Webアプリケーションセキュリティフォーラム - Journal InTime(2007-07-05)
_ Webアプリケーションセキュリティフォーラム というわけで、発表して来た。 スライド(PDF) スライド原稿(RD) 自分の発表はともかく興味深い話を色々聞けてよかった。 とくに奥さんと高木先生のバトルが面白かった。 追記: リクエストがあったのでバトルの内容について少し。 (曖昧な記憶に基づく再現で言い回しは違うと思うし、内容にも私の勘違いがあるかもしれません。念のため) 高木先生 Greasemonkeyの説明の部分がよく聞こえなかったんですが。 奥さん (内容を説明) 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 私の心の声 (最初から聞こえてたんじゃ…) 奥さん ローカルファイルにアクセスできたり、任意のコマンドを実行されたりするのに比べれば、ということですね。 高木先生 いや、それは違うと思うんですよ。銀行サイトのクッキーが漏洩
各種ルータの初期パスワードがわかるサイト「Default Router Passwords」 - GIGAZINE
以前に「さまざまな機器のデフォルトのパスワード一覧」ということで、ネットワーク機器など、さまざまな機器の工場出荷時のパスワードをリスト化しているページを紹介しましたが、今度はルータのみに的を絞ったサイトが出現したようです。 詳細は以下の通り。 Default Router Passwords - The internets most comprehensive router password database http://routerpasswords.com/ プルダウンリストからルータのメーカーを選んで「Find Password」ボタンをクリックすると、パスワードがわかるという仕組み。 やはりパスワードはちゃんと変更しておかないとセキュリティ的には非常に危険ということですね……。
ウイルス対策ソフトでウイルスは防げない | Okumura's Blog
生徒数百人の情報流出 愛知・一宮の2高校、空自OB名簿も(中日) 情報流出は1万4600人分 愛知・一宮の高校教諭、進路希望や合否など(中日) 愛知で県立高生徒情報流出、教諭PCから…空自基地資料も(読売) 高校生の個人情報1万4千人分、教諭PCから流出(朝日) 個人情報流出:愛知・一宮工業など2高校1万4598人分(毎日) [2007-07-02追記] 流出情報の中に知能検査の結果も 愛知の高校教諭PC(朝日) 総合すると,愛知県立一宮工業高校の男性教諭(43)が大量の個人情報を自宅PCに溜め込んでおり,6月下旬にShareをインストールしたところ,ウイルスに感染し,27日午後9時ごろ流出。本人も気づかなかったが,29日昼ごろ県教委に匿名のメールと文科省からの問い合わせがあり判明した。読売新聞によるその教諭の言「ファイル交換ソフトが入っているパソコンでデータを扱ってはいけないと知っていた
あの「Lhaca」がアブない、日本標的のゼロデイウイルス発見:ITpro
米シマンテックは2007年6月25日(米国時間)、ファイル圧縮・解凍ソフト「Lhaca(ラカ)」のぜい弱性を悪用するウイルス(悪質なプログラム)が確認されたとして注意を呼びかけた。LZH形式(.lzh)のウイルスをLhacaで読み込むと、パソコンを乗っ取られる恐れがある。今回のウイルスが悪用するぜい弱性に対する修正プログラムなどは公表されていないので、「ゼロデイウイルス」といえる。 今回のウイルスは、日本のユーザーから6月22日に同社に送られたという。同社が解析したところ、何らかのぜい弱性を突くものであることが明らかとなった。その後の調査で、日本国内で広く使われているLhacaに、修正プログラムが未公開のぜい弱性があることが判明。今回のウイルスはそのぜい弱性を悪用するものだと分かった。同社の情報によれば、少なくてもLhaca(デラックス版)1.20に、今回のぜい弱性が存在するという。 同社
仙石浩明の日記: stone に Server Name Indication (TLS 拡張) 機能を実装
このハンドシェークの後、 クライアントが暗号化された http リクエストを送信し、 それを受けてサーバが暗号化されたレスポンスを返す。 https サーバがバーチャルドメイン機能を持つには、 https サーバがサーバ証明書を送信する (上のハンドシェーク図の 3行目) より前に、 クライアントがリクエストしたいホスト名を通知する必要がある。 上図から明らかなように、 ホスト名の通知は一番最初の「ClientHello」で行なわれなければならず、 そのための拡張が、 「Server Name Indication」というわけである。 もちろんこの時点では、まだ鍵の交換は行なわれていないので、 ホスト名は平文で送られる。 前置きが長くなってしまったが、 この Server Name Indication (SNI) を stone でサポートしてみた (stone.c Revision 2
