機密情報にJSONPでアクセスするな
2007年6月7日 はてなブックマークのコメントをうけて、「常にJSONP、JSON、JavaScriptに機密事項を含めないように」という主張を改め、「クロスドメインアクセスの対策をとっていない状態ではJSONP、JSON、JavaScriptに機密事項を含めないように」という主張に関して記述しました。 こんにちは、SEの進地です。 今回から週単位でWebアプリケーションのセキュリティに関するエントリーを書いていこうと思います。 僕自身、日々勉強して精進というところですので、もし何らかの誤りがあれば是非ご指摘ください。 つっこみ大歓迎です。 今回取り上げるのはWeb 2.0なアプリケーションでセキュリティ面で気をつけるべきことの一つ、機密情報にJSONPでアクセスするなです。 JSON(JavaScript Object Notation)はJavaScript(ECMAScript)の
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
ボットにも悪用されるExploit、その傾向を探る
ボットに限らず、最近のセキュリティの動向を追っていくと「Exploit」という言葉に行き当たることが多い。 Exploitを簡単に定義すると「特定の脆弱性を突く攻撃を可能とするプログラムコード」のことと言える。脆弱性(セキュリティホール)が公開されても、それがすぐに攻撃につながるわけではない。そのためには攻撃用のプログラムを作成する必要があり、これには時間と高度な技術が必要となる。 しかし、ひとたびExploitコードが作成され、公開されてしまうと、簡単に攻撃が可能になる。中にはマルウェアでの利用に発展するケースもあり、より脆弱性の危険度が高まる。 この記事では、これまで公開されてきたExploitの傾向を紹介するとともに、それがボットネットに悪用された事例について紹介していこう。 なおExploitの傾向については、2005年10月から2006年9月に公開されたExploitコード319
なぜセキュアOSが必要なのだろうか - LIDS
第1回 なぜセキュアOSが必要なのだろうか 面 和毅 サイオステクノロジー株式会社 インフラストラクチャービジネスユニット Linuxテクノロジー部 OSSテクノロジーグループ シニアマネージャ 2005/11/3 「いまさら何を」という話ですが、Linuxもメジャーになったものです。現在ではWebサーバや何らかのネットワークサーバを構築する際に、コストパフォーマンスを考慮してLinuxを使用するという選択が多くなりました。サポートなどを考慮してもコストの安いLinuxを採用するメリットが大きく、結果として多くのLinuxサーバがネットワーク上に存在しています。 また、アプライアンス製品にもLinuxが普及してきています。ウイルス対策、IPS(不正侵入防御システム)、Webプロキシやファイルサーバなどのアプライアンス製品でも、カスタマイズされたLinuxが使用されています。今日のネットワー
誰が攻撃しているか突き止めたい:ITpro
ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために
T.Teradaの日記 - ログイン直後のレスポンスの返し方
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ
サイバークリーンセンター | ボットの駆除手順
サイバークリーンセンターは、インターネットにおける脅威となっているボットウイルスの特徴を解析することにより、ユーザのコンピュータからボットウイルスを駆除するためのボットウイルス駆除ツール「CCCクリーナー」を作成し、ユーザーに配布する活動を行っています。
Application Layer Packet Classifier for Linux
Development of l7-filter has moved to the Clear Foundation. These pages are out of date, but will remain as a historical record. L7-filter is a classifier for Linux's Netfilter that identifies packets based on application layer data. It can classify packets as Kazaa, HTTP, Jabber, Citrix, Bittorrent, FTP, Gnucleus, eDonkey2000, etc., regardless of port. It complements existing classifiers that mat
Sender ID:送信者側の設定作業 ― @IT
送信ドメイン認証は、Yahoo!やGmailで「DomainKeys」が、Hotmailで「Sender ID」が利用されているほか、多くのISPが対応を表明したことにより一段と普及が進んでいる。すでに米国などでは、送信ドメイン認証に対応しているドメインからのメールを優遇して通すなど、利用することのメリット、また利用しない場合のデメリットなどが現れてきている。 本稿では2回にわたって、IPアドレスベースの認証方式に分類される「SPF(Classic SPF)」およびSender IDについて解説する。前編では、SPFおよびSender IDを導入するに当たって、実際にどのように手を動かせばいいのかについて説明したい。 IPアドレスベースの送信ドメイン認証 まず、IPアドレスベースの送信ドメイン認証について説明する(図1)。送信側は、「Sender Policy Framework(SPF)
