高木浩光＠自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない簡単な対処方法は、Yahooがやっているように、ログイン成功時に「backurl」のドメインなどをチェックをして、「自サイト外」ならばリダイレクトせずに…

DeXSSはJavaのアンチXSSライブラリです。掲示板やWebメールなどのアプリで、HTMLタグを許容しながら、JavaScriptを除去したい場面で使用します。XSS攻撃対策用のライブラリ - DeXSS 1.0登場 | エンタープライズ | マイコミジャーナル DeXSS -- Java program …

Piece FrameworkはPHPのフレームワークです。セキュリティに強い、そして日本人が開発している、というのが特徴のようです。【PHPウォッチ】第34回 セキュアでロバストなPHPフレームワーク「Piece Framework」：ITPro Piece Framework - A stateful and secu…

それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ（XSRF）の脆弱性が存在する。Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が…

PHPでは、HTMLエスケープ用の関数としてhtmlspecialcharsが用意されています。今日の日記では、htmlspecialcharsについて書きます。これと近い働きをするhtmlentitiesについても触れます。 htmlspecialcharsの基本 こんな感じで使います。 関数の引数は３つ…

Yahoo! Japanが新たなフィッシング対策を導入したそうです（産総研との共同実験のとは別物です）。 ヤフーは26日、フィッシング詐欺対策として、Yahoo! JAPAN IDのログイン画面に、ユーザーが設定した写真や文字列を表示する「ログインシール」機能を追加し…

WebAppSecのMLで知ったのですが、HDIVというStrutsのextensionがあるそうです。HDIVには色々な機能があるようですが、 完全性hiddenの値、プルダウンやラジオボタンの取りうる値、リンク、Cookieなどの改竄を検知する。 機密性HTML内に現れるデータを隠蔽す…

Jeremiah Grossman氏のブログなどに書かれていますが、非公開としていたJiktoのソースコードが流出したそうです。あわせて、先月のShmooConでのプレゼン資料が公開されています（概要だけならば、この資料の方が理解しやすいです）。ソースコードとプレゼン…

まっちゃだいふくさんの日記経由で。 航空機内で乗客が使用した携帯電話などの電子機器の影響で、機体に異常が出た件数が０５年には４８件あり、９９年の１０件から激増したことが国土交通省の調べで分かった。 （略） 国交省によると、これまでに報告された…

日本ベリサイン、EV SSL対応サーバー証明書の発行を開始 - ITpro ベリサインも、EV SSLのサーバ証明書の発行を開始したそうです。 日本ベリサインは2007年3月28日、EV SSL対応のサーバー証明書の発行を開始した。価格は17万100円から。 （略） 従来のサーバ…

Jiktoの話です。Billy Hoffman氏本人のブログを見ると、以下のように書いています（下線は私が付けたものです）。 I'll discuss how JavaScript is capable of crawling and auditing 3rd party websites just like a traditional web scanner. As a proof o…

SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。面白いなーと思った…

一部でAdSenserというサービスが話題（問題）になっているようです。 Google AdSense広告を掲載しているサイトを対象とした検索サイトだそうな。アドセンスは基本的に一人1つのIDしか発行しないので、全く内容の違う複数のサイトに広告を貼る場合でも、同じ…

容疑者は自動的にアクセスを試行するプログラムを作成し、2日間で17万回のアクセスを行い、26名分のIDとパスワードを入手、このうち5名分の取引履歴を閲覧していた。 https://www.netsecurity.ne.jp/1_8865.html 17万回のアクセスで26名分のIDとパスワードを…

まっちゃだいふくさんの日記経由です。KDDIが総務省から勧告を受けたようです。 総務省は9日、1月に発覚したau携帯電話の解約者（約22万4千件）の個人情報漏洩に関し、KDDIに対し個人の権利利益を保護するために必要な措置をとるよう、個人情報保護法第34条…

多くの携帯サイトでは、GETパラメータでセッションIDの引き回しをしているようです。そのようなサイトでは、ユーザが外部サイトへのリンクを踏んだ際に、リファラーからセッションIDが外部サイトに漏れてしまう問題が指摘されています。今日はこの問題につい…