画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
おさかなラボ - IT Proの記事が酷すぎる件
リモート・ファイル・インクルード攻撃@IT Pro を読んで、何が書いてあるのかさっぱり分からなかった。多分自分の頭が悪いせいだろうと思って精査してみたが、 PHPスクリプトを使ったWebアプリケーションで$includedir変数の処理に存在する。 いきなり意味不明だ。「PHPスクリプト」と書いてあるのに、例に挙がっているawstatsはPerlスクリプトだ。そしてPHPに$includedirなどという特殊変数などない。図1もよく分からない。「任意のコマンドが実行される!」と書いてあるが、これはリモート・ファイル・インクルードを使ってコマンド・インジェクションを行なっているだけだ。実際には任意のコマンドどころか被害サーバー上でPHPスクリプトに許されるあらゆる行動ができてしまうから、これは被害を過小評価しているように見えてしまう。 $includedirという謎の変数については
第6回 意外に知られていないブラインドSQLインジェクション | gihyo.jp
前回の記事でSQLインジェクションの話は終わりにして、クロスサイトスクリプティングの話を書かせて頂こうと思っていました。しかし、6月5日に東京にて開催されたPostgreSQLカンファレンス2007でセキュリティをテーマに講演させて頂き、意外にブラインドSQLインジェクションをご存じでない方が沢山いらっしゃいました。40名ほどの聴講者の皆様にSQLインジェクションをご存じの方?とお聞きするとほぼ全ての方が知っていると答えたのですが、ブラインドSQLインジェクションをご存じの方は数名でした。 SQLインジェクションの常識 ブラインドSQLインジェクションの話をする前に、SQLインジェクションとその対策の常識について確認します。 SQLインジェクション対策として間違ってはいないが不十分な対策 エラーメッセージを表示しない(特にSQLエラー) ユーザ入力文字列をエスケープする これらはSQLイン
DNS AMP Check
ネームサーバ診断 「DNSの再帰的な問合せを使ったDDoS攻撃」の踏み台になる可能性に関する診断です。 好ましくない設定(キャッシュを応答する)のサーバは毒入れに対しても脆弱となります。 放っておくと、大変なことになりますよ。 あなたのお使いの機器をチェックします。(IPv6未対応 mOm) 調べたいドメインがあればどうぞ (サブドメインも可ですが一部手抜きで診断できないかもしれません)。 その権威サーバが問題のある設定でキャッシュサーバを兼ねているとNGとなります。 ドメイン名 (診断に時間のかかる場合があります) 大量のドメインのチェックを行うとアクセス制限をさせて頂くかもしれません。ご利用は控えめに ;-) Lame Delegation など総合的な診断はDNS健全性チェッカーをどうぞ 参考: DNS の再帰的な問合せを使った DDoS 攻撃に関する注意喚起 DNS の再帰的な問合
OpenSSH 情報 - [Security][OpenSSH] ログを監視しブルートフォースアタックを防ぐツール(DenyHosts, BlockHosts, Fail2Ban)に任意のIPアドレスを拒否させることができる脆弱性
2007/06/08 - [Security][OpenSSH] ログを監視しブルートフォースアタックを防ぐツール(DenyHosts, BlockHosts, Fail2Ban)に任意のIPアドレスを拒否させることができる脆弱性 Attacking Log analysis tools - OSSEC HIDSによると, SSHが記録するログをモニタして不正なアクセスを繰り返すIPアドレスからの接続を拒否するツール DenyHosts BlockHosts Fail2ban に以下の問題があります. (おそらく, 同様のツールには同じような問題があるでしょう.) OpenSSHのログには, ユーザ名やプロトコルのバージョンが攻撃者の指定通りに書き込まれるので, 攻撃者がある程度自由にログを挿入することが可能である これを利用して, ログを監視するツールをだまして, 任意のIPアドレスを拒
リモート・ファイル・インクルード攻撃
当社のセキュリティオペレーションセンターでは,日々,Webサイトへの攻撃が確認されている。今回は,Webサイトに対してどのような攻撃が多く仕掛けられていて,どのような対策が必要かを解説する。 攻撃者がWebサイトを狙う理由は主に三つある。Webサイトからの重要情報取得,詐欺のためのサイト乗っ取り,Webページ改ざんによる政治・思想誘導である。このうち最も多いと見られているのが,重要情報の不正入手である。攻撃者は,Webアプリケーションのぜい弱性を突いてバックエンドのデータベースを不正に操作し,個人情報などを盗み出す。 Webサイトから不正に情報を盗み出す場合,よく使われる攻撃手法は二つある。一つはSQLインジェクション。もう一つはリモート・ファイル・インクルードである。SQLインジェクションはメディアでも頻繁に取り上げられるが,リモート・ファイル・インクルードは意外に紹介されていない。しか
