Ruby の脆弱性を見つけた話 - クックパッド開発者ブログ
こんにちは、技術部の遠藤(@mametter)です。フルタイム Ruby コミッタとして、クックパッドにあたらしく入社しました。よろしくお願いします。 最近、Ruby や RubyGems の脆弱性を発見して、その結果セキュリティリリースにつながるということを経験しました。どういう動機でどのように脆弱性を発見したか、どのように通報したか、などについてまとめてみます。Ruby の脆弱性を見つけたけどどうしよう、という人の参考になれば幸いです。 HackerOne について HackerOne という脆弱性情報の通報と公開のためのプラットフォームをご存知でしょうか。 OSS にとって脆弱性情報の管理は面倒なものです。脆弱性の通報を秘密裏に受け付け、関係者だけで議論しなければなりません。そのため、通常のバグトラッカとは別のコミュニケーションチャンネルを用意する必要があります。 そこで Hacke
Chrome のバグをレポートして報奨金を獲得しましょう
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
2012-10-03
「ポイント付きメッセージ送信」機能の停止継続と、脆弱性への対応について 2012年10月1日にお知らせさせていただいた通り、あるユーザーから他のユーザーへ、はてなポイントを送信する機能である「ポイント付きメッセージ送信」を、2012年9月30日の12時26分ごろから停止させていただいております。停止の理由は脆弱性を確認したためです。 この脆弱性により、ある1人のユーザーが、はてなポイントを不正に取得しました。さらに、人力検索はてなの回答への配当として、複数のユーザーに不正に取得したポイントを配布しました。 はてなは、はてな利用規約 第7条(利用料金)の12に基づき、不正に取得したポイントと、そのポイントから派生した取引を取り消しました。取り消し処理は2012年10月2日までに終わっています。 あわせてはてなは、本脆弱性を用いた不正利用が他にないかを調査しました。調査の結果、本脆弱性を用いた
上野宣さんにきく、こんなにもめんどうくさいWebセキュリティの世界
―まずは『めんどうくさいWebセキュリティ』について、簡単に説明お願いします。 ひとことでいうと、はせがわようすけを目指す人向け、でしょうか。 ―その回答も掲載しますが、真面目な答えもお願いします。 はい。一番のターゲットはWebセキュリティの研究をしたいという人たちですね。 ―Webセキュリティを研究したいひと…何人くらいいるんでしょうか。 1000人もいたら、世の中がもっと良くなっている人なので、本当にいるのは100人くらいかな。でも、この本で1000人くらいにしたいですね。 ―Webセキュリティを研究する人がもっと増えるべき? というか、Webの開発に携わる人は、セキュリティとは切っても切れない縁がある。あと、ちょっとセキュリティに興味があるんだけど…っていう人にも読んでもらいたいなァ。 ―ターゲットが増えてきましたね。 この本、セキュリティの本なのにおもしろいんですよ。 ―最初の章
Bug 3919 ディスクキャッシュをオフにしているときの仮想メモリサイズ - WebStudio
もずはっく日記(2004年12月) 2004年12月6日 Bug 3919 ディスクキャッシュをオフにしているときの仮想メモリサイズ 初回投稿日時: 2004年12月06日16時29分27秒 最終更新日時: 2004年12月06日16時30分48秒 カテゴリ: Mozilla Core SNS: Tweet (list) メモリリークがあるために仮想メモリが解放されていないのではないか、という問題。 報告者の方もそうだし、一般的にもちょっとPCに詳しい人の間でなぜかメモリリークという用語は知れ渡っているが、メモリの確保と解放に関して正しい知識を持っている人は少ないと思う。 詳しいことはコメントに書いているが、基本的には次のように考えて問題無い。 まず、プログラムがメモリを確保しようとした場合、この場合、OSから必要なメモリが逐次割り当てられる、つまり追加消費される。これは多くの人の考え
Firefox セキュリティアドバイザリ
重要度の区分け: 最高: 任意のコードを実行したり、ソフトウェアをインストールすることが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの 高: ユーザが訪れた他のサイトから機密データを集めたり、それらのサイトにデータやコードを注入することが可能な脆弱性で、通常のブラウジングの範囲を超えるユーザの操作を必要としないもの 中: デフォルトではない特殊な設定を行った場合のみ攻撃可能であったり、複雑な操作や思いも寄らない手順を必要とする点を除けば、「高」または「最高」に分類されるであろう脆弱性 低: サービス妨害 (DoS) 攻撃、少量のデータの漏えい、なりすましなど、比較的重要でないセキュリティ脆弱性 (SSL 利用サイトの検知不可能な偽装は、たいていの場合、他のサイトで入力されるはずの機密データを盗み取るために利用されるため、「高」に分類されます) Firefox
Potential XSS against sites using Shift-JIS
Announced November 8, 2011 Reporter Yosuke Hasegawa Impact High Products Firefox, SeaMonkey, Thunderbird Fixed in Firefox 3.6.24 Firefox 8 SeaMonkey 2.5 Thunderbird 3.1.16 Thunderbird 8 Description Yosuke Hasegawa reported that the Mozilla browser engine mishandled invalid sequences in the Shift-JIS encoding. When encountering an invalid pair Mozilla would turn the entire two-byte sequence into a
PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439)
PHP5.3.7のcrypt関数には致命的な脆弱性があります。最悪のケースでは、任意のパスワードでログインできてしまうという事態が発生します。該当する利用者は、至急、後述する回避策を実施することを推奨します。 概要 PHPのcrypt関数は、ソルト付きハッシュ値を簡単に求めることができます(公式リファレンス)。crypt関数のハッシュアルゴリズムとしてMD5を指定した場合、ソルトのみが出力され、ハッシュ値が空になります。これは、crypt関数の結果がソルトのみに依存し、パスワードには影響されないことを意味し、crypt関数を認証に用いている場合、任意のパスワードでログインに成功する可能性があります。 影響を受けるアプリケーション crypt関数を用い、ハッシュアルゴリズムとしてMD5を指定しているアプリケーション。 環境にも依存しますが、デフォルトがMD5の場合もあります。筆者のテスト環境
akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
Mozilla Security Bug Bounty Program
The Mozilla Security Bug Bounty Program is designed to encourage security research in Mozilla software and to reward those who help us create the safest Internet clients in existence. Reporters of valid critical security bugs will receive a $3000 (US) cash reward and a Mozilla T-shirt. Many thanks to Linspire and Mark Shuttleworth, who provided start-up funding for this endeavor. Reward Guidelines
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ウェブアプリのセキュリティをちゃんと知ろう
セキュリティ&プログラミングキャンプのCTFで出題したXSS問題 - 葉っぱ日記
Refresh of the Mozilla Security Bug Bounty Program – Mozilla Security Blog