令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
多くの人がゴールデンウィークの長期休暇を取得する時期を迎えるにあたり、IPAが公開している長期休暇における情報セキュリティ対策をご案内します。 長期休暇の時期は、システム管理者が長期間不在になる等、いつもとは違う状況になりがちです。このような状況でセキュリティインシデントが発生した場合は、対応に遅れが生じたり、想定していなかった事象へと発展したりすることにより、思わぬ被害が発生したり、長期休暇後の業務継続に影響が及ぶ可能性があります。 これらのような事態とならないよう、(1)個人の利用者、(2)企業や組織の利用者、(3)企業や組織の管理者、のそれぞれの対象者に対して取るべき対策をまとめています。また、長期休暇に限らず、日常的に行うべき情報セキュリティ対策も公開しています。 長期休暇における情報セキュリティ対策 日常における情報セキュリティ対策 上記リンク先において、対象者毎に参照すべき範囲
私のセキュリティ情報収集法を整理してみた(2024年版) - Fox on Security
新年あけましておめでとうございます。毎年この時期に更新している「私の情報収集法(2024年版)」を今年も公開します。 ■はじめに サイバー攻撃は国境を越えて発生するため、ランサムウェア、フィッシング、DDoS攻撃など、近年のサイバー脅威の常連となっている攻撃者(脅威アクター)が主に海外にいることを考えると、世界の脅威動向を理解することが年々重要になっています。 海外から日本の組織が受けるサイバー攻撃の多くでは、国際共同オペレーション等の一部のケースを除き、日本の警察が犯罪活動の協力者(出し子、買い子、送り子)を摘発することはあっても、サイバー攻撃の首謀者(コアメンバー)を逮捕するまで至るケースはほとんどありません。 誤解を恐れずに言えば、日本の組織は海外からの攻撃を受け続けているのに、海外で発生したインシデントや攻撃トレンドの把握が遅れ、対策が後手に回っているケースも多いように感じます。最
パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai
この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。 とりあえずドラフトですが公開します。識者のみなさまの暖かく、そして鋭いツッコミを期待します。 パスキーについて、非常にわかりやすいブログをえーじさんが書いてくださいました。コレを読んで頂ければほとんどのことが分かると思います。 先日の次世代Webカンファレンスで、私は、「結局、パスキーは秘密鍵と公開鍵のペア」と申し上げた立場からも、この疑問はごもっともだと思いましたので、すこし、私の思うところを述べたいと思います。 パスキーは2要素認証の場合が多いほとんどのユーザは、OS標準のパスキーを使うのではないかと思います。そして、生体認証、もしくは画面ロック用のパスワードやPIN等が設定されていない限り、OS標準のパスキーを使うことができません。そして、OS標準パスキーの利用時には、生体認証もしくは画面ロック解除のため
電気通信における「通信の秘密」について解説します(追記あり) - 畳之下新聞
この記事は法的見解を示すものではありませんのでご了承ください。 総務省や業界団体のガイドラインに基づいて記載していますが、間違いがありましたらコメント等で優しくご指摘お願いします。 憲法における「通信の秘密」 「通信の秘密」は、日本国憲法により保障されています。 日本国憲法 第21条2項 検閲は、これをしてはならない。通信の秘密は、これを侵してはならない。 憲法における通信の秘密の保護は、国民のプライバシー保護にとどまらず、公権力や通信業務従事者によって通信の秘密が侵害されないことを保障しています。 電気通信分野において、憲法における「通信の秘密」が適用されるケースはまずありませんし、適用しても議論が大づかみになりすぎるので、憲法で保障されていることだけを理解しておきましょう。 電気通信における「通信の秘密」 憲法の規定を受け、電気通信の分野では、電気通信事業法や電波法、有線電気通信法等に
なぜサイバーセキュリティ分野で人材が不足しており、職が埋まらないのか? - YAMDAS現更新履歴
apnews.com 2025年にはサイバーセキュリティ分野での未採用の職が350万になるよという、昨今の米国 IT 業界におけるレイオフ事情を知るとホントかよという話である。なんでそんなことになるのか? 過去2年間、テクノロジー企業では30万人が雇用を失ったというが、サイバーセキュリティ分野は失業率ゼロを維持する稀有な雇用市場らしい。というか、今やあらゆる IT 部門がサイバーセキュリティ部門でもある。 brothke.medium.com 『コンピュータ・セキュリティ入門』(asin:0071248005)の邦訳もある、サイバーセキュリティ分野のベテラン Ben Rothke がこの問題を分析している。 彼によると、ゼネラリスト、中間管理職、CISO(最高情報セキュリティ責任者)、自称サイバー分野の専門家の成り手は不足していないという。実際にサイバーセキュリティ部門で足りていないのは、
