クロスサイトリクエストフォージェリ(CSRF)とその対策
本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日)
代官山蔦屋書店ECサイトのXSS - Heavy Moon
CCCが運営している代官山蔦屋書店はECサイトも運営している。 ドメインはtsite配下だ。 詳細は省くがそこにXSSの脆弱性があることを2014年7月5日の時点で確認した。 古典的な方法で確認する。 (参考:サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法) 商品検索の検索窓に『>'><script>alert('test')</script>』と入力し検索を実行する。 このようにポップアップウィンドウが表示される。 わかりやすくするとこういう状態。 この件に関して冒頭にも書いたように2014年7月5日の時点で確認しており、既にCCC側も状況を確認しているはずである。 既に2週間放置されていることで、脆弱性の情報を公開することよりも、脆弱性のある状況が放置されていることのほうが危険度が上回るのではないか?という判断をし本ブログを書くことにした。 ※archive.o
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem's blog
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。 4.2 入力処理とセキュリティ 「よくわかる」のサンプルや解説では、入力値検証はほとんどしていません。しかし、入力値検証をしていないからといって即脆弱かというとそうではありません。徳丸本でも強調しているように、入力値検証はアプリケーション要件(仕様)に沿っていることを確認するもので、セキュリティ対策が目的ではないからです。 「よくわかる」の中で、私が見た範囲で唯一の入力値検証は、郵便番号のチェックをするものです。以下に引用します(「よくわ
「安全なWebアプリケーションの作り方」を読んでセッションを復習してみた - As a Futurist...
タイトルが長くて略称があれば知りたい感じの「安全な Web アプリケーションの作り方」を暇を見つけて読んでいます。今まであいまいなままだった部分を順を追って説明してくれるので、本当に助かります。Web アプリ作りの初心者は卒業したかなーという人は必ず目を通しておくと良いと思います。 Cookie を用いたセッションについて復習 「HTTP はステートレスで」とかいう話はよく聞きますが、じゃあどうやってセッション管理するのがいいの?って話をよく考えると体系的に聞いたことがなかった!というわけで、この本で文字通り体系的に学び直すことができました。 その中でも、「セッション ID の固定化」という話題はちゃんと分かってなかった部分があったので、こちらのサイトを参考に PSGI なアプリケーションを作ってみました(僕の書いたアプリ自体はその他の脆弱性に溢れていますがw)。コードはエントリの最後に。
銀行からmixiまで、パスワードを安全に運用する技 (1/3)
ユーザーが管理する「アカウント」の数は増える一方だ。GmailなどのウェブメールからmixiなどのSNS、Evernoteをはじめとするクラウドサービスをはじめ、オンラインショップ、クレジットカード、証券会社、写真管理サービス、動画投稿サービスなどなど。これらのパスワードをどうやって管理・運用しているだろうか? 今回は、あなたの使っているパスワードがどれだけ危ないかをチェックしたうえで、パスワードの安全な運用方法を紹介しよう。 多くの人が危険きわまりない パスワード運用をしている まずは、今使っているパスワードとその運用方法が危ない、と言うことを知ってもらうために、不正アクセスのシナリオを考えてみよう。 多くのウェブサービスでは、アカウント名にメールアドレスを利用している。Gmailもmixiもそうだ。アカウント名を別に登録するサービスでも、名前やメールアドレス(@の前)から推測できるアカ
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用
米研究チームの発表によると、Adobe Flashを使ってネット上のユーザーの行動をひそかに追跡し続けるサイトが増えているという。 Adobe Flashを使ってネット上のユーザーの行動を追跡し続ける「秘密cookie」を利用するサイトが増えているという。米カリフォルニア大学バークリー校などの研究チームがこのほど論文を発表した。 「Flash cookie」は通常のcookieとは異なり、ブラウザのセキュリティ設定ではコントロールできないという。研究チームが大手サイトによる同cookieの利用実態について調べたところ、調査対象としたサイトの半数以上がFlash cookieを使ってユーザー情報を保存していることが判明した。 中にはユーザーが削除したHTTP cookieを、Flash cookieを使って復活させているケースもあった。しかしその存在についてはサイトのプライバシーポリシーでも
管理プログラムがGoogleにインデックスされないようにする 2010年04月02日
WEBインベンターのご利用に心から感謝いたします。 さて、当社のカートを利用しているお店で個人情報流出の事故が発生しました。それは、管理プログラムがGoogleにインデックスされてしまったことによるものです。原因は調査中ですが、しかし、そのような場合でも検索エンジンに拾われないような対策を施してありますので、お知らせいたします。 対処方法: 1.パスワードの管理に気をつける 2.最新の管理プログラムを使う 3.検索エンジンにインデックスされてしまったときの対処 4.今後の対応 ━━━━━━━━━━━━━━━━━━━━━━━━━━━ 1.パスワードの管理に気をつける ━━━━━━━━━━━━━━━━━━━━━━━━━━━ パスワード付きのURLが検索エンジンに拾われないようにするために気をつけてください。間違っても、パスワード付きのURLを一時的にもホームページで公開しないようにしてください
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
ガンブラーとFTPとの関係って?知っておきたい「Gumblar対策」 - はてなニュース
最近はてなブックマークでも度々話題になっている「ガンブラー(Gumblar)」というキーワード。「ウイルスやFTPと関係があるらしい」ということは知っていても、「結局どういうものなの?」「何をすればいいの?」と疑問に思っている人も多いのではないでしょうか。そこで今回は「ガンブラーとFTPクライアント」の問題について、原因と対策をまとめてみました。 ■「ガンブラー(Gumblar)」って何? そもそも「ガンブラー」とは、一体何なのでしょうか? ▽「Gumblarの手口を知り、対策を」IPAが注意喚起 -INTERNET Watch ▽情報処理推進機構:プレス発表:記事 ▽「ガンブラー」は手口の名前、感染するウイルスはさまざま - ニュース:ITpro ▽ASCII.jp:猛威が止まらない!ガンブラー総まとめ <ガンブラーは“PCをウイルス感染させる手口”、感染するウイルスの種類は様々> 国民
atword.jp - このウェブサイトは販売用です! - リソースおよび情報
このウェブサイトは販売用です! atword.jp は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、atword.jpが全てとなります。あなたがお探しの内容が見つかることを願っています!
