Entries from 2007-01-01 to 1 year

ockeghemは星になった

ockeghemが死んだわけじゃないよ。ockeghemという小惑星があったというお話。 以下、Wikipediaからの引用 オケゲム (小惑星) 出典: フリー百科事典『ウィキペディア(Wikipedia)』 7343 Ockeghem 仮符号・別名 1992 GE2 分類 小惑星 軌道の種類 小惑星帯 発…

画像XSSの原理と対策をまとめました

最近、画像ファイルを用いたクロスサイト・スクリプティングが注目されている。本稿では、画像を悪用したXSSについて説明した後、対策方法について解説する。 画像によるXSSとはどのようなものか Internet Explorer(IE)の特性として、コンテンツの種類を判別…

カナダのパスポート申請情報、単純なURL書き換えで丸見えに

ヤマガタさんとこ経由、ITmedia Newsから カナダのパスポート申請情報、単純なURL書き換えで丸見えに オンタリオ州ハンツビルにあるAlgonquin AutomotiveのITスタッフ、ジェイミー・ラニング氏は11月29日にeWEEKに、米国への旅行のためにオンラインでパスポ…

クイズ:XSSとCSRFはどこにありますか?

先の日記(XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く - ockeghem(徳丸浩)の日記)は、仕込んだネタがあたって多くの方に読んでいただいた。細かい内容については、頂戴した批判や反省もあるが、このテーマに対して多くの関心を…

ウェブマネーの不正利用は「幻の魚イトウ」級

電子マネーのウェブマネーの不正利用で逮捕者がでましたね。 以下、MSN産経ニュースから 電子マネー62万円詐取…警視庁5人を逮捕 調べでは、馬渕容疑者らは平成16年11月〜今年9月、ウェブマネー社(東京都港区)が発行する電子マネー「ウェブマネー」…

XSSはブラウザ上でスクリプトが動き、CSRFはサーバー上でスクリプトが動く

昨日の日記で、DK祭りで使われている脆弱性がXSSかCSRFかという問題になった。どうも、XSSとCSRFがごっちゃになっている人もいるように見受けるので、簡単な整理を試みたい。 XSSとCSRFには似た点がある。 どちらも「クロスサイト」という言葉が先頭につく …

twitterにクロスサイトスクリプティング(XSS)脆弱性があればパスワードを変更できる

秋のDK収穫祭などで騒がれている、いわゆるDK祭り。 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 http://blog.livedoor.jp/dankogai/archives/50959103.html 現象から見てセッションハイジャックされたと思われるが、原因と…

技術文書においても、「が」を警戒しよう

昨日の日記について、池田雅一さんからコメントを頂戴した。また、Webサイトの方も修正が行われた。 池田雅一 原稿出した段階では、「エスケープが基本的な対策だが、Prepared Statementを使うと楽」と書いていたのに、記事になった時点で「だが」が削除され…

駄目な技術文書の見分け方 その473

ockehgemのブックマークを見ていたところ、6人のユーザに登録された以下の記事があった。 サイト脆弱性をチェックしよう!--第6回:SQLインジェクションの検査方法, 池田雅一, ZDNET Japan, 2007年11月26日 また池田雅一か。顔見知りなのでズバリいくことに…

ツッコミSPAM

もう一つの日記徳丸浩の日記が、www.seozone.jpからのツッコミSPAMがあまりに酷く、今までは一々手で消してたけどあまりに目に余るので、tdiaryのフィルタに手を入れて同ドメイン名が記述されたツッコミを遮断するようにしました。ベタな方法だけど、しばら…

タイピング

yamagataさんとこ経由。流行っているそうなので、私もやってみました。 私はキーボード見なくても打てますが、あまり速くありません ^^; 手がバタバタするなぁ。やってみたい方は→Typing Test English - 10FastFingers.com

DNS Rebinding入門

楽天テクノロジーカンファレンス2007にて、カーネギーメロン大学日本校の武田圭史先生の講演を聴講しました。DNS Rebindingの説明が分かりやすいなぁと思いながら、そういえば今までの解説(ばけらさん、金床さん)には絵がなかったな(^^;)と思い至ったので、…

今も新規開発され続けるPHP 4アプリケーション

この日記をご覧の方には先刻ご承知のことだろうが、去る7月13日に、PHP 4のEOL(End Of Life)アナウンスが公式に宣言された*1。 これによると、PHP 4のメンテナンスは2007年12月31日まで、重大なセキュリティホールへの対応も2008年8月8日までとなっている。…

セキュリティホールmemo BoF 2007に行って来ました

BoF後の宴会中にトイレに立ったらこんなものが・・・ これこそ、リアルハニーポット

セキュリティエンジニア急募

当ブログのオーナー(徳丸浩)の勤務先(京セラコミュニケーションシステム)にて、セキュリティエンジニアのキャリア採用を募集しています。 職種は、以下の通りです(若干名)。 Webアプリケーションの脆弱性診断エンジニア、コンサルタント(の卵) セキュリティA…

