TAKESAKO @ Yet another Cybozu Labs: LL魂お疲れ様でした[LLSpirit]
LL魂、参加されたみなさんお疲れ様でした。みなさんのお陰で無事イベントを終了することができました。ありがとうございました。 前半の20枚だけですが、Flickrに写真をアップロードしました。 詳しい感想はのちほど。いろいろ新しい刺激を受けました。 とりいそぎ、Lightning Talksの発表資料(※画像はイメージでしたバージョン)を公開します。 イメージファイト! - 画像に埋め込まれたPHP・XSS攻撃コードと戦う5つの方法 - 11 竹迫良範(Shibuya Perl Mongers) http://wafful.org/mod_imagefight/ImageFight-LL2007.ppt 先日、PHPの攻撃コードが隠された画像ファイルが、大手ホスティングサイトで発見されたとの報道がなされました。GIF,PNG,JPEG,BMP形式の画像ファイルには、PHPのRFI攻撃で使用さ
IEを華麗に撃墜する一行 - ぼくはまちちゃん!(Hatena)
はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!
Atom や RDF を利用したXSS - 葉っぱ日記
Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap
たった2行でできるWebサーバ防御の「心理戦」 − @IT
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
crossdomain.xml と CSRF 脆弱性について - 2nd life (移転しました)
crossdomain.xml を安易に設置すると CSRF 脆弱性を引き起こす可能性があります。というのも、ここ数が月、それなりの数の crossdomain.xml による CSRF 脆弱性を発見し(現在、それらのサイトでは対策がなされています)、まだまだ Web プログラマに脆弱性を引き起こす可能性がある、という考え方が浸透してないんじゃないか、と思ったので。 先月、Life is beautiful: ウェブサービスAPIにおける『成りすまし問題』に関する一考察にも crossdomain.xml について書かれてたのですが、その後もいくつかのサービスで crossdomain.xml を許可ドメインすべてにしているサービスがあったので、注意喚起としてエントリーに書き起こします。 自分も一年半ぐらい前は、crossdomain.xml を許可ドメインすべて ('*') にして設置し
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
「ファイルの拡張子表示」、実施者は3分の1足らず――IPA調査 - @IT
2007/07/10 インターネット利用者の間では「不審な添付ファイルは開かない」「怪しいWebサイトにはアクセスしない」といったセキュリティ対策が浸透してきた一方で、設定変更にひと手間かかる「ファイルの拡張子を表示させる」といった方策はまだ広く実施されていないことが、情報処理推進機構(IPA)の意識調査によって明らかになった。 IPAは7月10日、「情報セキュリティに関する新たな脅威に対する意識調査(2006年度第2回)」の結果を公開した。この調査は3月30日から31日にかけて、15歳以上のインターネット利用者を対象にWeb上で実施したもので、有効回答数は5316件だった。 IPAセキュリティセンター ウイルス・不正アクセス対策グループリーダーの小門寿明氏によると、インターネット上の脅威は「愉快犯で姿を現すものから、金銭を目的とし、陰に潜んで姿を見せないものへと変化してきた。最近PCを利
画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
yohgaki's blog - 画像ファイルにJavaScriptを隠す
(Last Updated On: 2014年12月5日)前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。 http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ <script src="http://cracked.example.com/cracked.gif"> などとXSS攻撃を拡張する手段に利用可能です。サンプルとしてFlickerにJavaScriptを埋め込んだイメージファイルがアップされています。 このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。 Flicke
PHPコードのXSSやSQLインジェクション脆弱性をチェックする「Pixy」:phpspot開発日誌
Pixy: XSS and SQLI Scanner for PHP Pixy is a Java program that performs automatic scans of PHP source code, aimed at the detection of XSS and SQL injection vulnerabilities. PHPコードのXSSやSQLインジェクション脆弱性をチェックする「Pixy」。 Javaで書かれたツールのようですが、Webインタフェースも用意されていて、サイト上でPHPコードの脆弱性がチェックできるようです。 例えば、次のようなコードを検証してみましょう。 <?php $x = $_GET['x']; echo $x; ?> すると、次のように、脆弱な部分が赤く表示されました。 なお、いくつか脆弱なコードを試してみましたが、問題なし、となるコード
窓の杜 - 【NEWS】MS、共有PCの状態を再起動のたびに初期化できる「Windows SteadyState」を公開
Microsoft Corporationは16日、PCを再起動するたびにWindowsのインストールドライブをあらかじめ設定された状態へ巻き戻せる共有PC向けソフト「Windows SteadyState」を公開した。Windows XPに対応するフリーソフトで、現在同社のホームページからダウンロードできる。 「Windows SteadyState」は、ユーザーがPCへ施したソフトのインストールやファイル保存といった変更を、再起動後にもとへ戻せる共有PC向けソフト「Shared Computer Toolkit」の後継版。未使用のパーティションを用意しなくてもインストール可能になって導入の敷居が下がったほか、設定画面も分かりやすくリニューアルされた。学校やネットカフェなどで不特定多数が利用する共有PCの管理に利用できるほか、家庭でも、たとえば子供の予期せぬ操作でPCの環境が壊れるのを防