「ウイルスバスター」が深夜に勝手にSkype投稿(「ウイルスバスター2009のURL評価」機能)
イキナリあわあわした話。 数日前の深夜、たま~に発言してるSkypeのグループチャットを見てびっくり仰天。目が点になった。しばらく状況理解できずポカンとしていたかもしれない。 わずか数十秒前に「わださん」がメッセージを投稿している。 わだ akwadaのコンピュータ上にあるトレンドマイクロのセキュリティソフトによって、該当Webサイトは未テストと評価されています。このWebサイトにはアクセスしないでください。 http://www. えええっ~!!!わたし!? 著名ブロガーとかたくさん参加してるグループチャットなこともあり、 メチャメチャ焦ってしまった。 Skypeのチャットログをさかのぼってみたら、なんと同じ日の昼間にも、他の人達が会話している間に、突如「わださん」が、同じ文章のアラート投稿をしていた。空気読まなすぎる上に不気味で意味不明すぎる奴だ。ああ、他の参加者にそう思われたかも~。
guldeen 事件は「不正アクセス」なのか? (10/4 追記) - rna fragments
はてなからセキュリティホールを突かれた不正アクセスについての報告があった。 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど これは先週の連休中に騒ぎになった件。id:guldeen さんのブックマークコメントが何者かによって改竄されたという事件があったのだ。*1 当初パスワードが推測または盗難されたのではないかという話だったが、実際の手口は、いわゆるセッションハイジャックだったようだ。要するに、 guldeen さんが docomo の携帯電話からはてなにログインした ログインした状態でモバイル版はてなブックマークを利用した ログイン情報を含んだリンクがはてなのサーバの共有部分に残ってしまった 他人がはてなにアクセスした時にそのリンクが表示されてしまう状態だった 誰か(以下 X)がそのリンクをクリックし
NoScriptの全面譲歩で決着 - Mozilla Flux
予想外にあっけない幕切れだった。NoScript 1.9.2.6がリリースされ、1.9.2.4で問題になっていたホワイトリストは自動的に削除されるようになった。そして、二度と追加されることはない。NoScriptの作者Giorgio Maone氏は、公式サイトのほか、自己のブログにも謝罪文を掲載した(『Dear Adblock Plus and NoScript Users, Dear Mozilla Community』)。 大きな反響をいただき、台湾からのトラックバックさえあった『Adblock Plus vs. NoScript』の続報である。筆者は対立が長引くと見ていたのだが、わずか数日でNoScriptが全面的に譲歩する結果となった。Maone氏の謝罪文には経緯も説明されているので、まずはそれを見てみよう。 NoScript作者から見た争いの経緯 やはり今回の争いの発端はEasy
高木浩光@自宅の日記 - 「NoScript」をやめて「RequestPolicy」にした
■ 「NoScript」をやめて「RequestPolicy」にした セキュリティ屋が、Firefoxユーザに「NoScript」の使用を推奨することがしばしばあるが、私は賛同しない。 JPCERT/CC、技術メモ「安全なWebブラウザの使い方」を公開, INTERNET Watch, 2008年11月4日 *1 技術メモ − 安全なWebブラウザの使い方, JPCERT/CC, 2008年11月4日 IV. 各 Web ブラウザに共通する設定上の注意事項 1. スクリプト等の実行を制限する JavaScript 等のスクリプトや(略)は(略)Ajax に代表されるインタラクティブなインターフェースが実現できるなど、高い利便性が得られます。反面、PC 上の重要なファイルを削除・変更するなど、悪意を持った処理が行われる可能性もあります。従って無制限にスクリプト等を実行できるようにしておくのは
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
新タイプの感染方法/「ショートカット悪用型ウイルス」に注意 | 教えて君.net
ウイルスは、何らかの方法でウイルスプログラムファイルが実行されない限り感染しない。従って、その「何らかの方法」を踏まないように気をつけるのが基本だ。新しいタイプのウイルス、「ショートカット悪用型ウイルス」がITproの記事で警告されている。 「ショートカットを悪用するウイルスに注意、知らないうちに感染の恐れ:ITpro」で警告されているのは、ショートカットファイルによってウイルスプログラムを実行させるタイプのウイルスだ。 「防衛」という観点からまとめると、気をつけるべきポイントは、「ウイルス本体プログラムを落としてきて実行するショートカットファイル(拡張子.lnk)」というものを作成できるということ。つまり、注意すべきことは二つだ。 怪しげなサイトなどから入手したショートカットファイル(拡張子「.lnk」)を実行することで、ウイルスに感染してしまう危険性があるウイルスに感染した場合、(自分
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ma<s>atokinugawaの日記
IDEA * IDEA
まとめよう、あつまろう - Togetter
FreeBSDいちゃらぶ日記