情報システム等の脆弱性情報の取扱いに関する研究会 報告書:IPA 独立行政法人 情報処理推進機構
独立行政法人 情報処理推進機構(略称:IPA、理事長:藤原 武平太)は、ソフトウェア製品やウェブサイトのセキュリティ対策などを推進するため、「ソフトウェア製品開発者による脆弱性対策情報の公表マニュアル」を含む報告書をとりまとめ、2007年5月30日(水)より、IPAのウェブサイトで公開しました。 本マニュアルは、「情報システム等の脆弱性情報の取扱いに関する研究会」(座長:土居 範久 中央大学教授)において、昨年12月から行われた検討の成果です。 ソフトウェア製品開発者にとって、利用者に安全なソフトウェア製品を提供することは、品質に対する信頼確保の観点から重要ですが、現実には周到な安全設計のもとに開発された製品であっても、セキュリティ上の弱点(脆弱性)が生じてしまうことがあります。 過去にリリースした製品に脆弱性が存在することを知りながら、脆弱性対策情報を公表せず、被害が生ずる可能性を隠した
APOPのぜい弱性で見えてきたMD5の「ご臨終」
情報処理機構セキュリティセンターは4月,メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は,電気通信大学の太田和夫教授のグループが,APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は,APOPだけでなく,MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか,技術に基づいて考えてみよう。 わからないはずのパスワードが解かれる APOPは,チャレンジ・レスポンスという方式を使って,メール・クライアントとメール・サーバーのやりとりを盗聴してもパスワードが解読できないようにする。パスワードを直接やりとりせずに,まずサーバーからクライアントに「チャレンジ・コード」という文字列を送る。クライアントはチャレンジ・コードとパスワードを連結したうえで,MD5というハッシュ関数を使ってハッシュ値を
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係
ウェブアプリケーションセキュリティとバッドノウハウ、そしてグッドラッパーの関係 by 金床 ---------------------------------- はじめに ---------------------------------- 筆者はウェブアプリケーション開発者であると同時にセキュリティ技術にも興味がある。自身がSeaSurfers MLというウェブアプリケーションセキュリティをテーマとしたメーリングリストを主催しており、またセキュリティコミュニティに多くの知人、友人がいる。しかし彼らとウェブアプリケーションなどのセキュリティ対策について意見を交換すると、違和感をおぼえることが多い。 彼らは脆弱性の原理についてとても詳しいのだが、以下のような会話が頻繁に発生するのである。 「…つまり原理的に考えて、このようにすればXSSは発生しないんだよ」 「な
Unicode悪用の不正トラフィック、ファイアウォール通過も
全角と半角のUnicode文字を使って悪質なHTTPトラフィックを隠し、侵入検知システムをくぐり抜けることができてしまう問題が発覚した。 全角と半角のUnicode文字を使って悪質なトラフィックがネットワークに侵入できてしまう問題があることが発覚した。今のところ自社製品に脆弱性があることを認めているのはCisco Systemsのみ。しかしUS-CERTのアドバイザリーでは、影響を受ける可能性があるベンダーとして90社以上を挙げている。 US-CERTのアドバイザリーによると、全角と半角のUnicodeでエンコーディングされたトラフィックを適切に処理できない問題が、各種のHTTPコンテンツスキャンシステムに存在する。この問題を突かれると、リモートの攻撃者が細工を施したHTTPトラフィックを送りつけることにより、コンテンツスキャンシステムをくぐり抜けてしまう可能性がある。 SANS Inte
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Japan.internet.com デベロッパー - Rubyを使ってWebアプリケーションの脆弱性を早期に検出する
ネームサーバ診断 | Okumura's Blog
Takayuki Nakamura's blog: クライアントの実IPアドレスを取得する
http://japan.internet.com/webtech/20070517/12.html