2007-01-01から1年間の記事一覧

Oracleでのエスケープ

今日の日記では、OracleでのSQLインジェクション対策について書きます。以下のようなコード(PHP)があるとします。

AntiSamyをためす

OWASPがAntiSamyというオープンソースのソフトウェアをリリースしました。Category:OWASP AntiSamy Project - OWASPツールの名前は、有名なMySpaceのJavaScript Wormからきています(多分)。HTML断片から、JavaScript要素を除去するためのソフトで、現行版…

そろそろ勉強をはじめます

来年早々に、某資格試験を受けようと思ってます。もういい加減に勉強はじめます。

SQL Injectionツール

ここのところ、いくつかのSQL Injectionツールについて調べていました。今日はその結果を日記に書いてみようと思います。 はじめに SQL Injectionツールとは SQL Injection脆弱性の発見と、発見した脆弱性を突いてのDB内情報の取得を行なうためのツールです…

CSRFのはなし

ひさびさの更新です。 CSRFTesterというツールを試した Category:OWASP CSRFTester Project - OWASP頑張ってCSRF脆弱性の検査をしてくれるツールだと思って期待して試したのですが、残念ながら違いました。このツールの動作は以下のようなものです。 Proxyツ…

MySQLの文字列連結

MySQLのSQL構文はちょっと特殊でSQL Injectionの確認を行なうときには、ちょっと面倒だったりします。私がイヤなことの一つに、MySQLでは文字列連結の演算子がないことがあります(concat関数による文字列連結は可能。またANSIモードのMySQLでは「||」による…

水槽がひとまず完成

なんだかんだで作業に半日ほど掛かった。前よりもだいぶ雰囲気はよくなった。水草が伸びるともっとよくなるはず。

HDIV (Http Data Integrity Validator)の話2

4月の日記にも少し書きましたが、実際にHDIVを使ってみたので日記に書きます。Unified Application Security | Hdiv Security 概要 HDIVでは、Webブラウザからサーバに送られてくるデータを「editable」と「non-editable」に分けています。editableはテキス…

入力値検証の話

Webアプリケーションのセキュリティ対策としての入力値検証について議論されています。そろそろ入力値検証に関して一言いっとくか: Webアプリケーション脆弱性対策としての入力値検証について - 徳丸浩の日記(2007-09-05)思ったことをいくつか書きます。 徳…

Mozilla Aims At Cross-Site Scripting With FF3 - InternetNews.

GNUCITIZEN経由。ついにXMLHttpRequest(XHR)でクロスドメインなアクセスが!Flashのcrossdomain.xmlみたいなセキュリティモデルを採用したXHRが、Firefox3のAlpha7に実装されるそうです。ベースはW3CのDraftである「Cross-Origin Resource Sharing」とのこ…

Dark Reading | Security | Protect The Business - ...

CGISecurity.com経由。JSON、Ajaxのセキュリティというと、eval云々や、XSSやJavaScript Hacking的なことが話のメインになってしまうことがあります。でも、最大の危険性は別のところにあるよ、という話です。簡単に言うと、この記事では、従来サーバ側にあ…

脆弱性検査手法に関する特許問題

Dark Reading | Security | Protect The Business - ...脆弱性検査の手法(欠陥挿入=Fault Injection)に関する特許を持つCenzicが、SPIを特許侵害で訴えたという話です。関連:・Cenzicの特許 United States Patent: 7185232・Sanctum(Watchfire/IBM)も…

水槽の立ち上げ準備

引越し以来、狭い水槽に入れていた熱帯魚を、やっと60cm水槽に移動。今回は、掃除がしやすい大磯砂を底に敷いた。それから、魚が隠れる場所を作るために、とりあえずお菓子の蓋やら茶碗を水槽に入れる。今はだいぶ格好悪いけど、最終的にはお菓子の蓋などは…

マキシムでランチ

ランチ券みたいのを入手したので、土曜日は銀座のマキシムでランチ。暑くて思わず店の中でジャケットを脱ごうとしてしまい、お店の人にたしなめられる。料理はそれなりに美味しかったけど、カジュアルなお店の方が性に合っているなあと思う。帰りに、三越で…

Preventing XSS with Data Binding. The PoC

PDFのUXSSなどの発見で有名なStefano Di Paola氏のPoCです。現状の一般的なXSS対策とは異なり、バリデーションやHTMLエスケープ(バインド)処理を、ブラウザ側で行なおうというものです。 バインド処理 例えば、サーバからブラウザに以下のようなHTMLを返し…