タイトルが少し変になっていたので修正、あわせて本文にも追記しました（2007/03/22） 利用者は認証画面の中にマトリックス状に表示される複数の画像から、家族やペット、ふるさとの風景など自分にとって懐かしい写真や図柄に触れることで認証を行う。ダミー…

情報セキュリティ大学院大学の辻井学長によれば、「情報セキュリティとは、情報技術によって拡大した自由を損なうことなく、”技術、管理運営手法、法律・社会制度、情報モラルを相互に深く連携させ、協調させて、利便性、効率性と安全性の向上、プライバシー…

http://www.owasp.org/index.php/OWASP_Testing_Projectざっと中身を見てみました。270ページもあるので、読み終わる頃には目がしょぼしょぼになります。SDLC全体でセキュリティ対策をする・・・というように書かれていますが、内容的にはPenetration Testの…

KCCS（京セラコミュニケーションシステム）の2007年版 Webアプリケーション脆弱性動向という資料を読みました。資料のダウンロードは以下から（氏名住所等の入力が必要）。 https://www.kccs.co.jp/contact/paper_websecurity/index.html昨年KCCS社で実施し…

携帯電話のWebAPセキュリティについて、話題になっているようです。http://takagi-hiromitsu.jp/diary/20070223.html#p01 http://kaede.to/~canada/doc/sessionid-and-cellphone携帯ブラウザは、一切リファラーを送らないと信じていたんですが、ネットで調べ…

<p>ココ</p> 上記の ココ に任意の文字列を挿入できる場合、最短で何文字でJavaScriptを起動できるのか？ というような話題です（完全にお遊びです）。http://sla.ckers.org/forum/read.php?2,6964,7145forumの内容を参考に、手元の環境でやってみると、以下が最短…

Google がリダイレクタにフィッシング対策を施したとのニュースを、ha.ckers.orgで読みました。1月末のslashdot（日本版）の記事でも、これを取り上げていました（どうも見落としていたようです）。 google.comがクリック数を計測するために用意しているリダ…

ニュージーランド南方の南極海で見つかった世界最重量の巨大イカ。体長は約１０メートル、重さは約４５０キロにもなり、これまで発見されたイカの中では世界最重量になるという（同国漁業省提供） http://headlines.yahoo.co.jp/hl?a=20070222-05046137-jijp…

ロバート・アドラー氏（テレビのリモコンの共同開発者）ＡＰ通信によると、１５日、米アイダホ州の医療施設で心不全のため死去、９３歳。４１年、米家電メーカー、ゼニス・エレクトロニクスの研究部門に入り、５６年に開発された超音波を使うリモコン「ゼニ…

最近やっと、OpenIDというものの存在を知りました（遅い！）。自分のブログURLをIDで使える!―OpenID.ne.jp(オープンアイディー）ちょっと調べてみました。 概要 いわゆるSSO（シングルサインオン）サービスです。 単一のID/パスワードで、複数のWebサイト（C…

今日の日記では、以下のようなPHPコードへの攻撃について書きます。

Yahoo! Japanが、自身のログイン履歴を参照できる機能を導入したそうです。ITPro - ヤフー、第三者による不正ログインを早期発見する機能を提供コンシューマ向けのサイトで、この種の機能を持つものは少ないですね。私はオンラインバンキングくらいしか知り…

XSS（クロスサイトスクリプティング）に関する本が出版されるようです。XSS Attacks: Cross Site Scripting Exploits and Defense作者: Seth Fogie,Jeremiah Grossman,Robert Hansen,Anton Rager,Petko D. Petkov出版社/メーカー: Syngress発売日: 2007/05/2…

Stefan Esser氏*1へのインタビュー記事がSecurityFocus - PHP Security From The Insideに載っています。インタビュー記事の内容は PHP Security Response Team を辞任した経緯などなど、結構盛りだくさんですが、注目すべきは記事の3ページ目の『2007年3月…