formタグを利用したtoken奪取 - ma<s>atokinugawa's blog
スクリプトの実行はできない(XSS対策されている)し、tokenは導入されている(CSRF対策されている)のに、tokenを奪取され、不本意な操作をされてしまう例というのを1つ、やってみたいと思います! 実証だニャン! http://d.hatena.ne.jp/kinugawamasanyan/20101012/nyan 原理 こういうフォームがあったら、submitボタンを押下した時にtokenの値がA、Bどっちにポストされるでしょうか。 <form action="A" method="post"> <form action="B" method="post"> <input type="hidden" name="token" value="123123123"> <input type="submit"> </form> 答えはAです。 つまり本来設置されたフォームより前に別のf
文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
サイトを公開する際に最低限抑えておきたい Apache の設定 | バシャログ。
こんにちは nakamura です。最近トルシエさんテレビ出すぎじゃありません?ウィイレヤロウヨ。オフサイドダヨ! さてさて今回は意外と知られてないけど、サイトをインターネットに公開する際には知っておいた方が良い Apache の設定をいくつかご紹介します(一部 PHP の設定もありますが)。この設定をしていないからといって即危険にさらされるという訳でもありませんが、リスクの芽は摘んでおくに越した事はありませんよね。 無駄な HTTP ヘッダを返さない ディストリビューションにより異なるかもしれませんが、CentOS デフォルトの設定の場合 Apache が返してくる HTTP ヘッダは以下のようなものです。 HTTP/1.1 200 OK Date: Mon, 05 Jul 2010 01:01:14 GMT Server: Apache/2.2.3 (CentOS) X-Powered
高木浩光@自宅の日記 - ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ
■ ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ (建設予定地) (27日追記)建設計画廃止。XMLHttpRequestだけ止めても効果がないことを理解したため。 (29日追記)何が言いたかったか、後日書く。
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
クリックジャッキング:研究者が複数のブラウザに対する新たな脅威について警告
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-09-27 10:55 セキュリティ研究者が、すべての主要なデスクトッププラットフォームに影響のある、新たな恐ろしいブラウザに対する脅威に対する警告を発している。その対象となるのは、Microsoft Internet Explorer、Mozilla Firefox、Apple Safari、Opera、そしてAdobe Flashだ。 この脅威は「クリックジャッキング」と呼ばれるもので、OWASP NYC AppSec 2008カンファレンスで議論されるはずだったものだが、Adobeやその他の影響を受けるベンダーの要望で、包括的な修正が準備されるまではこの話題を公にすることが取りやめられていたものだ。 これを発見したのは、Robert Hansen氏とJeremiah Grossm
「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは ― @IT
2008/04/11 すべての暗号はいずれ破られる。2000年前のシーザー暗号の時代から高度な暗号技術が一般化したデジタル通信の現代に至るまで、それが暗号通信の歴史が証明し続けた事実であると同時に、もっとも人口に膾炙したクリシェでもあった。例えば、鳴り物入りでリリースされたDVDのコンテンツ暗号技術「CSS」(Content Scramble System)が、リリースからわずか数年で10代のノルウェー人ハッカーに破られたことは記憶に新しい。 【追記】(2008年4月15日) この記事は取材に基づいて執筆したものですが、一部専門家らから「CAB方式暗号は解読不能」というのは誇大表現ではないかとの疑義が呈されています。アルゴリズムの公開や第三者による検証がない現在、この記事に登場するCAB方式が発案者・実装者の主張通り画期的な暗号方式で、本当に解読が不可能であるかどうか分かりません。現在、専
WebAppSec - WebAppSec Wiki - IEのexpressionとurl
IEのexpressionとurl † Internet Explorer では、スタイルシート中に expression(JavaScript?の文) や background:url(JavaScript?の文) という記法を行うことで、よりダイナミックなHTMLドキュメントを作成することが可能です。 <style>input { left:expression( alert('expression!') ) }</style> <style>div { background:url(alert('URL!') ) }</style> もちろん、インラインで記述することもできます。 <div style="{ left:expression( alert('expression!') ) }"> <div style="{ background:url( alert('URL!') )
PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 | スラド
アイントホーフェン工科大学(TUE)のBenne de Weger、CWIのMarc Stevens、ベル研のArjen Lenstraらセキュリティ研究者3名が、SonyのPlayStation 3一台を使用して2008年米国大統領選挙の結果を正確に予知したと発表した(Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3)。「有権者への影響を考慮して予知結果は選挙後まで秘密とするが、予知結果を記入したファイルが後で改竄されていないことを証明するため、ファイルのフィンガープリントをウェブサイトで公開しておく」としてMD5ハッシュの値を公開している。 というようなタレコミだったが、リンク先の下の方や本家/.の記事にもあるように、発表した人々が本当に言いたかったのは「MD5は
ノート PC の無線機能が外出先で自宅住所をバラす危険 | スラド
もし、自宅の無線LANアクセスポイントのSSIDが、無線側MACアドレスと同一、ないしその連番、ないし、それを一部に含むものである場合、家でそれに接続するのに使用したことのあるノートPCを、家の外で無線LANの電源を入れていると、その近くに居る人は、probe requestとして放送されるSSIDを傍受することができるので、傍受したSSIDを元に、その人の自宅無線LANアクセスポイントのMACアドレスを推定し、それを元にPlaceEngineを使って自宅の場所を突き止めることができてしまう。 ギャーこれはヤバい。 とのこと。長いので分けて書くと、 無線 AP の SSID から MAC アドレスを推測することができることがある 自宅で使った無線 AP の SSID を、ノート PC が外で probe request として放送することがある SSID は簡単に傍受することができる Pl
マイクロソフト、スパマー撃退のために猫画像を活用
受信したメールを子猫がねこぱんちしながら次々と高速で選別することによって、どれがスパムメールかを判定する禁断の最先端テクノロジーをマイクロソフトがついに開発に成功、スパム判定されたメールには自動的に猫画像が付加されることによってメールソフト上では猫アイコンが表示され、全世界の猫大好きメールユーザー大感激というわけではなく、Hotmailのアカウントを作成する際にスパマーが全自動アカウント作成プログラムを走らせることができないようにするために猫画像を使うという仕組みです。 どういうことかという詳細は以下の通り。 Kittens Could Solve Spam - Yahoo! News 現在、Hotmailのアカウントを作成しようと思うと以下のようなくにゃくにゃ曲がりくねった文字を入力する必要性があります。 これは俗に「Captcha」(キャプチャ)と呼ばれている認証方法で、人間であれば簡
AjaxとPHPを使ったワンタイムパスワード方式のログイン認証:phpspot開発日誌
JamesDam.com ? AJAX Login System Demo This is an example of a login system that does not require page refreshes, but is still very secure. Ajax+PHPでの画面遷移なしのログイン画面作成サンプルが公開されています。 フォームに、user1, pass1 を入力すると即時認証が行われ、次のようにログイン状態になります。 認証には、Ajaxを使ったワンタイムパスワード方式が使われます。 具体的には、Ajaxでサーバからチャレンジコードを取得し、チャレンジコードとパスワードをmd5でハッシュして、更にその値をサーバに送信し、認証を取ります。 このため、従来の方式よりは安全な認証が可能となります。 Ajaxが出てきたことで、ブラウザを開いたままの状態でインタ
メルセンヌ・ツイスタ - Wikipedia
メルセンヌ・ツイスタ (Mersenne twister、通称MT) は擬似乱数列生成器 (PRNG) の1つである。1996年に国際会議で発表されたもので(1998年1月に論文掲載)松本眞と西村拓士による。既存の疑似乱数列生成手法にある多くの欠点がなく、高品質の疑似乱数列を高速に生成できる。考案者らによる実装が修正BSDライセンスで公開されている。 特徴[編集] 「メルセンヌ・ツイスタ」は厳密にはある手法に基づいた乱数列生成式(あるいは生成法)の族を指し、内部状態の大きさや周期は設定可能である。以下の長所と短所では、メルセンヌ・ツイスタ自体、よく使われている生成法のMT19937、さらにその実装について、区別することなく述べている。 長所[編集] 219937-1 (≒4.315×106001) という長い周期が証明されている。 この周期は、名前の由来にもなっているように(24番目の)メ
「史上最悪のソフトウェアバグ」ワースト10を紹介(上) | WIRED VISION
「史上最悪のソフトウェアバグ」ワースト10を紹介(上) 2005年11月15日 コメント: トラックバック (0) Simson Garfinkel 2005年11月15日 トヨタ自動車は先月、何もしないのに警告灯が点灯し、ガソリンエンジンが突然停止するとの報告を受け、ハイブリッド車『プリウス』約16万台を無償修理すると発表した。しかし、今回のプリウスの問題は、これまでの大規模な自動車のリコールと違い、ハードウェアが原因ではなかった――ハイテクを駆使したこのスマートカーに組み込まれたプログラムのバグが原因だった。 今回の問題により、プリウスはバグを抱えるコンピューターの仲間入りをした。史上初のコンピューター・バグは1945年、『ハーバード・マーク2』のFパネルの70番リレーに虫が挟まった時にまでさかのぼる。乗算器と加算器のテスト中、異常に気づいた技術者が、この部分に蛾が挟まっているのを見つ
