セキュリティ
http://www.owasp.org/index.php/OWASP_Testing_Projectざっと中身を見てみました。270ページもあるので、読み終わる頃には目がしょぼしょぼになります。SDLC全体でセキュリティ対策をする・・・というように書かれていますが、内容的にはPenetration Testの…
KCCS(京セラコミュニケーションシステム)の2007年版 Webアプリケーション脆弱性動向という資料を読みました。資料のダウンロードは以下から(氏名住所等の入力が必要)。 https://www.kccs.co.jp/contact/paper_websecurity/index.html昨年KCCS社で実施し…
携帯電話のWebAPセキュリティについて、話題になっているようです。http://takagi-hiromitsu.jp/diary/20070223.html#p01 http://kaede.to/~canada/doc/sessionid-and-cellphone携帯ブラウザは、一切リファラーを送らないと信じていたんですが、ネットで調べ…
<p>ココ</p> 上記の ココ に任意の文字列を挿入できる場合、最短で何文字でJavaScriptを起動できるのか? というような話題です(完全にお遊びです)。http://sla.ckers.org/forum/read.php?2,6964,7145forumの内容を参考に、手元の環境でやってみると、以下が最短…
Google がリダイレクタにフィッシング対策を施したとのニュースを、ha.ckers.orgで読みました。1月末のslashdot(日本版)の記事でも、これを取り上げていました(どうも見落としていたようです)。 google.comがクリック数を計測するために用意しているリダ…
最近やっと、OpenIDというものの存在を知りました(遅い!)。自分のブログURLをIDで使える!―OpenID.ne.jp(オープンアイディー)ちょっと調べてみました。 概要 いわゆるSSO(シングルサインオン)サービスです。 単一のID/パスワードで、複数のWebサイト(C…
今日の日記では、以下のようなPHPコードへの攻撃について書きます。
Yahoo! Japanが、自身のログイン履歴を参照できる機能を導入したそうです。ITPro - ヤフー、第三者による不正ログインを早期発見する機能を提供コンシューマ向けのサイトで、この種の機能を持つものは少ないですね。私はオンラインバンキングくらいしか知り…
XSS(クロスサイトスクリプティング)に関する本が出版されるようです。XSS Attacks: Cross Site Scripting Exploits and Defense作者: Seth Fogie,Jeremiah Grossman,Robert Hansen,Anton Rager,Petko D. Petkov出版社/メーカー: Syngress発売日: 2007/05/2…
Stefan Esser氏*1へのインタビュー記事がSecurityFocus - PHP Security From The Insideに載っています。インタビュー記事の内容は PHP Security Response Team を辞任した経緯などなど、結構盛りだくさんですが、注目すべきは記事の3ページ目の『2007年3月…
「誰かに脅迫されて、自分の預金を引き出す時には、銀行のATMで暗証番号を逆順に入力すればよい。通常通りお金を引き出すことができるが、あなたが脅されていることが警察に通報される――真偽の程は不明だが、そんな噂を聞いた。」Reverse Pin Numbers Enable…
SPIT(SPAM over IP Telephony)関連の話です。 IP電話はブロードバンド環境の整備に伴い、企業/家庭を問わず急速に普及しているが、その使いやすさからアナログ電話同様に自動広告通話やフィッシング詐欺(ビッシング:VoIP版フィッシング)といったSPITに…
SHA1でハッシュ化したパスワードは危険になった - yohgaki's blogを読みました。その記事に関連したことを書きます。 ハッシュアルゴリズムの切替え 記事を読んで思い出したのは、既にパスワードをハッシュ化して保存していて、そのアルゴリズムが脆弱になっ…
今更ながらですが、PHPのmagic_quotes_gpcをOnにすべきでない理由を整理してみます。世の中には、magic_quotes_gpcはOffにすべき、と書いた文章は多数あるのですが、その理由を(私が見る限りで)十分に説明しているものは無いからです。以下では、1. 対象外…
Jeremiah GrossmanのBlogに、Preventing CSRF when vulnerable to XSSという記事がありました。MySpaceワームなどを念頭に、XSS脆弱性がある状態でCSRFを防ぐアイディアを記述しています(現時点ではあくまでも実験的な内容だと、冒頭に注意書きされています…
http://ha.ckers.org/blog/20070119/microsoft-engineers-are-paying-attention/XSS Cheat SheetのRSnakeと、MSがコンビを組むということでしょうか。ありえない組合せのような気もしますが、うまくいくといいですね。今後の成り行きに注目です。
先日、家内がヤフオクである商品に入札しました。結局競り負けて落札に失敗したのですが、その翌日に、家内のアドレス(Yahoo! Mail)に次のようなメールが届きました。 ○○商品の出品者の××××と申します。 落札者の方が事情によりキャンセルされたので、次点…
大垣さんの連載がはじまったようです。なぜPHPアプリにセキュリティホールが多いのか?連載の一回目は、以下のような内容でした。 CVEに登録される脆弱性全体のうち、PHP AP関連は半数弱を占める。 PHP APの脆弱性の約4割は、Remote File Inclusionという深…
#遅ればせながら、明けましておめでとうございます。httponlyは普及するのかという日記を昨年末(12/26)に書きました(今更ながら、日記のタイトルが内容を現してなかったな…)。httponlyに関して追加の情報がありましたので、本日の日記に記します。情報…
Webメールでは、受信したHTMLメールのタグを残して、クライアントサイドスクリプト(JavaScriptなど)のみを除去するサニタイズ処理を行ないます。このようなスクリプト除去処理は、Blog、掲示板などでも行なわれる、比較的ポピュラーなものであるため、それ…
Firefox2でもhttponlyが使えるという話を耳にしました。httpOnly - Firefox Add-ons*1httponlyがいよいよ普及するか? というのでネタにしてみます。 なお、この日記は、WinXP+IE6SP2環境を前提として書きました。 はじめに httponlyは、XSS脆弱性がある状…
Webアプリケーションでは、外部からの変数に対して、形式チェック(Validation)を行ないます。PHPでこれを行なう場合に、ありがちなミスをいくつか挙げてみました。この日記は、がるさんの日記に触発されて書いたもので、いくつかの例を引用しています。が…
PHPでのプログラミングを取り上げたサイトで、少々おかしなコードを見つけた。 調べてみると、他にも同じような書き方をしているサイトをいくつか見つけたので、日記のネタにしてみようかと思う。そのコードは、以下のようなもの(表示の都合で折り返してい…
ha.ckers.orgの12/3のブログ記事 Microsoft XSS Library is Pretty Goodに、Microsoft Anti-Cross Site Scripting Libraryに関する記事が載っていた。早速、以下のページを参考に、インストールして使ってみた。 MSDN - Anti-Cross Site Scripting Library M…
多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。以下に、これを実現するための2通りのシ…
「register_globals=onを前提に作成された既存のPHP APを、offでも動作するように効率的に改造する方法について」記述したページを作成した。なんやかやで二日くらいかかってしまった。 興味のある方はぜひご一読を。PDF版もあります。
seasurfersというMLに参加している。このMLの名称(seasurfers)は、CSRF(Cross Site Request Forgery)をひねった?もののようで、CSRFをはじめとしたWeb APセキュリティが主な話題のようだ。ここで最近取り上げられていたのは、RefererでCSRFを防止する対…
The Web Application Security Consortium (WASC)という団体のMLをRSSで購読している。久々にたまっていた記事を見ていたら、バンクオブアメリカ(BoA、バンカメ)のオンラインバンキングのフィッシング対策(Sitekeyという)の話題で盛り上がっていた。Site…