format string attackによるメモリ読み出しをやってみる - ももいろテクノロジー
バッファスタックオーバーフローに並んでよく知られている攻撃に、format string attack(書式文字列攻撃)がある。 これは、printf系関数のフォーマット文字列が外部から操作可能になっている場合に、細工した文字列を送り込んでメモリ内容の読み出しや書き換えを行う攻撃である。 ここでは、実際にformat string attackによるメモリ内容の読み出しをやってみる。 環境 Ubuntu 12.04 LTS 32bit版 $ uname -a Linux vm-ubuntu32 3.11.0-15-generic #25~precise1-Ubuntu SMP Thu Jan 30 17:42:40 UTC 2014 i686 i686 i386 GNU/Linux $ lsb_release -a No LSB modules are available. Distrib
Format String Bug(弊研究室の某課題について考える8日目) - ごちうさ民の覚え書き
はじめに この記事は弊研究室の某課題について考えるの8日目の記事です 今回ですが超優秀な記事があるのでそこを自分なりにわかりやすく説明していきます。 また攻撃方法とかはよくあるので仕組みについて重点的にやります。 お品書き Format String Bug(FSB) Format String Attack(どういうことができるかだけ) Format String Bug Format String(書式指定子)を扱える関数においてユーザが自由に書式指定子を配置できるバグです。書式指定子とはprintf等の関数を使うときにprintf("%d",1);のようこの%dが書式指定子です。書式指定子の例は以下の表に.. 指定子 引数 用途 %c char 1文字出力 %s char * 文字列出力 %d int, short 整数を10進で出力 %x int, short, unsigned
弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ|ヤマダデンキ YAMADA DENKI Co.,LTD.
2019年5月29日 お客様各位 株式会社 ヤマダデンキ 弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ このたび、弊社が運営する「ヤマダウエブコム・ヤマダモール」におきまして、第三者による不正なアクセスを受け、クレジットカードの情報が最大37,832件流出した可能性があることが2019年4月16日に判明いたしました。 お客様をはじめ、関係者の皆様に多大なるご迷惑およびご心配をおかけする事態となりましたこと、深くお詫び申し上げます。 弊社では、今回の事態を厳粛に受け止め、再発防止のための対策を講じてまいります。 お客様をはじめ関係者の皆様には重ねてお詫びを申し上げますとともに、本件に関する概要につきまして、下記の通りご報告いたします。 不正アクセスの可能性が疑われたため、調査を経て2019年4月26日時点で 「ヤマダ ウエブコム・
EC2上でDNS RebindingによるSSRF攻撃可能性を検証した
AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門 この記事の中で、以下のように紹介しました。 ホスト名からIPアドレスを求める際にも以下の問題が発生します。 DNSサーバーが複数のIPアドレスを返す場合の処理の漏れ IPアドレスの表記の多様性(参考記事) IPアドレスチェックとHTTPリクエストのタイミングの差を悪用した攻撃(TOCTOU脆弱性) リクエスト先のWebサーバーが、攻撃対象サーバーにリダイレクトする 上記のTOCTOU(Time of check to time of use)問題は、DNSの名前解決の文脈ではDNS Rebindingとも呼ばれます。 DNS R
RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記
この記事はRuby Advent Calendar 2018 - Qiitaの23日目です。 今年はRubyやOSSの脆弱性をいろいろ探していたので、その感想を。 Ruby (Cruby) Tmpでのディレクトリトラバーサル DirでのNUL文字の扱いの問題 UNIX ドメインソケットでのNUL文字 Ruby 2.6での挙動変更 Dir[]でのNUL文字について Rubygems rubygems 65534倍効率的なブルートフォース minitarでのKernel.open*2 geminabox Discourse Heroku Rails pgでのNUL文字 Active StorageでのXSS 報奨金 感想 Rubyに詳しくなった 脆弱性としての判定 自分が使うものを安全にする まずはRubyから Ruby (Cruby) techlife.cookpad.com 昨年公開された
