脆弱性を探す話 2023 - Qiita
最近年2回のサイボウズ以外はほぼバグバウンティしていない現状であるが、やる気が起きたときようにメモ 主にWebアプリに関すること 診断と自分で勝手に脆弱性を探す行為との違い 網羅性は全く必要ない 診断は網羅してないと怒られることがあるが好きな脆弱性だけ探せる。 期間が永遠 診断期間は自由なので後で気づいて頭を抱えることはない 攻撃に到るまでを説明する必要がある 「バージョンが古いのでダメです」だけでは許してもらえない 変なことすると逮捕される可能性がある 無闇にツール回すと不正アクセス禁止法に引っかかるので だがしかし海外勢は法律の違いもあるのか好きなサイトに気軽にツールを回すので太刀打ちできない 日本人としては許可されたところかローカルに環境作って攻撃するのが心理的安全性が高い 2023年度の傾向 コモディティ化が進む 自分だけしか知らないような脆弱性はない まだ知られていない手法もほぼ
Zennで見つけたXSSとmarkdown-it
1年以上前、リリース直後ぐらいのZennでXSSを見つけた話です。 経験的にはmarkdownをカスタマイズしているサービスは大抵XSSがある……ということでZennのmarkdown記法を確認しながらガチャガチャやっていると見つけました。Zenn自体はReactで書かれているのでXSSは起きにくいのですが、Zennで使用しているmarkdown-itのplugin側に脆弱性がありました。 発見時はZennのeditorのコードがGithubで公開されていることに気づいていなかったので、Zennの問い合わせフォーム経由で報告したところ、catnoseさんによりその日の深夜に修正されて、翌日にはplugin側への修正PRも作成されていました。 markdown-it-prism コードブロックの言語指定の部分に " をいれると以降の部分にHTMLを記述できました。lang の値がエスケープさ
Masato Kinugawa Security Blog: DiscordデスクトップアプリのRCE
数か月前、ゲームのコミュニティなどで人気のチャットアプリ「Discord」のデスクトップ用アプリケーションに任意のコードを実行可能な問題を発見し、Bug Bounty Programを通じて報告しました。発見したRCEは、複数のバグを組み合わせることによって達成される面白いものだったので、この記事では、その詳細を共有したいと思います。なお、現在脆弱性は修正されています。 調査のきっかけElectronアプリの脆弱性を探したい気分だったので、Electronアプリで報奨金が出るアプリを探していたところ、Discordが候補にあがりました。Discordは自分自身が利用者で、自分が使うアプリが安全かどうかをチェックしたいという思いもあったので、調査をすることにしました。 発見した脆弱性私は主に次の3つのバグを組み合わせることでRCEを達成しました。 contextIsolationオプションの
駆け出しエンジニアの皆さんに知ってほしい脆弱性のこと。
セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプリケーションを作り、公開することにチャレンジして欲しいと私は思っています。 一方、事実として、脆弱なアプリケーションが公開されている(サーバ上でアクセス可能な状態になっている)だけで、全く無関係な第三者が被害を被る可能性があることは知っておく必要があります。 それはWordPressを使った単なるWebサイトであったとしても同じです。 また、あなたのアプリケーションが破壊されて困らないものであったり、 個人情報を保持していないものであったとしても、です。 だから、知らなかった、では済まされないこともあります。 この記事では、PHPのソースを例に、 特にプログラミング初学者が生み出しやすいアプリケーションの脆弱性について、 具体的なコードを挙げながら解説します。 なお、本記事のサンプルコードはも
色んなXSS – nootropic.me
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
サイボウズの報奨金に半年で158件の報告、2015年は特定攻撃を増額
サイボウズは2015年1月27日、2014年6月に開始した「脆弱性報奨金制度」に関する説明会を開催した。同制度は、同社の製品サービスについて、社内で検出していない未知の脆弱性を発見・報告した善意の協力者に報奨金を支払うもの。2014年は、6月19日~12月25日の期間に報告を受け付けた。その結果、158件の未知の脆弱性が見つかり、総額687万円の報奨金を支払ったという。2015年は、特定の攻撃に関する脆弱性の報奨金を増額するとともに、報奨金を振り込むまでの期間を短縮する。 同制度は、同社のパッケージ製品とAPI、クラウドサービス基盤「cybozu.com」で稼働する各サービス、同社指定ホームページについて、社内検証や第三者機関による検証で発見されてない未知の脆弱性を、外部の協力者に発見・報告してもらうための仕掛けである。報告された脆弱性について、共通脆弱性評価システム「CVSS v2」の評
Masato Kinugawa Security Blog: Cure53 XSSMas Challenge '14 Writeup
