EZ番号に関する注意書きが変更された

今日、KDDIのEZfactoryのEZ番号に関する説明が変更されていました。2011年6月9日の内容(URLは魚拓)赤字はママ HTTP Requestヘッダ情報では、この他にHTTP_X_UP_SUBNOフィールドにてEZ番号が確認できます。EZ番号は、ユーザの端末操作によって、送出しない…

勝手に補足:レガシーPHPのセキュリティ対策,大丈夫ですか?未修正の脆弱性(2)

第4回 未修正の脆弱性(2):レガシーPHPのセキュリティ対策,大丈夫ですか?|gihyo.jp … 技術評論社という記事を読みました。とても重要なことが記載されている一方で、記述の間違い及び記述もれがあるため、読者の便宜のため勝手に補足したいと思います。…

みずほダイレクトの謎

ソフトバンク携帯電話のSSL方式変更に伴い、みずほ銀行のモバイルバンキングが一部使えなくなっていましたが、昨日復旧したようです。 7月3日時点では、みずほダイレクトのトップに以下のように表示されていました。URLは魚拓のものです。 現在、ソフトバン…

モバイルバンキングは今でもsecure.softbank.ne.jp方式が主流

6月30日のsecure.softbank.ne.jp廃止*1にともない、みずほダイレクトにおいて、ソフトバンクの携帯電話からログインできなくなるという障害が報告されています(リリース)。 他の銀行はどうかと思い、軽く調べて始めたところ、モバイルバンキングでは今でも…

私はいかにしてソフトバンク端末60機種のJavaScriptを検証したか

昨日のソフトバンクの非公式JavaScript対応の調査結果 | 徳丸浩の日記で報告したように、昨年5月に、ソフトバンク60機種の検証を行い、JavaScript対応の状況などを調査しました。当時はまだ公式なJavaScript対応機種はない状態でしたが、既にほとんどの端末…

PHPにおけるファイルアップロードの脆弱性CVE-2011-2202

PHPの現行バーション(PHP5.3.6以前)には、ファイルアップロード時のファイル名がルート直下の場合、先頭のスラッシュを除去しないでファイル名が渡される問題があります。CVE-2011-2202として報告されています。 後述するように影響を受けるアプリケーショ…

EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点

au/KDDIの技術情報サイトEZfactoryには、2011年秋冬モデル以降にEZwebの仕様変更がある旨表示されています。セキュリティ上の問題の可能性もあるため以下に報告します。 EZfactoryトップページでの告知内容 EZfactoryトップページには、2011年秋冬モデルでの…

PHPのsocket_connect()関数における *つまらない* 脆弱性の話

Scan Tech Report(無償版)を読んでいたら、PHP には、socket_connect() 関数の脆弱性(CVE-2011-1938)があると紹介されていました。調査の結果、この脆弱性の影響を受けるPHPのバージョンとして公開されている情報は間違っているようなので報告します。 …

第3回アイティメディアチャリティイベントで講演します

表記の通り、第3回アイティメディアチャリティイベントで講演することになりました。テーマは「パスワード保護の現状と課題」です。Webサイト等でのパスワードの保存方法について説明します。 日時 : 2011/06/24(金) 19:00 〜 20:30 定員 : 30 人 会場 : ア…

Amazonの2011年上半期ブックランキングのコンピュータ書部門で第8位に

拙著「体系的に学ぶ 安全なWebアプリケーションの作り方」はおかげさまで多くの読者の支持をいただき、まことにありがとうございます。おかげさまで、Amazonの2011年上半期ブックランキングのコンピュータ書部門で第8位となりました。 皆様のご愛読に感謝致…

モテるセキュ女子力を磨くための4つの心得「SQLインジェクションができない女をアピールせよ」等

こんにちは、セキュリティ勉強会などで講師を担当しているockeghem夫です。私は学歴も知識もありませんが、セキュリティに関してはプロフェッショナル。今回は、モテるセキュ女子力を磨くための4つの心得を皆さんにお教えしたいと思います。 1. あえて2〜3世…

ソーシャルボタンを導入したヨミウリ・オンラインはリンク制限を撤廃すべき

ヨミウリ・オンラインを閲覧していて、ふと、ソーシャルブックマークのボタンが設置されていることに気がつきました。以下に引用します。 ご覧のように、twitterやfacebookの他、はてなブックマークにワンタッチで登録できるようになっています。ソーシャル…

第20回セキュリティもみじセミナーで講演します

表記の通り、第20回セキュリティもみじセミナーにて拙著体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)について講演する機会をいただきました。徳丸本はおかげさまで販売好調で、3刷がそろそろ書店に出始めると思います。ありがとうござい…

僕が「ホワイトリスト」を採用しなかった訳

ホワイトリストという用語はセキュリティの分野では非常に基本的な用語ですが、セキュアプログラミングという文脈では意外に曖昧な使われ方がされているように見受けます。本エントリでは、ホワイトリストという用語の意味を三種類に分類し、この用語の実態…

evernoteのテキストをevernote社の管理者にも見えないように暗号化する

このエントリでは、evernoteクライアントを使って、evernote社にも復号できない状態でテキストを暗号化する方法について紹介します。 昨日、EvernoteのXSS問題に関連して、「Evernoteの開発者も徳丸本読んでいたらよかったのにね」などとつぶやいていたら、…