食事する哲学者が急増中

空前の哲学者ブームの兆候か*1 *1:食事する哲学者Google Analyticsからグラフを引用

hiddenフィールドの典型的な誤用(2)

昨日の日記で予言したように、今回はhiddenフィールドの典型的な誤用を紹介しよう。タイトルに(2)が付いているのは、価格詐称が(1)というココロである。 シナリオとしては、会員制ハンバーガーショップ*1にて、自分自身の会員情報を教えてもらうと言う想定だ…

価格詐称できるサイトはなぜ減少し、なぜ絶滅しないか

一昨日の日記hiddenのあまりにも馬鹿げた使い方 - ockeghem(徳丸浩)の日記で、hiddenパラメータの書き換えによる価格偽装の話を書いたら、はてなブックマークの反応が二つに分かれた。その典型例を引用させていただく。 NOV1975 えええええっーー3年前…いや…

hidden書き換えで単価の変更できるサイト

昨日の日記(hiddenのあまりにも馬鹿げた使い方 - ockeghem(徳丸浩)の日記)では、yohei-y:weblog: ステートレスとは何かを引用させていただいて、hidden書き換えの危険性を説明した。その例として、ECサイトにて単価が変更できる場合を挙げたのだが、「本当に…

hiddenのあまりにも馬鹿げた使い方

これは面白い yohei-y:weblog: ステートレスとは何か では、ステートレスな場合はどうなのか。 客: こんにちは 店員: いらっしゃいませ。○○バーガーへようこそ 客: ハンバーガーセットをお願いします 店員: サイドメニューは何になさいますか? 客: ハンバー…

わが最初の文字コードファイト

史上空前の文字コードファイトブームを受けて、ふと、大昔の記憶を思い出しました。僕の「文字コードファイト事始め」です。まだインターネットが普及していなくて、パソコン通信の時代のお話です。 おそらく1987年くらいの話だと思うのですが、当時PC-VANや…

XSS対策:JavaScriptのエスケープ(その4)

XSS対策:JavaScriptのエスケープ(その3) - ockeghem(徳丸浩)の日記にて、JavaScriptのリテラルを動的生成する場合のエスケープ方法について検討したが、id:hoshikuzuさんから、考慮がもれているという指摘を受けた(http://d.hatena.ne.jp/hoshikuzu/20071011…

E4X、連想配列とプロパティ、Object.evalメソッド

大垣さんのブログから 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。<script> 123[''+<_>ev</_>+<_>al</_>](''+<_>aler</_>+<_>t</_>+<_>(1)</_>); </script> このスクリプトの中には、興味深い要素がたくさん含…

[セキュリティ]MS07-057によりPNG画像のXSS問題は回避されたようです

はせがわさん id:hasegawayosuke 経由 詳しくは、JavaScriptを埋め込んだ画像を作ってみました | 徳丸浩の日記(追記)を参照ください。

でも本当にすごいのはGoogle AdSense

そろそろ入力値検証に関して一言いっとくか: Webアプリケーション脆弱性対策としての入力値検証について - 徳丸浩の日記(2007-09-05)を表示したところ、以下のようになりました。入力値検証の話題から、細菌対策の広告を出すとは・・・

危険文字と言わないで

昨日、とあるベンダーのセキュリティセミナーに行きました。 そしたら、どうです。僕らのことを「危険文字」と呼んでる人がいるじゃありませんか。 ひどすぎます。僕らは日夜、世界中で、HTMLのページを書いたり、データベースを検索したりで、Webを支えてい…

SKUF勉強会で講師を担当することになりました

第5回SKUF Meeting - ikepyonのお気楽な日々〜技術ネタ風味〜経由 私も講師を担当することになりましたのでよろしくお願いします。テーマは、ケータイ向けWebアプリのセキュリティ問題についてです。もう一人の講師の佐名木さんは顔見知りですが、もう何年ぶ…

「サニタイズ言うな」の先駆け?

昔の投稿記事などを整理していたら、2001年に日経オープンシステム誌(この雑誌も今はないが)に投稿したWebアプリケーションセキュリティの寄稿が目に止まった。古い記事なので、「今だったらこうは書かないよなぁ」という部分もあるし、「ずいぶんと気負いこ…

Firefoxのひどい脆弱性

id:hasegawayosukeさん経由 FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開 - ITmedia エンタープライズ MozillaのFirefoxブラウザとMicrosoftのInternet Explorer(IE)の相互作用で生じる深刻な脆弱性が、また新たに報告された。Firefox…

SANS:いよいよ明日(今日)にせまってまいりました

http://www.event-information.jp/sans-fv/なんだか随分たくさんの人に申し込みいただいたようで、ありがとうございます。地味なテーマなのになーと感謝しています。 脆弱性管理という地味なテーマですが、SANSという場でもありますので、多少はサービスとし…