「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」 - 葉っぱ日記
IPAから情報セキュリティ技術動向調査(2011 年上期) のひとつとして「Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS」という報告が公開されていますので、ちょっと読んでみた感想などを…。 まずは些末なツッコミから。 (5.2. Ajaxの登場と進化) JavaScriptの中からのWebサーバとの間の非同期の通信を可能にしたAPIは、XMLHttpRequestという組み込みオブジェクトであるXMLHttpRequest として最初に実装されたIEのそれは、ActiveX Object であり「組み込みオブジェクト」ではありません。 (5.5. 「同一源泉」の制約) 「同一源泉」の制約「同一源泉」なんていう独自用語使わずに、"Same Origin Policy" そのままか、あるいは「同一生成元ポリシー」と書けばいいのに。 (5.9. XHRレベル2) 例えば、次のよ
SANS - Internet Storm Center - Cooperative Cyber Threat Monitor And Alert System
Published: 2011-09-22. Last Updated: 2011-09-22 14:53:50 UTC by Rob VandenBrink (Version: 1) There's been a lively discussion on vulnerabilities in TLS v1.0 this week, based on an article posted earlier in the week ( http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/, http://www.theregister.co.uk/2011/09/21/google_chrome_patch_for_beast/, http://isc.sans.edu/diary.html?storyid=1161
SSL証明書不正発行のDigiNotarが破産 - うさぎ文学日記
"google.com"などの500以上のSSL証明書を不正発行されたという事件を起こしたオランダの認証局DigiNotarが、9月19日に自己破産を申請して、裁判所によって破産宣告されたと、親会社のVASCO Data Security International, Incから発表がありました。 認証局としての信頼を失い、各種ブラウザからDgiNotarの認証局ごと削除されたので、復活するのは難しかったのかもしれませんね。 news_VASCO Announces Bankruptcy Filing by DigiNotar B.V. 会社がなくなったとしても、発行された不正な証明書の影響は当分残りそうですね。PCのブラウザはアップデートで対応していますが、携帯やAndroid端末などは更新されないものも多そうです。 そして同じような事件があったComodoは大丈夫かな?GlobalSi
通信を保護する「SSL/TLS」の脆弱性を突いたhttps攻撃、研究者が発表へ
アルゼンチンでのセキュリティ会議で「SSL/TLSに対する選択平文攻撃」についてのプレゼンテーションが予定されている。 アルゼンチンのブエノスアイレスで開かれているセキュリティカンファレンス「ekoparty」で、研究者がhttpsに対する暗号攻撃について発表を予定している。 このカンファレンスは9月21日から23日までの日程でブエノスアイレスで開かれるもの。カンファレンスのWebサイトに掲載された日程表によると、この中で23日に、「SSL/TLSに対する選択平文攻撃」について2人の研究者がプレゼンテーションを行う。 SSL/TLSはWebトラフィックの通信暗号化に用いられるプロトコル。「https」のURLが付いたWebサイトに利用され、ユーザーとWebサイトとの間でやり取りされるデータの盗聴や改ざんを防いでいる。23日の発表では、このSSL/TLSの脆弱性を突き、HTTPSリクエストの
「安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始します - ockeghem's blog
このエントリでは「体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践」(いわゆる徳丸本、#wasbook)の電子書籍版が9月28日(水)に販売開始されるというお知らせをします。 大変要望の多かった徳丸本の電子書籍版ですが、タイトルのように、9月28日(水)の午前中に販売開始されることになりました。以下に諸データを記します。 販売サイト ブックパブ(http://bookpub.jp/) 販売開始 9/28(水)午前 定価 2,800円 キャンペーン価格 1,800円 キャンペーン期間 9/28(水)〜10/17(月)の20日間 いくつか特記すべき事項があります。 まず、電子書籍の形式ですが、*DRMフリーのPDF* です。従来版元のソフトバンククリエイティブでは、iOSやAndroidのアプリという形式で電子書籍を販売したようですが、この徳丸本の電子版から
HTTPSサイトに自動接続するFirefox拡張機能「HTTPS Everywhere」正式版リリース
