4月の日記にも少し書きましたが、実際にHDIVを使ってみたので日記に書きます。Unified Application Security | Hdiv Security 概要 HDIVでは、Webブラウザからサーバに送られてくるデータを「editable」と「non-editable」に分けています。editableはテキス…

Webアプリケーションのセキュリティ対策としての入力値検証について議論されています。そろそろ入力値検証に関して一言いっとくか: Webアプリケーション脆弱性対策としての入力値検証について - 徳丸浩の日記(2007-09-05)思ったことをいくつか書きます。 徳…

GNUCITIZEN経由。ついにXMLHttpRequest（XHR）でクロスドメインなアクセスが！Flashのcrossdomain.xmlみたいなセキュリティモデルを採用したXHRが、Firefox3のAlpha7に実装されるそうです。ベースはW3CのDraftである「Cross-Origin Resource Sharing」とのこ…

CGISecurity.com経由。JSON、Ajaxのセキュリティというと、eval云々や、XSSやJavaScript Hacking的なことが話のメインになってしまうことがあります。でも、最大の危険性は別のところにあるよ、という話です。簡単に言うと、この記事では、従来サーバ側にあ…

Dark Reading | Security | Protect The Business - ...脆弱性検査の手法（欠陥挿入＝Fault Injection）に関する特許を持つCenzicが、SPIを特許侵害で訴えたという話です。関連：・Cenzicの特許 United States Patent: 7185232・Sanctum（Watchfire/IBM）も…

引越し以来、狭い水槽に入れていた熱帯魚を、やっと60cm水槽に移動。今回は、掃除がしやすい大磯砂を底に敷いた。それから、魚が隠れる場所を作るために、とりあえずお菓子の蓋やら茶碗を水槽に入れる。今はだいぶ格好悪いけど、最終的にはお菓子の蓋などは…

ランチ券みたいのを入手したので、土曜日は銀座のマキシムでランチ。暑くて思わず店の中でジャケットを脱ごうとしてしまい、お店の人にたしなめられる。料理はそれなりに美味しかったけど、カジュアルなお店の方が性に合っているなあと思う。帰りに、三越で…

PDFのUXSSなどの発見で有名なStefano Di Paola氏のPoCです。現状の一般的なXSS対策とは異なり、バリデーションやHTMLエスケープ（バインド）処理を、ブラウザ側で行なおうというものです。 バインド処理 例えば、サーバからブラウザに以下のようなHTMLを返し…

WASC（Web Application Security Consortium）が新しいプロジェクトを立ち上げるそうです。The Web Application Security Consortium / Web Application Security Scanner Evaluation CriteriaWebアプリケーションのセキュリティ検査に使用するスキャナを評…

WASCのWeb Security MLで、「Security Restriction」（以降SRと略します）という新しいセキュリティ機構の案が提示され、議論されています。The websecurity August 2007 Archive by threadこの方（Agarwal氏）のメールはいつも見づらいのですが、その辺は置…

eEyeがWebセキュリティ分野に参入 Dark Reading | Security | Protect The Business - ... 良いWebアプリケーションスキャナを作ってくれそうです。 XPath Injection対策の話（IBM） http://www.ibm.com/developerworks/xml/library/x-xpathinjection.html P…

先日の日記を見て頂いたようで、id:TAKESAKOさんがmod_imagefightをアップデートされていました。ソースを見ると、height/widthがそれぞれ最大6000pixelに変更されていました。むむむ・・・これは厳しい（今日は完全に攻撃者の視点になってます）。 しつこく…

MOPB(Month Of PHP Bugs)のStefan Esser氏のブログの記事です。http://blog.php-security.org/archives/91-MOPB-Exploits-taken-down.htmlドイツで、コンピュータへの侵入に使われうるソフトウェアについて、その作成・配布・使用を禁止する法律ができたとの…

ウェブアプリケーションセキュリティ作者: 金床出版社/メーカー: データ・ハウス発売日: 2007/07/21メディア: ハードカバー購入: 3人 クリック: 66回この商品を含むブログ (23件) を見るついに我が家にもきましたぜ。