Windowsにゼロデイ攻撃を受ける深刻な脆弱性 | スラド
oddmake曰く、"Internet Watchの記事によると、デンマークSecuniaやSANS InstituteがWindows Sever 2003やWindows XPに脆弱性があると警告したという。Windowsメタファイル(WMF形式)の処理に問題があることが原因であり、脆弱性の深刻度は「非常に深刻」であり、既に攻撃コードが出回っているそうだ。 WMF形式の脆弱性は最近2年間で3度パッチがあたっており、一番最近のものは今年11月のMS05-053なのだが、この脆弱性と攻撃コードを分析したKaspersky LabsのShane CoursenがInformation Weekに語ったところによると、同じDLLがターゲットとなるが攻撃方法が違うため、MS05-053では対応できないのだという。パッチができるまで、ファイルを開いたりIEを使う時には慎重になろう。"
「情報がWinnyに流出?」を調査、ネットエージェントがサービス開始
ネットエージェントは12月26日より、「Winny」のネットワークに自社の情報が流出していないかどうかを調査するサービスを開始した。 ネットエージェントは12月26日より、P2P情報共有ソフトウェア「Winny」のネットワークに自社の機密情報などが流出していないかどうかを調査する「Winny経由の情報流出調査」サービス(Winny調査サービス)を開始した。価格、調査内容などは個別見積もり。 このサービスは、同社が開発した「Winny検知システム」を活用して提供されるもの。Winnyネットワーク上に流出したファイルの特定に始まり、流出の規模や傾向、公開元IPアドレスなどについてもかなりの精度で判明できるという。流出元をたどっていくことができるため、流出初期ならば「犯人に限りなく近づくことができる」という。 Winnyの通信は暗号化されているため、これまで実態を捉えるのが困難とされてきた。した
星野君のWebアプリほのぼの改造計画 連載インデックス - @IT -
セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? 誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動-SQLインジェクション編 Webアプリ、入力チェ
マイクロソフト、共有コンピュータの管理ツールを無償配布開始
マイクロソフトは、ネットカフェや学校などで不特定多数のユーザーが利用するPCのセキュリティや管理性を向上させる、管理ツールの無償配布を開始した。 マイクロソフトは12月21日、ネットカフェや学校、図書館など公共の場所で、複数のユーザーで利用する共有PCのセキュリティや管理性を向上させるツールの無償配布を開始した。 12月5日に発表されたこの「Microsoft Shared Computer Toolkit for Windows XP 日本語版」(以下Shared Computer Toolkit)は、ユーザー制限とディスク保護という2つの機能を備えており、不特定多数が利用するWindows XPパソコンをよりセキュアに、かつ信頼性を保つような仕組みを提供する。 ユーザー制限機能は、ユーザーごとにシステムファイルや重要なファイルへのアクセスを制限したり、許可されていないアプリケーションの
暗号化で守れる範囲は「経路」だけ
最近は、信用にかかわる情報には最大限のセキュリティ対策を講じなければならない世情となっている。現在、Web上でスタンダードとなっているのがSSLによる暗号化だ。運用側が行うべき対策は現状で十分だろうか? インターネットにおける通信は、その仕組み上、途中の経路で第三者にのぞかれてしまう危険性がある。そこで、オンラインショッピングをはじめ、個人情報を扱うサイトで使われているのが「暗号化」の技術だ。 暗号化として代表的なものは、Webページを保護するための「SSL」が知られている。オンライン決済経験がある人は、「ブラウザの右下に鍵アイコンが表示されているか確認すべき」といった注意を聞いたことがあるはずだ。しかし、このSSLは導入するだけでは不十分である。メールの送受信やコンテンツのアップロード、集計結果のダウンロードなどにも配慮が必要だ。 オンライン・ムック「インターネットサービスの新基準」では
IECookiesView: Cookies viewer/manager for Internet Explorer
Related Utilities MozillaCookiesView - Cookies Viewer/Manager For Mozilla/Firefox Browsers. IEHistoryView - Internet Explorer History Viewer IECacheView - Internet Explorer Cache Viewer Notice: In order to view the cookies of Internet Explorer 11 on Windows 10 , you should use the EdgeCookiesView tool. Description IECookiesView is a small utility that displays the details of all cookies that Inter
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
