PHPアプリの脆弱性をつくボット? - Blog::koyhoge::Tech
私が管理しているWebサーバのログに、PHPアプリの脆弱性を狙ってアクセスしてきているらしいボットの形跡がありました。約1秒の間に、以下のURLを連続してGETしています。 /a1b2c3d4e5f6g7h8i9/nonexistentfile.php /adxmlrpc.php /adserver/adxmlrpc.php /phpAdsNew/adxmlrpc.php /phpadsnew/adxmlrpc.php /phpads/adxmlrpc.php /Ads/adxmlrpc.php /ads/adxmlrpc.php /xmlrpc.php /xmlrpc/xmlrpc.php /xmlsrv/xmlrpc.php /blog/xmlrpc.php /drupal/xmlrpc.php /community/xmlrpc.php /blogs/xmlrpc.php /blog
[CRYPTO-GRAM日本語版]JavaScriptハイジャッキング
JavaScriptハイジャッキングは,AjaxスタイルのWebアプリケーションを狙う新手の盗聴攻撃である。Ajaxコードに的を絞った初めての攻撃と断言してもいいだろう。この攻撃が可能なのは,WebブラウザがHTMLほどにはJavaScriptを保護しないからだ。WebアプリケーションがJavaScriptによるメッセージで機密データを送信すると,場合によってはこのメッセージが攻撃者に読み取られてしまう。 人気の高いAjaxプログラミング・フレームワークの多くは,JavaScriptハイジャッキングを防ぐ手立てを持たない。実際のところ,うまく機能させることを優先して,ぜい弱性を抱えたWebアプリケーションを構築するようにプログラマに“要求”しているものもあるのだ。 似たような多くのぜい弱性と同じく,この手の攻撃は容易に防げる。大抵は,わずか数行のコードを加えるだけで済む。また,ソフトウエア
![[CRYPTO-GRAM日本語版]JavaScriptハイジャッキング](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
33. ブルートフォース攻撃の恐怖
hydraを使ってftp・ログインフォームのアカウントをクラックしましょう。開発者だけではなく、Webアプリケーション利用者もどんなに簡単にクラックされてしまうかを恐怖しましょう。 恐ろしくなってみないとセキュリティの意識は高まりません。 但し、このhydraを使って他人のサイトへ攻撃を試みると、不正アクセスと見な されますので自分のアプリケーションでチェックしてみてください。 1、まずはhydraのソースをdownloadして解凍します THC > http://www.thc.org/ tar xzf hydra-5.3-src.tar.gz 2、インストールします cd hydra-5.3-src ./configure make make install 3、アカウントファイルを用意します userlist.txt administrator anonymous corporate
被はてなブックマーク画像表示ページにXSS攻撃してみる。 - ぎじゅっやさん
HTML, Webサービス, API, はてなブックマーク 09:05:12, by dozo , 168 words, 7839 views インジェクション系は軽く見てる人ほどかかりやすい。 (ノ・・)ン。。。。。。(((●コロコロッ 「dozoさんはブックマーク数表示しないんですか?(・ω・)」 「うん。XSS攻撃されるのがいやだから。(・∀・)」 「・・・(゜Д゜)」 アレ?(・ω・) オレなんか変なこと言ったか? オレの中では常識だったんだが。。 うちのサイトはb2evolution。 動的にページを生成するサイトである。 index.php以下はpathinfoのパラメータなので自由に記述ができる。 逆に言えばいつでも攻撃の対象となるわけで、 うっかりescapeし忘れるとあっという間にやられてしまうわけである。 被
サービス終了のお知らせ
