスが表示されます。 SQLが意図せず成立し、他のユーザの情報が流出した状況が再現されました。 AWS WAFを設定してみる Get

目次 WAFとは？ WAFの必要性 WAFを導入するときの比較ポイント WAFとファイアウォール（FW）、IPSの違い WAFの種類 WAFの導入なら低コストで多層防御できるNTTPCのクラウドWAFがおすすめ WAFの導入をおすすめしたい企業・事業内容の一例 WAFで防げる攻撃の種類 WAFの仕組み まとめ WAFとは？ WAF（Web Application Firewall、ワフ）はWebアプリケーションの保護に特化したセキュリティ対策です。従来のファイアウォールやIPS/IDSなどのセキュリティ製品では守ることのできない攻撃を検知・遮断し、Webアプリケーションを保護することができます。 WAFの必要性 近年、Webアプリケーションは、他のシステムと連動して動作するなど高度化・複雑化の一途を辿っています。その結果、セキュリティ面の脆弱性が生じ、悪意ある攻撃を受けてしまう可能性が高ま

インターネットを通じたビジネスを行っている企業や情報サービスを提供する企業は、外部からのサイバー攻撃を受けることも多かれ少なかれあるかと思います。サイバー攻撃にも色々種類がありますが、昔から発生しているメジャーな攻撃に「DoS攻撃」と「DDoS攻撃」があります。どちらも「悪意のある第三者によって、WebサイトやWebサービスを構成するサーバーやネットワークに対し、大量のデータを連続して送り続け、利用し辛い状況を作り出すサイバー攻撃」ですが、攻撃内容は少し異なります。 DDoS攻撃と Dos攻撃の違いは？ まず基礎知識としてDoS攻撃について簡単にご説明いたします。 DoS攻撃（Denial of Service attack）は「サービス拒否攻撃」と呼ばれています。攻撃者によってWebサイトやサーバーに対し、不正なデータや大量のパケットを送り付けることで、被害者側のシステムを正常に稼働でき

サイバー攻撃にはさまざまなものがあり、年々悪質化かつ巧妙化しています。その中に、「なりすまし」と呼ばれるものがあります。これは、他人のアカウントなどを使って、自分とは違う他人になりすまして、犯罪行為をはたらくといったものです。 IPアドレスを偽装する「IPスプーフィング」もある意味で、なりすましの一種です。別のIPアドレスに偽装することでさまざまな悪事を働くIPスプーフィングの実態に迫ります。 自分のIPアドレスを偽装、あるいは、偽装して攻撃を行うといったことを「IPスプーフィング」と言います。IPアドレスを偽装することで、たとえば以下のようなことを行います。 WebサイトなどでのIPアドレス制限を突破して攻撃を行う 他人のIPアドレスを使って別人になりすます サイバー攻撃を行う際に、攻撃元の特定を困難になる このように、別のIPアドレスに偽装することで、さまざまな犯罪行為に使われています

近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手：徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ

不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認

もしあなたがセキュリティの専門家だとしても、ボットの緩和問題が解決されたと断定するのは早計かもしれません。 ボットは多大な金銭的被害をもたらします。クレデンシャル スタッフィング ボットはアカウント乗っ取りにつながり、不正転売ボットは製品発売や期間限定発売に大惨事を引き起こし、スクレイパー ボットはパフォーマンスを低下させてインフラストラクチャ コストを増大させ、ギフト カードクラッキング ボットは口座の残高を枯渇させて顧客を絶望のどん底に突き落とします。その影響の規模もさることながら、ボット攻撃は犯罪者にとってもうかる商売なので、オンライン ビジネスに対して攻撃が仕掛けられる可能性は100%に近いと言ってよいでしょう。その影響度と確率の高さゆえ、有効なセキュリティ戦略が必須であることは明らかです。しかしながら、最近のトップニュースでも話題になっているように、攻撃者は相変わらず、広く展開さ

note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat

最近質問サイト等でCORS(Cross-Origin Resource Sharing)に関する質問が急増していますが、その多くがCORSの原理をまったく理解せずに、とにかくCORSの制限を回避して動かす方法を求めるように見受けます。しかし、CORSはブラウザのセキュリティ機能なので、原理を知らないまま「動けばよい」ことを求めると重大な脆弱性の原因になりかねません。この動画では、CORSの原理、特に「なぜCORSはこうなっているのか」にフォーカスして説明します。

ゴールデンウィークのはじめ（4月29日）に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ！スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい！ pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April