ライザムーン(LizaMoon)攻撃に対してもWAFは有効

ライザムーン攻撃に対する行き届いた解説を読みました。 大規模インジェクション 「LizaMoon」攻撃について調べてみた。 - piyologここで紹介されている内容は素晴らしいと思うのですが、一点、WAFに関する以下の記述が引っかかりました。 SQLインジェクショ…

「体系的に学ぶ 安全なWebアプリケーションの作り方」の在庫状況と今後の見通し

拙著「体系的に学ぶ 安全なWebアプリケーションの作り方*1」はおかげさまで多くの読者の支持をいただき、まことにありがとうございます。その結果として、本書はAmazonをはじめとするネット書店にてお求めにくい状況が生じております。Amazonマーケットプレ…

「体系的に学ぶ 安全なWebアプリケーションの作り方」3月1日発売です

去年の5月末に「本を書く」という宣言をしてから8ヶ月以上掛かってしまいましたが、ようやく体系的に学ぶ 安全なWebアプリケーションの作り方が脱稿し、3月1日に発売される運びとなりました。 現時点で一番詳しい本の目次は、出版元のオフィシャルページにあ…

KCCSの「クラウド利用者必見!新春 情報セキュリティソリューションセミナー」で講演します

KCCSの情報セキュリティのセミナーでしゃべることになりました。テーマはクラウド利用のセキュリティについてです。 クラウドのセキュリティというと、文字通り雲をつかむような話になりがちですが、できるだけ明確なお話ができるように準備したいと思います…

初稿を完成しレビュアーさんに送付しました

本を書いています。昨日ようやく全ての章の初稿を書き上げ、レビューアの皆様に最後の初稿を送付しています。現在は、レビューの結果を反映した第2稿に着手しています。最初の方に書いた章・節は、かなり手直しが必要で、まだ時間が掛かりそうです。 という…

続パスワードの定期変更は神話なのか

2008年2月にパスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの…

講演予告3題

twitterで次のようにつぶやいたところ PHPカンファレンスでやった文字コードの話を再演できる適当な場はないかな。まぁ、本書きで忙しい(はず and/or べき)ので、やりたいような、やらない方がいいような…とつぶやいてみる http://twitter.com/#!/ockeghem…

PHPカンファレンス テックデイにて講演します

PHPカンファレンス2010のテックデイ講演公募枠に応募して採用となりましたので、講演することになりました。9月25日(土)蒲田の大田区産業プラザ PiOです。詳細は、講演プログラムをご覧ください。 タイトルは、「[T-6]文字コードに起因する脆弱性とその対策…

iモードブラウザ2.0のJavaScriptではiframe内のコンテンツを読み出せない

iモードブラウザ2.0では、同一ドメインであっても、iframe内のコンテンツがJavaScriptにより読み出せないよう制限が掛かっていることを確認しましたので報告します。 【追記】元の内容には、重大な事実誤認がありました。正確には、同一ドメイン・同一ディレ…

オレ標準JavaScript勉強会発表資料

Loading...での発表に用いた資料です。 お役に立つかどうかは心許ないのですが、ドキュメントの一部を希望されていた方もおられましたので、slideshareで公開します。ガラケーで楽しむオレJSの勧めView more presentations from Hiroshi Tokumaru.

携帯電話事業者に学ぶ「XSS対策」

NTTドコモとソフトバンクモバイルは、フィーチャーフォン(いわゆるガラケー)にてJavaScriptの対応を始めています。JavaScriptに対応すると、クロスサイト・スクリプティング(XSS)脆弱性の懸念が高まりますが、両社は独自の手法によりXSS対策をしている(し…

レビュアー選出を終わり、当選者の方には連絡差し上げています

本を書くことになりました&レビュアー募集のお知らせ - ockeghem(徳丸浩)の日記にてアナウンスしたレビュアー公募のお知らせには、最終的に29名の方から応募いただきました。多数の応募に感謝いたします。週末に選考させていただいた結果、当選者の方には、…

本を書くことになりました&レビュアー募集のお知らせ

ソフトバンククリエイティブさんからお話をいただき、Webアプリケーションセキュリティの本を書くことになりました。6月から書き始めて、年内に出版できればいいなという感じのスケジュール感です。 今度書く本は、入門的な内容になる予定ですので、私のブロ…

“完璧なWAF”に学ぶWAFの防御戦略

セキュリティExpert 2010に大河内智秀氏が「現状の課題と“完璧なWAF”」と題して寄稿されている。大変興味深い内容であるので、この寄稿をなぞりながら、WAFの防御戦略について検討してみたい。 クロスサイト・スクリプティング(XSS)に対する防御 大河内氏の…

ウェブ健康診断のハンズオンセミナーを実施します

KCCSさんと共催で、ウェブ健康診断仕様にもとづくWebアプリケーション脆弱性診断のハンズオンセミナーを開催することになりました。 日程:2010年5月26日(水曜)、5月27日(木曜) 2日間 場所:KCCS東京支社セミナールーム(東京都港区、泉岳寺駅) 費用:20万…