平素より「PHPプロ!」をご愛顧いただき、誠にありがとうございます。 2006年より運営してまいりました「PHPプロ!」ですが、サービスの利用状況を鑑みまして、2018年9月25日(火曜日)をもちましてサービスを終了させていただくことになりました。 サービス終了に伴いまして、2018年8月28日(火曜日)を持ちまして、新規会員登録ならびにQ&A掲示板への新たな質問、回答の投稿を停止させていただきます。 なお、ご登録いただいた皆様の個人情報につきましては、サービス終了後、弊社が責任をもって消去いたします。 これまで多くの皆様にご利用をいただきまして、誠にありがとうございました。 サービス終了に伴い、皆様にはご不便をおかけいたしますこと、心よりお詫び申し上げます。 本件に関するお問い合わせはこちらよりお願いいたします。
TripleTail - みかログ
うちの会社で使っていた自社フレームワークをリファインしたものがようやく公開. http://tripletail.jp/ 公開用作り直す際に,今まで変えられなかったところもいろいろ直せたのが良い感じ. 少しは流行るといいなぁ,とは思っているけど,Perlハッカーレベルの人にはあまり受けが良くない気がする(^^; Railsとかと違って特別楽しそうな機能とかは無いし,基本的な機能重視という感じだから... その分初心者にはとっつきやすいと思うけどね. でもPerlの下位互換性の良さもあって,互換性の高さだけはほかに負けないと思う. 進化が激しそうなWebアプリでも,3年とか5年とか使い続けるお客さんもいたりするので,互換性は重要... PHPはまぁぼろぼろだとして,Javaもフレームワークとか使うと,フレームワーク自体が終了したりとかあるようなので. その辺は自社で用意しておくと強い気がする
インジェクション系攻撃への防御の鉄則
前回までは,主にクロスサイト・スクリプティングのぜい弱性とその対策について解説してきた。最終回となる今回は,クロスサイト・スクリプティング以外の「インジェクション系」ぜい弱性について解説する。具体的には,SQLインジェクション,OSコマンド・インジェクション,HTTPヘッダー・インジェクション,そしてメールの第三者中継である。 SQLインジェクション対策にはバインド変数の利用が最適 まず,SQLインジェクションから見ていこう。対策には二つの方法がある。一つは,SQLの「バインド変数(注1)」を使う方法である。バインド変数の書式はプログラミング言語によって異なるが,一例として,Perlを使った場合に,パスワード認証のSQLをバインド変数で書き換えた例を示す(図1)。 (注1) 「準備された文(Prepared Statement)」というのがJIS SQLでの用語だがあまり普及していない。バ
Twitterとソーシャルハッキング - www.textfile.org
http://twitter.g.hatena.ne.jp/worris/20070417 あるサイトのパスワードを別サイトに渡すという話題。 「いちいち異なるパスワードにするのは現実的でないからなぁ。」と書かれていますが、みなさんパスワードって頭で覚えているんでしょうか。結城はサイトごとに別のパスワード使っていますね。頭で記憶できるパスワードはもともと安全ではないと思っているので、適当なメッセージダイジェスト関数を使って作ったランダム文字列をメモしています。 たとえば↓のようなの(実際に結城が使っているものではありません)。 C:\work> type make_password.pl use Digest::SHA1 qw(sha1_base64); print sha1_base64(<STDIN>); C:\work> perl make_password.pl jw9834i5j
PHP最新版のRPMを提供するサービス,Suhosin適用のセキュリティ強化版も
アシアルは,PHPでアプリケーションを開発する会社向けのサポート・サービス「PHPトータルサポートサービス」を開始した。PHP最新版のRPMを提供するほか,セミナー,PDFによるオンラインマガジン「PHPプロ!」を含む。 最新版のRPMは,通常のPHPのほか,PHPのセキュリティを強化するSuhosinパッチを適用したものを提供する。対象ディストリビューションはRed Hat Enterprise Linux v.4 (i386版),CentOS 4 (i386版)。現時点でのPHPのバージョンは5.2.1および4.4.6。 セミナーは月1回程度開催しており,オンラインマガジン「PHPプロ!」は年4回発行している。 「PHPトータルサポートサービス」の価格は6カ月3万5000円,年間6万0000円。
Firefox向けのRSSリーダーに脆弱性
