セキュリティ

Security Restriction

WASCのWeb Security MLで、「Security Restriction」(以降SRと略します)という新しいセキュリティ機構の案が提示され、議論されています。The websecurity August 2007 Archive by threadこの方(Agarwal氏)のメールはいつも見づらいのですが、その辺は置…

CGISecurity.comの記事より

eEyeがWebセキュリティ分野に参入 Dark Reading | Security | Protect The Business - ... 良いWebアプリケーションスキャナを作ってくれそうです。 XPath Injection対策の話(IBM) http://www.ibm.com/developerworks/xml/library/x-xpathinjection.html P…

ImageFight2

先日の日記を見て頂いたようで、id:TAKESAKOさんがmod_imagefightをアップデートされていました。ソースを見ると、height/widthがそれぞれ最大6000pixelに変更されていました。むむむ・・・これは厳しい(今日は完全に攻撃者の視点になってます)。 しつこく…

MOPB Exploits taken down

MOPB(Month Of PHP Bugs)のStefan Esser氏のブログの記事です。http://blog.php-security.org/archives/91-MOPB-Exploits-taken-down.htmlドイツで、コンピュータへの侵入に使われうるソフトウェアについて、その作成・配布・使用を禁止する法律ができたとの…

ウェブアプリケーションセキュリティ

ウェブアプリケーションセキュリティ作者: 金床出版社/メーカー: データ・ハウス発売日: 2007/07/21メディア: ハードカバー購入: 3人 クリック: 66回この商品を含むブログ (23件) を見るついに我が家にもきましたぜ。

ImageFight

画像を用いたXSSとRFI対策のためのApache Moduleが出たようです。LL魂お疲れ様でした[LLSpirit] | TAKESAKO @ Yet another Cybozu Labsもう夜遅いので、気づいた事を少しだけ書きます。とりあえずは、PNGのXSS対策の部分についてだけ。 このプログラムは、IH…

価格の改竄などの話

ECサイトにおける価格の改竄の対策として、「購入確定処理で、クライアントからPOSTされてくる商品IDをキーに商品マスタテーブルを検索して、検索した結果の価格で購入処理を行なう」というような趣旨の対策が書いてあるのを見たことがあります。これは悪意…

frame hijacking?

http://sla.ckers.org/forum/read.php?2,13283,13283のスレッドを読みました。frame(iframe)のURLが、よそのドメインのページ内のJavaScriptから書き換えられてしまうという問題について書かれています。例えば、被害サイト(victim.com)に以下のようなif…

画像へのPHPコマンド挿入

だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blogアップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンド…

ローカルProxyツール

6/19の日記の続きで、ローカルProxyツールについて、少し書きます。 Burp Proxy JRE上で動くツールです。Web Application Security, Testing, & Scanning | PortSwiggerv1.01をインストールして、何度か使ってみました。全体的には、コンパクト・シンプルで…

ローカルProxyツール

数年前から、ローカルのProxyツールとしてParosを使っていました。私が使ってみて感じた、Parosの良いところ・悪いところは以下です。【良いところ】 ・UIデザインが割とちゃんとしている・文字化けせずにレスポンス表示できる・簡単な自動検査の機能もつい…

eBayとPayPal,サインイン時に利用可能な使い捨てパスワード生成トークンを発売:ITPro

eBayとPayPalでワンタイムパスワードが使えるようになるそうです。ただ、ワンタイムパスワードを利用するためには、ユーザが初期費用として5ドル負担しなければならないとのこと(三井住友銀行は月額105円らしいので、それに比べれば安いです)。今のところ…

ログイン成功時のリダイレクト先

高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない簡単な対処方法は、Yahooがやっているように、ログイン成功時に「backurl」のドメインなどをチェックをして、「自サイト外」ならばリダイレクトせずに…

DeXSSを試した

DeXSSはJavaのアンチXSSライブラリです。掲示板やWebメールなどのアプリで、HTMLタグを許容しながら、JavaScriptを除去したい場面で使用します。XSS攻撃対策用のライブラリ - DeXSS 1.0登場 | エンタープライズ | マイコミジャーナル DeXSS -- Java program …

Piece Frameworkを試した

Piece FrameworkはPHPのフレームワークです。セキュリティに強い、そして日本人が開発している、というのが特徴のようです。【PHPウォッチ】第34回 セキュアでロバストなPHPフレームワーク「Piece Framework」:ITPro Piece Framework - A stateful and secu…