画像を用いたXSSとRFI対策のためのApache Moduleが出たようです。LL魂お疲れ様でした[LLSpirit] | TAKESAKO @ Yet another Cybozu Labsもう夜遅いので、気づいた事を少しだけ書きます。とりあえずは、PNGのXSS対策の部分についてだけ。 このプログラムは、IH…

横浜（の山奥）から東京（の外れの方）に引越ししました。荷物の片付けは、土日で8割方完了。ですが、なんやかやでくたびれ果てて、今日は一日会社をお休みしてぐったり。昼過ぎから寝ころびながらRSSのフィードを見たりしていたら、一日が終わってしまいま…

ECサイトにおける価格の改竄の対策として、「購入確定処理で、クライアントからPOSTされてくる商品IDをキーに商品マスタテーブルを検索して、検索した結果の価格で購入処理を行なう」というような趣旨の対策が書いてあるのを見たことがあります。これは悪意…

http://sla.ckers.org/forum/read.php?2,13283,13283のスレッドを読みました。frame（iframe）のURLが、よそのドメインのページ内のJavaScriptから書き換えられてしまうという問題について書かれています。例えば、被害サイト（victim.com）に以下のようなif…

だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blogアップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンド…

6/19の日記の続きで、ローカルProxyツールについて、少し書きます。 Burp Proxy JRE上で動くツールです。Web Application Security, Testing, & Scanning | PortSwiggerv1.01をインストールして、何度か使ってみました。全体的には、コンパクト・シンプルで…

久々にはてなの自分の日記を見てみたら、なぞの星マークが表示されていました。はてなが新しい機能を追加したんですね。はてなスターはじめてガイド - お問い合わせ - はてなまだイマイチ判ってませんが、私も使ってみようと思います。

数年前から、ローカルのProxyツールとしてParosを使っていました。私が使ってみて感じた、Parosの良いところ・悪いところは以下です。【良いところ】 ・UIデザインが割とちゃんとしている・文字化けせずにレスポンス表示できる・簡単な自動検査の機能もつい…

eBayとPayPalでワンタイムパスワードが使えるようになるそうです。ただ、ワンタイムパスワードを利用するためには、ユーザが初期費用として5ドル負担しなければならないとのこと（三井住友銀行は月額105円らしいので、それに比べれば安いです）。今のところ…

高木浩光＠自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない簡単な対処方法は、Yahooがやっているように、ログイン成功時に「backurl」のドメインなどをチェックをして、「自サイト外」ならばリダイレクトせずに…

DeXSSはJavaのアンチXSSライブラリです。掲示板やWebメールなどのアプリで、HTMLタグを許容しながら、JavaScriptを除去したい場面で使用します。XSS攻撃対策用のライブラリ - DeXSS 1.0登場 | エンタープライズ | マイコミジャーナル DeXSS -- Java program …

Piece FrameworkはPHPのフレームワークです。セキュリティに強い、そして日本人が開発している、というのが特徴のようです。【PHPウォッチ】第34回 セキュアでロバストなPHPフレームワーク「Piece Framework」：ITPro Piece Framework - A stateful and secu…

それによると、Google ReaderではRSSフィードでテキストと画像を表示することができるが、この機能に関してクロスサイトリクエストフォージェリ（XSRF）の脆弱性が存在する。Google Readerのログオフボタンにはハイパーリンクが使われることがあり、攻撃者が…

PHPでは、HTMLエスケープ用の関数としてhtmlspecialcharsが用意されています。今日の日記では、htmlspecialcharsについて書きます。これと近い働きをするhtmlentitiesについても触れます。 htmlspecialcharsの基本 こんな感じで使います。 関数の引数は３つ…

Yahoo! Japanが新たなフィッシング対策を導入したそうです（産総研との共同実験のとは別物です）。 ヤフーは26日、フィッシング詐欺対策として、Yahoo! JAPAN IDのログイン画面に、ユーザーが設定した写真や文字列を表示する「ログインシール」機能を追加し…

WebAppSecのMLで知ったのですが、HDIVというStrutsのextensionがあるそうです。HDIVには色々な機能があるようですが、 完全性hiddenの値、プルダウンやラジオボタンの取りうる値、リンク、Cookieなどの改竄を検知する。 機密性HTML内に現れるデータを隠蔽す…