DNSサーバへの攻撃を退けるPHREL | OSDN Magazine
現在、インターネット上で公開ネームサーバを稼働させるにはそれなりの対策が求められる。際限のない攻撃の波にさらされるからだ。顧客のために再帰的な問い合わせを行うISP(インターネットサービスプロバイダ)の場合、状況はさらに悪くなる。大量のトラフィックに対処する方法は数多く存在し、サーバの増設、不正なトラフィックの遮断に役立つ専用のハードウェアソリューションまたはファイアウォールの購入などがある。そしてもう1つ、Linuxシステム上でネームサーバを稼働させている場合には、ホストごとにレート制限を行うプログラム(Per Host RatE Limiter)、PHRELという解決策がある。 問題が起こるのは、顧客のホストが不正に侵入されてスパムの送信元として利用される場合だ。こうした場合、受信者側のメールサーバのアドレスを取得する際に1分間に何千というDNS要求がネームサーバに送信される。他の顧客
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
OpenSSH クライアントの proxy -- 踏み台サーバを経由しての ssh : DSAS開発者の部屋
DSAS のメンテナンスは,基本的に ssh を使ったリモートメンテナンスで済んでしまいます.夜中や休日に非常事態が起こったとしても,ネットワーク接続さえ確保できればその場で対応できます.ただ,さすがにインターネットから DSAS に直接 ssh できる様にしておくのは一抹の不安があります.ですので,DSAS への ssh 接続は社内のサーバからのみ許すようにしておいて,外からログインする必要があるときは一旦社内のサーバを経由することにしています. このような形にしている場合,DSAS にログインしようとする際は,一旦社内のサーバに ssh 接続する必要があって,小さなことですが一手間かかってしまいます.できればワンステップで接続できる方法が無いかと思って色々検索してみた(※)ところ,このページで ProxyCommand という設定項目を見つけました(見つけたのがボスの個人サイトなのは本
スラッシュドット ジャパン | gzipに複数の脆弱性〜LHAにも関連あり?
Elbereth曰く、"JVNにて、gzipの脆弱性についていくつか報告があがっています。 JVNVU#933712: gzip (GNU zip) の huft_build() における NULL ポインタ参照の脆弱性 JVNVU#596848: gzip (GNU zip) の LZH の取扱いにおいて無限ループが引き起こされる脆弱性 JVNVU#554780: gzip におけるバッファオーバーフローの脆弱性 JVNVU#773548: gzip の LZH の取扱におけるバッファオーバーフローの脆弱性 JVNVU#381508: gzip の make_table() の配列処理における脆弱性 2006年9月22日現在では、JVNの上記記事では対象ベンダとしてRedhat、ubuntu、FreeBSDから報告があがっていますが、gzipのことであるからして影響はさらに広範囲になるも
静脈認証も安心できない? 大根で作った偽造指で認証に成功 : IT Pro ニュース
「静脈認証でさえ、偽造指に対するぜい弱性は否定できない」--。6月29日から7月1日まで東京で開催された「情報セキュリティEXPO」で、セミナーの演壇に立った横浜国立大学の松本勉教授はこう警告した。偽造/盗難キャッシュカード対策として金融業界で急速に普及しつつある静脈認証について、客観的なぜい弱性評価の必要性を示したものだ。 静脈認証は指、手のひら、手の甲などに赤外線を当て、体内にある血管の形状パターンを元に個人を識別する。指紋認証などと異なり、表から見える身体的特徴を使わないことから、「なりすまし」に強いと一般に思われている。だが実は、静脈認証の歴史は浅く、ぜい弱性が十分に検証されてきたとは言えない。 松本教授は比較的簡単に入手できる素材を選んで、人の指に似た光の透過率を持つ2種類の模型を作成した。その一つは、野菜の大根を棒状に切りラップで包んだもの(写真)。もう一つは、スキー場の人工雪
Linuxでもbot感染が拡大 | スラド
ストーリー by yoosee 2005年12月30日 13時13分 メンテナンスされていないLinuxサーバほど質が悪いものは無い 部門より あるAnonymous Coward曰く、"日経ITProの記事によると、米SANS InstituteがLinuxに感染するbotを複数確認したと発表したらしい。 多くの場合、phpアプリケーションのセキュリティホールを突いて感染を広げているようで、複数の脆弱性に対する攻撃手段を持ったものが増えているそうだ。 また、同じ記事でNANOGのMLに投稿されたLinuxによるbotnetのDDoS攻撃の報告も紹介されており、それによるとピーク時で6Gb/sものDDoS攻撃のトラフィックを出したという。 実はこの話、海の向こうだけ話ではない。ITProの記事では何故か触れられていないが、このbotnetの指令サーバは日本にホスティングされており、bot感
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OpenVZ security and Red Hat kernel update
mod_dosdetector
http://www.typemiss.net/blog/kounoike/20061019-100
戻り経路フィルタ (Reverse Path Filtering)
https://www.unixuser.org/~euske/doc/openssh/jman/