ITmedia エンタープライズ:Google Readerにログイン妨害の脆弱性

それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ(XSRF)の脆弱性が存在する。Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が…

htmlspecialcharsと不正な文字の話

PHPでは、HTMLエスケープ用の関数としてhtmlspecialcharsが用意されています。今日の日記では、htmlspecialcharsについて書きます。これと近い働きをするhtmlentitiesについても触れます。 htmlspecialcharsの基本 こんな感じで使います。 関数の引数は3つ…

Yahooのログインシール

Yahoo! Japanが新たなフィッシング対策を導入したそうです(産総研との共同実験のとは別物です)。 ヤフーは26日、フィッシング詐欺対策として、Yahoo! JAPAN IDのログイン画面に、ユーザーが設定した写真や文字列を表示する「ログインシール」機能を追加し…

HDIV (Http Data Integrity Validator)

WebAppSecのMLで知ったのですが、HDIVというStrutsのextensionがあるそうです。HDIVには色々な機能があるようですが、 完全性hiddenの値、プルダウンやラジオボタンの取りうる値、リンク、Cookieなどの改竄を検知する。 機密性HTML内に現れるデータを隠蔽す…

Jiktoのソース

Jeremiah Grossman氏のブログなどに書かれていますが、非公開としていたJiktoのソースコードが流出したそうです。あわせて、先月のShmooConでのプレゼン資料が公開されています(概要だけならば、この資料の方が理解しやすいです)。ソースコードとプレゼン…

携帯電話:航空機内の使用で異常、05年に48件

まっちゃだいふくさんの日記経由で。 航空機内で乗客が使用した携帯電話などの電子機器の影響で、機体に異常が出た件数が05年には48件あり、99年の10件から激増したことが国土交通省の調べで分かった。 (略) 国交省によると、これまでに報告された…

フィッシング関連の話題

日本ベリサイン、EV SSL対応サーバー証明書の発行を開始 - ITpro ベリサインも、EV SSLのサーバ証明書の発行を開始したそうです。 日本ベリサインは2007年3月28日、EV SSL対応のサーバー証明書の発行を開始した。価格は17万100円から。 (略) 従来のサーバ…

ウェブ閲覧者を攻撃者の手先に変えるツール--研究者が発表へ

Jiktoの話です。Billy Hoffman氏本人のブログを見ると、以下のように書いています(下線は私が付けたものです)。 I'll discuss how JavaScript is capable of crawling and auditing 3rd party websites just like a traditional web scanner. As a proof o…

SessionSafe: Implementing XSS Immune Session Handling

SessionSafeは、ハンブルグ大学のMartin Johnsさんが書いたWeb APの方式案です。もしWeb APにXSS脆弱性があって、これが攻撃されたとしても、 セッションIDが盗まれない 当該ページ以外の情報が窃取・改竄されない ことを目指しています。面白いなーと思った…

AdSenserについて

一部でAdSenserというサービスが話題(問題)になっているようです。 Google AdSense広告を掲載しているサイトを対象とした検索サイトだそうな。アドセンスは基本的に一人1つのIDしか発行しないので、全く内容の違う複数のサイトに広告を貼る場合でも、同じ…

ジェット証券の事件

容疑者は自動的にアクセスを試行するプログラムを作成し、2日間で17万回のアクセスを行い、26名分のIDとパスワードを入手、このうち5名分の取引履歴を閲覧していた。 https://www.netsecurity.ne.jp/1_8865.html 17万回のアクセスで26名分のIDとパスワードを…

個人情報保護法に基づく勧告

まっちゃだいふくさんの日記経由です。KDDIが総務省から勧告を受けたようです。 総務省は9日、1月に発覚したau携帯電話の解約者(約22万4千件)の個人情報漏洩に関し、KDDIに対し個人の権利利益を保護するために必要な措置をとるよう、個人情報保護法第34条…

携帯電話のリファラー(2)

多くの携帯サイトでは、GETパラメータでセッションIDの引き回しをしているようです。そのようなサイトでは、ユーザが外部サイトへのリンクを踏んだ際に、リファラーからセッションIDが外部サイトに漏れてしまう問題が指摘されています。今日はこの問題につい…

“記憶認証”がプライベートバンクの入室管理で採用 - @IT

タイトルが少し変になっていたので修正、あわせて本文にも追記しました(2007/03/22) 利用者は認証画面の中にマトリックス状に表示される複数の画像から、家族やペット、ふるさとの風景など自分にとって懐かしい写真や図柄に触れることで認証を行う。ダミー…

情報セキュリティの目的

情報セキュリティ大学院大学の辻井学長によれば、「情報セキュリティとは、情報技術によって拡大した自由を損なうことなく、”技術、管理運営手法、法律・社会制度、情報モラルを相互に深く連携させ、協調させて、利便性、効率性と安全性の向上、プライバシー…