12月と言えばXSS-Masの季節ということで、最近は、XSS-Mas前から1月の終わりまで開催されていた、賞金付きXSSチャレンジ「Cure53 XSS-Mas Challenge 2014」に挑戦していました。 XSSチャレンジというのは、出題者がわざとわかりにくい形でXSSに脆弱にしたページ(例:特定の記号や文字が使えない、文字数制限がある等)で、指定した条件(alert関数 で「1」の文字をだすとか)をクリアして、スクリプトが実行できることを証明するという、XSSを嗜む人たちの間で楽しまれる一種のパズルゲームです。 実際にXSSで攻撃可能なことを証明しないといけない場面でも、特定の制約がかかることは多く、こういったチャレンジは単なるパズル遊びというだけでなく、攻撃の発想を養ううえでとても有益なものです。
脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった
脆弱性を見つけてセキュリティ対策に貢献しているのが、「バグハンター」と呼ばれる存在だ。Googleなどベンダーの報奨金で生計を立てているという「キヌガワ マサト」さんが、プロのバグハンターとしての“愉しみ”を紹介してくれた。 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部の立場から脆弱性を見つけてセキュリティ対策に貢献する「バグハンター」という存在をご存じだろうか。 GoogleやMicrosoft、サイボウズなど一部のベンダーは、脆弱性を報告したバグハンターに報奨金などを支払う制度を運営。その報奨金で生計を立てるプロの一人が「キヌガワ マサト」さんだ。12月18、19日に行われたセキュリティカンファレンス「CODE BLUE」では、キヌガワさんがプロのバグハンタ
代官山蔦屋書店ECサイトのXSS - Heavy Moon
CCCが運営している代官山蔦屋書店はECサイトも運営している。 ドメインはtsite配下だ。 詳細は省くがそこにXSSの脆弱性があることを2014年7月5日の時点で確認した。 古典的な方法で確認する。 (参考:サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法) 商品検索の検索窓に『>'><script>alert('test')</script>』と入力し検索を実行する。 このようにポップアップウィンドウが表示される。 わかりやすくするとこういう状態。 この件に関して冒頭にも書いたように2014年7月5日の時点で確認しており、既にCCC側も状況を確認しているはずである。 既に2週間放置されていることで、脆弱性の情報を公開することよりも、脆弱性のある状況が放置されていることのほうが危険度が上回るのではないか?という判断をし本ブログを書くことにした。 ※archive.o
Masato Kinugawa Security Blog: たぶんXSSが理由でインターネットがとまった
昔自分が利用者だったサイトのセキュリティ問題(XSS)をいくつか報告していたのですが、おそらくそのリクエストを理由にインターネットが使えなくなりました。プロバイダに接続を止められたのです。 そのサイトで問題をみつけたとき、サービス提供者側の反応を示す兆候がありました。 問題を発見後、しばらくしてアクセスしようとすると、アクセスを拒否されたからです。 サービス提供者には問題を報告し、アクセス拒否についても、一応、今報告してる通りこれは攻撃ではないので誤解なきようよろしくとメール連絡したところ、問題は修正されました。 これで真意は伝わり、アクセスと関連付けられ、アクセス拒否に対する誤解も解決しただろうと思ったのですが、その後急にインターネットが使えない事態にまでなるとはだれが予想できたでしょうか…。(今は携帯の回線を使っています) プロバイダから書面が届き、書面には問題の報告時とほぼ同じ日付に
CSP to the Rescue: Leveraging the Browser for Security
Programming is difficult — and difficult things generally don’t have a perfect solution. As an example, cross-site scripting (XSS) is still very much unsolved. It’s very easy to think you’re doing the right thing at the right time, but there are two opportunities to fail here: the fix might not be correct, and it might not be applied correctly. Escaping content (while still the most effective way
遠隔操作ウイルスによる連続威力業務妨害等事件 :警視庁