HTTPS Everywhereをインストールすると、Google検索やTwitter、Facebookなど、対応する1000以上のWebサイトに自動的にHTTPS接続する。 デジタル市民権団体の電子フロンティア財団(EFF)は8月4日(現地時間)、プライバシー保護の非営利団体Tor Projectとともに、Firefox向け拡張機能「HTTPS Everywhere」の公式版(バージョン1.0)を公開したと発表した。HTTPS Everywhereのページからダウンロードできる。 HTTPSは、HTTPでの通信を暗号化することでセキュリティを強化し、盗聴やなりすましを回避する技術。この方法で接続すると、URLの最初の部分が「http」ではなく「https」と表示される。HTTPS Everywhereをインストールすると、対応するWebサイトに接続する場合、自動的にHTTPSで接続する。
今ツイッターで流れているPixivのセキュリティ問題関連の情報はどこまで正しいのか?現役プログラマーの見解
女性声優 @ssig33 @mittsmame メールアドレスパスワード云々の件は完全にデマだけど、ここから平然と火に油を注ぐのが Pixiv という感じがしますね、、、 2011-08-08 18:33:58 女性声優 @ssig33 パスワードブルートフォースすればアプライアンスのファイアーウォールで止まるし、そういうのいれてなければふつうログインまわりに一定回数以上試行で止まるし、それで止まらなくても高速にブルートフォースすればアプリケーション落ちて止まる 2011-08-08 18:35:43 女性声優 @ssig33 今のは一般論で Pixiv は同一 IP から一定速度以上でアクセスくると 500 だか 502 だか返すようになるのでブルートフォースむり。 mx レコード見えてたらメールアドレス漏れるとか言ってるやつは、論外すぎる、、、 2011-08-08 18:36:30
うさぎ文学日記
2016年8月2日に3年ぶりに書籍を出します。テーマは「Webアプリケーション脆弱性診断」です。 弊社(株式会社トライコーダ)では脆弱性診断を学ぶための講座をいくつか提供していたり、リーダーを務めるOWASP Japanの脆弱性診断士スキルマッププロジェクトでのガイドライン作りなどによって、診断会社各社の診断手法やノウハウなどを蓄積することができました。本書はそれを一冊にまとめた本となっています。 Webセキュリティ担当者のための脆弱性診断スタートガイド 上野宣が教える情報漏えいを防ぐ技術発売元: 翔泳社価格: ¥ 3,456発売日: 2016/08/02posted with Socialtunes at 2016/07/13 脆弱性診断はセキュリティ会社が実施することが多いのが現状のようです。それは脆弱性診断という技術が特殊なために熟練のセキュリティ専門家でないと実施できないという誤解
「Google+」、大量のアカウントを削除--本名使用に関するポリシー違反が理由か
本名使用に関するコミュニティーの標準規約で苦労している「Google+」において、この24時間でかなりの数のアカウントが削除され、ユーザーに疎外感と恐怖を与えている。 Limor Fried氏(別名Adafruit IndustriesのLadyada)のアカウントは一度削除されたが、影響力が大きいことから復元された。Fried氏は先頃、WIRED Magazineの表紙に取り上げられている。 GoogleはLimor Fried氏のGoogle+プロフィール「Ladyada」を一時停止したが、不満の声が殺到した後、不思議なことに同氏のアカウントは復元された。削除されたほかのアカウントはFried氏のような有利な立場にはない、と言うにとどめておこう。 多くのアカウントが削除され、記事執筆時点である米国時間7月23日アカウントの復元には至っていない。 筆者は23日午前、過去のGoogle+関
ブルーコート、枯渇で増えた「中古IPv4」の危険性を警告
7月6日、ブルーコートシステムズは「中古IPv4アドレス」の危険性に関するメディアアラートを公表した。 IPv4アドレスの在庫枯渇により、未使用のIPv4アドレスの入手は困難となっている。こうした状況を受け、使用済みの「中古の」IPv4アドレスを売買する市場が形成されつつあるのだという。こうした中古のIPv4アドレス購入で問題となるのが、そのアドレスの過去だ。 メディアアラートによれば、購入したIPv4アドレスが、故意にあるいは故意ではなくともマルウェアネットワーク上に存在していた場合、「AUP(Acceptable Use Policy:ネットワークの利用目的を制限する規則)」によって、Webサイトへの通信が遮断されるという不利な評価をされる可能性があるという。そして、評価の定期的な見直しがなければ、その不利な評価の履歴はいつまでもWebフィルタリング上に残り、マルウェアの攻撃が終わって
Exploit Kit (Exploit Pack) って何?あなたのブラウザは大丈夫?:高橋晶子のセキュリティ漂流記:オルタナティブ・ブログ
Exploit Kit (Exploit Pack) とは、闇市場で購入できる攻撃用のインフラで、訪問者の環境を自動判別して exploit を実行したり、訪問者のブラウザ環境や exploit の成功率といった統計情報を提供します。 一般的な OS、ブラウザ、アプリケーションの脆弱性を悪用する exploit (攻撃コード) を提供し、マルウェアの感染に必要な Web サーバーを構築します。有名なところでは、Phoenix、CRiMEPACK、IcePack、Eleonore、Yes、Fragus といった Exploit Kit があります。 Exploit Kit は、多くの大規模マルウェア感染 (Zeus、SpyEye、など) で利用されています。影響を受けたマシンはボットネットの一部として、スパム配信や DDoS 攻撃に使われたり、ブラウザの使用をモニタリングされ、銀行のオンライ
エフセキュアブログ : 著作権に関する容疑で学生が米国送還に直面?