Web Application Security Scanner Evaluation Criteria

WASC(Web Application Security Consortium)が新しいプロジェクトを立ち上げるそうです。The Web Application Security Consortium / Web Application Security Scanner Evaluation CriteriaWebアプリケーションのセキュリティ検査に使用するスキャナを評…

Security Restriction

WASCのWeb Security MLで、「Security Restriction」(以降SRと略します)という新しいセキュリティ機構の案が提示され、議論されています。The websecurity August 2007 Archive by threadこの方(Agarwal氏)のメールはいつも見づらいのですが、その辺は置…

CGISecurity.comの記事より

eEyeがWebセキュリティ分野に参入 Dark Reading | Security | Protect The Business - ... 良いWebアプリケーションスキャナを作ってくれそうです。 XPath Injection対策の話(IBM) http://www.ibm.com/developerworks/xml/library/x-xpathinjection.html P…

ImageFight2

先日の日記を見て頂いたようで、id:TAKESAKOさんがmod_imagefightをアップデートされていました。ソースを見ると、height/widthがそれぞれ最大6000pixelに変更されていました。むむむ・・・これは厳しい(今日は完全に攻撃者の視点になってます)。 しつこく…

MOPB Exploits taken down

MOPB(Month Of PHP Bugs)のStefan Esser氏のブログの記事です。http://blog.php-security.org/archives/91-MOPB-Exploits-taken-down.htmlドイツで、コンピュータへの侵入に使われうるソフトウェアについて、その作成・配布・使用を禁止する法律ができたとの…

ウェブアプリケーションセキュリティ

ウェブアプリケーションセキュリティ作者: 金床出版社/メーカー: データ・ハウス発売日: 2007/07/21メディア: ハードカバー購入: 3人 クリック: 66回この商品を含むブログ (23件) を見るついに我が家にもきましたぜ。

ImageFight

画像を用いたXSSとRFI対策のためのApache Moduleが出たようです。LL魂お疲れ様でした[LLSpirit] | TAKESAKO @ Yet another Cybozu Labsもう夜遅いので、気づいた事を少しだけ書きます。とりあえずは、PNGのXSS対策の部分についてだけ。 このプログラムは、IH…

引越し

横浜(の山奥)から東京(の外れの方)に引越ししました。荷物の片付けは、土日で8割方完了。ですが、なんやかやでくたびれ果てて、今日は一日会社をお休みしてぐったり。昼過ぎから寝ころびながらRSSのフィードを見たりしていたら、一日が終わってしまいま…

価格の改竄などの話

ECサイトにおける価格の改竄の対策として、「購入確定処理で、クライアントからPOSTされてくる商品IDをキーに商品マスタテーブルを検索して、検索した結果の価格で購入処理を行なう」というような趣旨の対策が書いてあるのを見たことがあります。これは悪意…

frame hijacking?

http://sla.ckers.org/forum/read.php?2,13283,13283のスレッドを読みました。frame(iframe)のURLが、よそのドメインのページ内のJavaScriptから書き換えられてしまうという問題について書かれています。例えば、被害サイト(victim.com)に以下のようなif…

画像へのPHPコマンド挿入

だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blogアップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンド…

ローカルProxyツール

6/19の日記の続きで、ローカルProxyツールについて、少し書きます。 Burp Proxy JRE上で動くツールです。Web Application Security, Testing, & Scanning | PortSwiggerv1.01をインストールして、何度か使ってみました。全体的には、コンパクト・シンプルで…

はてなスター

久々にはてなの自分の日記を見てみたら、なぞの星マークが表示されていました。はてなが新しい機能を追加したんですね。はてなスターはじめてガイド - お問い合わせ - はてなまだイマイチ判ってませんが、私も使ってみようと思います。

ローカルProxyツール

数年前から、ローカルのProxyツールとしてParosを使っていました。私が使ってみて感じた、Parosの良いところ・悪いところは以下です。【良いところ】 ・UIデザインが割とちゃんとしている・文字化けせずにレスポンス表示できる・簡単な自動検査の機能もつい…

eBayとPayPal,サインイン時に利用可能な使い捨てパスワード生成トークンを発売:ITPro

eBayとPayPalでワンタイムパスワードが使えるようになるそうです。ただ、ワンタイムパスワードを利用するためには、ユーザが初期費用として5ドル負担しなければならないとのこと(三井住友銀行は月額105円らしいので、それに比べれば安いです)。今のところ…