「攻撃者の“足跡”を探せ」---Windowsレジストリの解析方法:ITpro
自分の管理するシステムが不正アクセスされた場合には,影響範囲や原因を特定するために攻撃者の“痕跡”を調査する必要がある。対象システムがWindowsマシンであれば,レジストリの解析は不可欠。しかしながら通常のログ・ファイルと異なり,レジストリの調査は骨が折れる作業となる。そこで本稿では,不正アクセスを受けたシステムにおけるレジストリの解析方法をまとめた。 なお,Windowsマシンにおける失われやすい情報(揮発性の高いデータ)の証拠保全については以前の記事でまとめているので,そちらを参照していただきたい。 レジストリの分析は容易ではない Windowsマシンが不正アクセスを受けた場合には,通常,以下の3種類のファイルを調査することになる。 (1)Windowsのイベント・ログ (2)各種アプリケーションのログ (3)レジストリ (1)と(2)については,通常の運用においても馴染みが深いので
APOPのぜい弱性で見えてきたMD5の「ご臨終」
情報処理機構セキュリティセンターは4月,メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は,電気通信大学の太田和夫教授のグループが,APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は,APOPだけでなく,MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか,技術に基づいて考えてみよう。 わからないはずのパスワードが解かれる APOPは,チャレンジ・レスポンスという方式を使って,メール・クライアントとメール・サーバーのやりとりを盗聴してもパスワードが解読できないようにする。パスワードを直接やりとりせずに,まずサーバーからクライアントに「チャレンジ・コード」という文字列を送る。クライアントはチャレンジ・コードとパスワードを連結したうえで,MD5というハッシュ関数を使ってハッシュ値を
簡単にデザインをを変更できるCAPTCHAライブラリ - Cryptographp - Do You PHP はてブロ
ありがちなCAPTCHAライブラリの1つですが、タイトルの通り「簡単にデザインをを変更できる」というところが面白いです。 Cryptographp is a PHP script for generate captchas. Cryptographp limit the robots bombarding spams and automating the forms: spaces members subscriptions, guestbooks, forums... This script is free et does not use any database. It is compatible with PHP >= 4.3.0 cryptographpにある画像デザインのリンクをクリックすると、設定ファイルのアーカイブをダウンロードすることができますが、アーカイブをcryptディ
コピペ禁止の入力フォームでコピペを可能にする拡張機能「Don’t F*** With Paste」レビュー
ウェブサイトの中にはアカウント作成画面やログイン画面などの入力フォームを「コピペ禁止」に設定しているものがあります。ブラウザ拡張機能「Don't F*** With Paste」を使えば「コピペ禁止」を回避できるとのことなので、実際に使ってみました。 jswanner/DontF-WithPaste: Google Chrome extension that prevents the blocking of pasting into input fields https://github.com/jswanner/DontF-WithPaste まず、「コピペ禁止入力フォーム」を含むウェブサービスのアカウント登録ページの例を作ってみました。 メモファイルやパスワード管理ソフトに登録してあるIDをコピーして、ID入力欄に貼り付けようとします。 しかし、入力フォームがコピペ禁止に設定されている
CAPTCHAをお金で…
エレクトロニック・サービス・イニシアチブのWebシステムのコンサルタントのブログです。Webシステムを対象としたセキュアコーディング/セキュアプログラミング、SAMM、ソースコード検査、Webシステム開発、パフォーマンスチューニングの技術支援、コンサルティング、セミナー開催、書籍などの執筆、PROVE for PHPの開発、PHP4.x/5.xレガシーPHPセキュリティパッチサービスなどを行っています。 ブログのサブタイトルを「書かない日記」としているのは、ブログを始めた時にあまり書かないつもりで始めたのでこのサブタイトルになっています。 氏名:大垣 靖男 私が記述したブログ中のコードは記載が無い場合はMITライセンスです。その他のコードは参考リンクなどのライセンス情報を参照ください。 ご依頼・ご相談は info@es-i.jp まで。
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
URLが認証IDになる、ライブドアが「OpenID」機能を提供開始 - @IT
2007/05/07 ライブドアは5月7日、開発者向けの認証APIサービス「livedoor Auth」に「OpenID」機能をベータ版として追加したと発表した。OpenIDはURLをサイト認証のIDに使うことで、複数サイトでのシングルサインオンと、IDの一元管理が可能になる。 livedoor Authはポータルサイト「livedoor」のアカウントを別のアプリケーションでも認証に使えるようにする認証システム。livedoor AuthのOpenID機能を使えば、IDが「http://profile.livedoor.com/<ユーザーのlivedoor ID>」となり、このIDを使って外部のOpenID対応サービスにログインできる。実際の認証はライブドア側で行う。対応サービス側はユーザーの個人情報を認識せず、ユーザーは自分の個人情報の管理を一元化できる。 OpenIDに対応する日本語利
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA セキュア・プログラミング講座
ウイルス情報データベース