JavaScript実行時、「閲覧者の了解をいちいち得る」ページ登場 「Coinhiveより嫌」「悪夢」と話題
JavaScript実行時、「閲覧者の了解をいちいち得る」ページ登場 「Coinhiveより嫌」「悪夢」と話題 サイト閲覧者に仮想通貨をマイニングしてもらうことで収益を得られるツール「Coinhive」を、明示することなくサイトに設置した複数のユーザーが、不正指令電磁的記録(ウイルス)取得・保管などの容疑で警察に摘発され、物議をかもしている。 Coinhiveは、サイトに専用のJavaScriptコードを埋め込むと、閲覧者のCPUパワーを使って仮想通貨を採掘する。今回摘発された1人・デザイナーの「モロ」(@moro_is)さんは警察に、「事前に許可(もしくは予感させること)なく他人のPCを動作させたらアウト」であり、明示なくCoinhiveを設置すれば違法との説明を受けたという。 だがCoinhiveに限らず、現代的なWebサイトにはほぼすべて、何らかのJavaScriptが使われている。
安全なWebアプリケーションの作り方改訂のお知らせ
徳丸本こと、「体系的に学ぶ 安全なWebアプリケーションの作り方」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、Web APIやJavaScriptのセキュリティ等がほとんど書かれていないことが課題となっていました。 そこで、版元のSBクリエイティブと相談して、この度改訂することにいたしました。3月末脱稿、6月頃発売の見込みです。 改訂にあたり、以下を考えています。 Web APIとJavaScriptに関する説明を4章に追加 XHR2対応に向けてCORSの説明を3章に追加 携帯電話の章は丸ごと削除して、別の内
PHPプログラマのためのXXE入門
この日記はPHP Advent Calendar 2017の25日目です。前回は@watanabejunyaさんの「PHPでニューラルネットワークを実装してみる」でした。 OWASP Top 10 2017が発表され、ウェブのセキュリティ業界がざわついています。というのも、2013年版までは入っていたCSRFが外され、以下の2つの脅威が選入されたからです。 A4 XML外部実体参照(XXE) A8 安全でないデシリアライゼーション これらのうち、「A8 安全でないデシリアライゼーション」については、過去に「安全でないデシリアライゼーション(Insecure Deserialization)入門」という記事を書いていますので、そちらを参照ください。 本稿では、XML外部実体参照(以下、XXEと表記)について説明します。 XXEとは XXEは、XMLデータを外部から受け取り解析する際に生じる脆
インターネット上に公開されてしまったデータベースのダンプファイル(2017-08-08) - JPCERT/CC Eyes
2017年6月下旬にドイツのセキュリティ研究者より、日本国内の多数のWebサイトで、データベースのダンプファイル(以下「ダンプファイル」)が外部から閲覧できる状態にあるとの報告を受けました。JPCERT/CCでは、提供いただいた情報をもとに該当するWebサイトの管理者に連絡し、状況を確認しました。今回は、この問題について確認できた状況を紹介します。 また、報告者は2017年7月5日に、この問題について世界での状況を記事[1]として取り上げています。 ドキュメントルート直下に設置されたダンプファイル 問題のダンプファイルは、どのWebサイトでもdump.sqlなどのファイル名でWebサーバのドキュメントルート直下に置かれており、そのファイルを参照するURLに直接アクセスすれば、ダンプファイルを閲覧できる状態になっていました。 JPCERT/CCでは、報告を受けた当初、広範囲に行われた何らかの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CVE-2023-38408: Remote Code Execution in OpenSSH’s forwarded ssh-agent | Qualys Security Blog
安全なWebアプリケーションの作り方2018 - slideshare
セキュリティの都市伝説を暴く
TBS NEWS DIG | TBS/JNNのニュースサイト
【やじうまWatch】教訓はどこへ? 32ビットIEとSafariのみ対応、Java必須のマイナンバーのポータルサイト