著作権に関する容疑で学生が米国送還に直面? 2011年06月21日02:42 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 今週末、Richard O'Dwyerがニュースになった。彼は英国出身の23歳で、著作権侵害の容疑で米国政府に検挙されたWebサイト「tvshack.net」に関し、米国への送還に直面している。 O'Dwyerには、2001年、米軍とNASAのコンピュータをハッキングしたとされるGary McKinnonと同じ弁護士がついている。McKinnonは自閉症で、精神状態が不安定と診断されている。彼の母親は、彼には自殺願望があり、米国の刑務所で耐えることはできないだろうと主張している。 Richard O'Dwyerの母親も、息子の弁護の中心となっている。 彼女はBBCに、「私に取って息子は、自分の部屋でコンピュータに熱中している、ちょっと
米任天堂のサイトに不正アクセス、証拠としてサーバー設定ファイルが公開される
写真●「LulzSec」を名乗る人物による、Nintendo of Americaが管理するWebサイトへの不正侵入を報告するTwitterへの投稿 ソニーやスクウェア・エニックスに続き、またしても国内のゲーム関連企業が狙われた。2011年6月4日、「LulzSec」を名乗る人物が、任天堂の米国法人「Nintendo of America」(NOA)が管理するWebサイトへの不正侵入が成功したことをTwitter上で告知した(写真)。 同人物は、不正侵入が成功した“証拠”として、サイトで使われているとされるWebサーバーソフト「Apache HTTP Server」の設定ファイル「httpd.conf」を公開している。実際に同設定ファイルの中身を見たところ、NOAの管理者と思われるメールアドレスや、同社が販売しているゲーム機に関する仮想ホスト(VirtualHost)などの設定情報が書かれ
webアプリケーションの脆弱性とは? - OKWAVE
こんにちは! 「フォームを勝手にサブミットしてしまう」 その認識でだいたいあってます!たぶん! そのmixiの例だと、 入力画面 → (送信1) → 確認画面 → (送信2) → 完了 ってなるわけですが、 いくら確認画面が間にあったところで、 (送信2)の部分を「勝手にサブミット」しちゃえばいいわけです。 ※ただし今のmixiや、ちゃんとしたwebサービスは送信時にトークンをつけるとかCSRF対策してるのでできません 実際の攻撃の例としては、mixiやtwitterなどの多くの人が繋がっている投稿型サイトで、 「こんにちはこんにちは!! このリンク先すごいよ! http://~」 のような書き込みをしておき、 そのリンク先でformやJavaScript等で「自動的に勝手にサブミット」してしまいます。 画面には何も表示されなくてもかまいません。 そしてさらに勝手に書き込む内容を 「こんに
実は厄介、ケータイWebのセッション管理
実は厄介、ケータイWebのセッション管理:再考・ケータイWebのセキュリティ(3)(1/3 ページ) “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 「Cookieを使えない端末」でセッションを管理する方法は? 第2回「間違いだらけの『かんたんログイン』実装法」ですが、多くの方に読んでいただきありがとうございました。 今回は、前回に引き続き架空のSNSサイト「グダグダSNS」のケータイ対応を題材として、ケータイWebのセッション管理の問題点について説明します。携帯電話向けWebアプリケーション(ケータイWeb)のセッション管理は、かんたんログインよりも対策が難しく、厄介な問
ウェブ健康診断仕様アップデート | 水無月ばけらのえび日記
公開: 2011年5月22日14時20分頃 LASDECの「ウェブ健康診断仕様」がアップデートされたようです……「ウェブ健康診断仕様(改版)を一般公開しました(平成22年度実施事業) (www.lasdec.or.jp)」。大きく変わったのは以下の2点ですね。 OSコマンドインジェクションの検査パターンが変更されたクローラへの耐性試験が追加されたOSコマンドインジェクションは、以前は「ifconfig/ipconfigの結果が表示される」というものでしたが、「sleep/pingでレスポンスが遅くなる」というものに変更されました。サーバ内でコマンドが実行されていても結果が画面に表示されない場合があるため、このような形になったのでしょう。厳密に言うなら、サーバ内で別スレッドが作られて実行されているようなケースや、レスポンスを送り終わってハンドラをクローズしてから実行されているようなケースは確
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
So-net セキュリティ通信
Using data to protect people from malware
United States
ソニー・ピクチャーズにも不正アクセス、顧客情報がウェブに公開