事件の概要 平成24年6月29日から9月10日にかけて、インターネット掲示板「2ちゃんねる」を利用して、第三者のパソコンを遠隔操作ウイルス「iesys.exe」に感染させるなどし、感染したパソコンから無差別殺人や航空機爆破等の犯罪予告を内容とする脅迫文を、市役所等のウェブサイトに投稿し、また、メールで送信することにより、市役所や会社の業務が妨害されるなどの事件が連続して発生しました。 平成24年6月29日、神奈川県横浜市役所のウェブサイト上に、横浜市内の小学校に対する無差別大量殺害予告が行われた結果、同校の業務が妨害されました。 平成24年7月29日、大阪府大阪市中央区役所のウェブサイト上に、通称オタロードにおける無差別大量殺害予告が行われた結果、同区役所職員の業務などが妨害されました。 平成24年8月1日、航空会社のウェブサイト上に、成田国際空港を離陸し、ニューヨークへ向け航行中の航空
これは酷すぎる!警察・検察の「反省」なんてみんなウソっぱちだった ネットなりすまし殺人予告 誤認逮捕の被害者が「恐怖の取調室」を語った(週刊現代) @gendai_biz
これは酷すぎる!警察・検察の「反省」なんてみんなウソっぱちだった ネットなりすまし殺人予告 誤認逮捕の被害者が「恐怖の取調室」を語った 「警察・検察をハメてやりたかった、その動機が100%です」---真犯人は犯行声明でそう語った。ネット犯罪の進化に、警察はまるで対応できていない。そして、悲劇の冤罪事件が起きた。 他人事ではありません 世間を騒がせている「ネットなりすまし殺人予告事件」で、大阪府警に誤認逮捕された北村真咲さん(43歳)の弁護人は、北村さんの怒りをこう代弁する。 「北村さんは、今回の事件に関して逮捕前から一貫して捜査に協力し、かつ否認していました。にもかかわらず、北村さんは逮捕・勾留されてしまい、著しい肉体的、精神的、経済的打撃を受けました。捜査に協力していたのに安易に身体拘束に踏み切った捜査機関(大阪府警)に対し、強い憤りを覚えます。 また、逮捕された後も、捜査機関は北村さん
正しい脆弱性報告のあり方 - 葉っぱ日記
「XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会」を読んで。 IPAを通じて脆弱性の報告が来るということは、脆弱性の発見者がセキュリティ専門家だったりするため、対策が取られるまで公開されないことが予測できる。つまりIPAから脆弱性の報告が来る=緊急ではないという図式が成り立ってしまう!!XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会よりううむ。個人的には、脆弱性を発見した場合にはむしろ専門家以外の素人ほどIPAを通じて報告するほうがよいと思っている。理由は以下の通り。 連絡先の把握が困難 Webサイトにもよりますが、脆弱性報告のための窓口を用意しそれを明確に示しているWebサイトはあまり多くはありません。そのような連絡先をサイトごとに逐一探すくらいであれば、IPAに連絡するほうが手間が圧倒的に少なくて済みます。また、一般的な問い合わせ窓口
追い打ちをかける様なIPA田中氏からの脆弱性修正指示到来 | WhiteHackerzBlog ハッカー養成学院 公式ブログ
また、来ました。 我々の存在を脅威と捉えている人が多いのか?前回削除によって対応済みのハズのIPAから再度脆弱性が見たかったと連絡がありました。前回の修正分は削除という形でスパッと対応しましたが、今回の分は当ブログも連動しているのでそうもいきません。 見えない何かが動いているのでしょうか? ともかく早急に対応致します。ご迷惑おかけいたしますが宜しくお願いします。しかし、やはりやってよい事悪い事はハッキリさせないといけませんね・・・ ######################################################################### - —————————————————————- このメールは、取扱い番号 IPA#66901608 に関する連絡です。今後 この件で IPA にご連絡いただく場合は、メールの件名に取扱い番号 を加えて
「はまちやが使い勝手とセキュリティのアドバイス」についての覚書
2012/05/15 ブログ記事「10万円で使い勝手とセキュリティのアドバイスをしようと思います」の詳細です。 ・このサービスは、依頼者のWebサービスを、はまちや個人が実際に使用し、使い勝手とセキュリティに関するアドバイスのレポートを行うものです。 ・依頼される対象のWebサービスは、依頼者本人または依頼される組織が所有するものに限らせて頂きます。 ・作業時間は6時間、作業後、レポートを作成し、作業日から一週間以内にレポートをお送りします。 ・レポートの提出は基本的にメールで行いますが、書面をご希望の際には、別途、印刷したものを郵送にてお送りします。 ・料金は10万円、税込みです。 ・作業日は、ご相談の上で決定しましょう。 ・依頼のキャンセルは、作業日前日までにお伝え頂ければ可能ですが、作業開始後のキャンセルはお受けできませんのでご了承ください。 ・作業は基本的にインターネット経由で行い
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
とある診断員とSQLインジェクション
静岡理工科大学さんで特別講師をやらせて頂きました
誤認逮捕巡り少年に補償決定 遠隔操作で家裁浜松支部 - 日本経済新聞
SecProject Web AppSec Challenge – Series 1 | Soroush Dalili (@irsdl) Blog