Firefoxブラウザ向けの「Wizz RSS News Reader」に脆弱性が発覚。問題を修正したバージョン2.1.9がリリースされた。 Firefoxブラウザの拡張機能「Wizz RSS News Reader」に脆弱性が見つかった。悪用されるとシステムを完全に制御される恐れがあるという。 仏FrSIRTのアドバイザリーによると、脆弱性はRSSフィードの処理に関する入力認証エラーが原因で発生する。攻撃者は細工を施したWebページをユーザーに閲覧させることにより、任意のコードを実行することが可能になる。 FrSIRTの危険度評価は4段階で上から2番目に高い「High Risk」となっている。影響を受けるのはWizz RSS News Readerのバージョン2.x。この問題を修正したバージョン2.1.9は既にリリースされており、Firefoxのアドオンページから入手できる。
まだまだあるクロスサイト・スクリプティング攻撃法
前回はクロスサイト・スクリプティングのぜい弱性を突く攻撃の対策としてのHTMLエンコードの有効性を述べた。ただ,HTMLエンコードだけではクロスサイト・スクリプティング攻撃を完全に防御することはできない。そこで今回は,HTMLエンコードで対処できないタイプのクロスサイト・スクリプティング攻撃の手口と,その対策について解説する。 HTMLエンコードで対処できない攻撃には,次のようなものがある。 タグ文字の入力を許容している場合(Webメール,ブログなど) CSS(カスケーディング・スタイルシート)の入力を許容している場合(ブログなど) 文字コードを明示していないケースでUTF-7文字コードによるクロスサイト・スクリプティング <SCRIPT>の内容を動的に生成している場合 AタグなどのURLを動的に生成している場合注) 以下では,HTMLタグやCSSの入力を許容している場合と,文字コードを明
T.Teradaの日記 HTML Purifierを試した
Webメールでは、受信したHTMLメールのタグを残して、クライアントサイドスクリプト(JavaScriptなど)のみを除去するサニタイズ処理を行ないます。 このようなスクリプト除去処理は、Blog、掲示板などでも行なわれる、比較的ポピュラーなものであるため、それ用のライブラリがいくつか存在します*1。 HTML Purifierもその一つです。PHP4/5で動作します。バージョン1.0.0のリリースは2006年9月ですから、比較的新しいものです。私は昨年末に初めて触ってみました(バージョン1.3.2です)。 これまでのものと比べて、非常によく出来ているなと思いましたので、日記に書いてみます。 HTML Purifierの概要 特徴としては、以下が挙げられると思います。 ユニコード対応 UTF-8のHTMLに対応(既存のライブラリの多くはlatin1を暗黙の前提としていました)。EUC-JP
「PhpWiki」に脆弱性、任意のPHPコードがアップロードされる可能性
PHPで実装されたオープンソースのWikiクローンソフトウェア、「PhpWiki」に脆弱性が発見された。悪用されると、任意のファイルをアップロードされるおそれがある。 US-CERTの情報によると、ファイルのアップロードを行う「UpLoad」機能のファイルチェックの部分に問題がある。.phpの拡張子が付いたファイルのアップロードは制限されているが、それ以外の「.phtml」などの拡張子が付いたファイルについては自由にアップロードできてしまう。 この結果、攻撃者がリモートから任意のphpコードをアップロードし、それがWebサーバプロセスの権限で実行されてしまう可能性がある。 13日の時点では、問題を修正するパッチは提供されていない。US-CERTでは回避策として、upload.phpを削除するなどしてアップロード機能を無効化するか、設定を変更してPHP形式のファイルのアップロードを制限する方
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IBM Developer
CodeZine:Rubyを使ってWebアプリケーションの脆弱性を早期に検出する(Web, テスト, Ruby)
bogusnews における高木浩光氏の進化 - いろいろ
IPA、2007年第1四半期の脆弱性届出状況を公表
http://www.yomiuri.co.jp/atmoney/news/20070419i101.htm?from=main1
はてなダイアリーのヘルプ - はてなダイアリーXSS対策
