「JavaScript」と「警察」は相性が悪いのか?:セキュリティクラスタ まとめのまとめ 2019年3月版(1/3 ページ) 2019年3月のセキュリティクラスタでは、「JavaScriptを使った無限アラートサイトへのリンクで中学生が補導された事件」に対する意見が殺到しました。「コインハイブ事件の判決」でもJavaScriptと警察の対応が話題の中心になりました。この他、「破産者マップ」についても多数のツイートが飛び交いました。 セキュリティクラスタ まとめのまとめ 一覧 コインハイブ事件に無罪判決 自らが管理するWebサイトに仮想通貨をマイニングするJavaScript「Coinhive(コインハイブ)」を設置したことで逮捕されたいわゆる「コインハイブ事件」が転機を迎えました。横浜地裁が2019年3月27日に無罪を言い渡したからです(その後、検察側が控訴)。 この裁判で争点となったの
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
こんにちは。みなさんもウェブアプリをリリースしたあとに同業者にソースごとパクられたことってありますよね。難読化しても難読化されたまま同業者のサーバで動くので困ったものです。そこで、私がとった解析しずらい対策をまとめてみたいと思います。 前提 多機能な画面をJavaScriptでゴリゴリ作ったのにもかかわらず、HTMLやCSS、JavaScriptファイル一式を自社サーバにまるごとコピーして、ライセンス表記だけ書き換えて使うような業者を罠にはめるということを想定しています。 当然通信をリバースエンジニアリングする人もいるので、自社サーバでは防げないという前提です。 HTMLにはauthorメタタグ よくあるMETAタグで権利者を明記します。これは権利の主張もそうですが、JavaScript自体に権利者が認定した権利者でなければ無限ループを起こすという処理のためにも使用します。逆に、権利者が我
見知らぬ人から届いたメールに、実行ファイルが添付されていても多くの人は開かないだろう。しかし、拡張子が「pdf」のファイルならどうだろう。安全だと思って開いてしまうのではないだろうか。PDFファイルは本当に安全なのか、実験してみた。 3種類の攻撃方法を試す 実験5では、PDFファイルを使って可能とされている攻撃方法を複数試した。(1)PDFファイルにJavaScriptを埋め込む、(2)実行形式のファイルをPDFに見せかける、(3)PDFのビューワーソフトの脆弱性を悪用する、の三つだ。 拡張子が「pdf」のファイルを使った3種類の攻撃を試した。一つは、不正な処理をさせるJavaScriptをファイルに埋め込む方法。二つめは不正な処理を行う実行形式のファイルを「RLO」という手法でPDFに見せかける方法。三つめはPDFファイルを開くビューワーソフトの脆弱性を悪用して不正な処理をさせる方法であ
キヤノンITソリューションズは2017年9月6日、2017年7月のマルウェア検出状況をまとめたレポートを公開した。同社が国内で展開するエンドポイントセキュリティソフトウェア「ESET」で得られたマルウェア検出データを基に分析したところ、2017年7月は、Microsoft Officeに搭載されるプログラミング言語「VBA(Visual Basic for Applications)」を使ったダウンローダー型マルウェアの検出比率が高まったという。 ダウンローダー型マルウェアは、感染後に別のマルウェアやウイルスをダウンロードさせるように動作するもの。これまでの主流はJavaScriptを使ったものだったが、2017年6月からVBA形式の検出比率が急増した。JavaScript形式のダウンローダーに対するセキュリティソフトウェアの検知率が向上したことから「攻撃者は別の手法を試しているところ」(
Googleが、セキュリティ上の理由からGmailへの添付を禁じているファイルに、JavaScriptコード(.js)を追加する。2月13日から.jsファイルを添付しようとすると、警告が表示されるようになる。 米Googleは1月25日(現地時間)、Gmailへの拡張子が「.js」のファイルの添付を2月13日から禁止すると発表した。セキュリティ上の理由からだ。 同社は既に、拡張子が「.exe」「.msc」「.bat」などの実行ファイルの添付を禁止している。これらに、JavaScriptのコードである.jsファイルが加わることになる。こうしたファイルを添付しようとすると、以下の画像のような警告が表示され、それでも送信しようとすると、添付ファイルなしのメールが送信される。
不正メールの件数は2015年下半期と比較し16.4倍に急増しており、企業の脆弱性対策の強化により、脆弱性を悪用しない攻撃手法のメール攻撃へと移行していると指摘する。 日本IBMは9月8日、「2016年上半期Tokyo SOC情報分析レポート」を発表した。 1~6月に都内の同社セキュリティ監視拠点「Tokyo SOC」で観測された攻撃を分析した結果、不正なファイルが添付されたメールの件数は2015年下半期比で16.4倍増加した。添付ファイルの形式はZIPで圧縮されたJavaScript形式のファイルが大半を占め、マルウェアはランサムウェア、または金融マルウェアが多くを占めることが分かった。一方、ドライブ・バイ・ダウンロード攻撃の検知件数は、前期の6分の1以下と大幅に減少。これは、企業側の脆弱性対策が進んだことなどが影響し、攻撃者側が攻撃手法を脆弱性を悪用しないメールに移行しているためと指摘し
(訳注:2016/1/5、いただいた翻訳フィードバックを元に記事を修正いたしました。) セキュリティ – 誰もが見て見ぬふりをする問題 。セキュリティが重要だということは、誰もが認識していると思いますが、真剣にとらえている人は少数だと思います。我々、RisingStackは、皆さんに正しいセキュリティチェックを行っていただきたいと考え、チェックリストを用意しました。皆さんのアプリケーションが何千人というユーザやお客様に使用される前にセキュリティチェックを行ってください。 ここに挙げたリストのほとんどは概略的なもので、Node.jsに限らず、全ての言語やフレームワークに適用することができます。ただし、いくつのツールは、Node.js固有のものとなりますので、ご了承ください。 Node.jsセキュリティ に関するブログ記事も投稿してありますので、こちらも是非読んでみてください。 構成管理 HT
クッキーより怖いcanvas fingerprintingって何?迂回方法は?2014.07.28 16:008,790 satomi 問題:ホワイトハウスとYouPornが共通でもってるもの、なーんだ? こたえ:canvas fingerprinting 「canvas fingerprinting(canvasの指紋採取)」というのは、最近大手サイトで採用が広まってる新手のオンライン追跡ツールのことです。クッキーと違って、ユーザー側からは探知もブロックもできないという、とんでもない野郎です。 まさにユーザーの知らぬ間にウェブの閲覧行動がサイトに筒抜け、というマジックミラー状態。その現状をProPublicaが記事にしていますよ。 「canvas fingerprinting」を最初に発見したのはプリンストン大学と英ルーヴェン大学の研究チームです。ここが発表した「The Web Neve
Canvas機能を使った文字やグラフィックス描画の際の挙動の違いでWebブラウザの違いを識別する「Canvas Fingerprinting」という技術が開発され、すでにトップ10万のサイト中5.5%がこれを使ったユーザー追跡を利用しているという。 また、ユーザがCookieをこまめに削除しても、サイト側が同じデータをFlashのローカル共有オブジェクト(LSO、Flash Cookie)などに保存しておいて回復させれば、実質的にCookieを不滅化することができる。このEvercookieを実現する手段の一つである「Respawning by Flash cookie」sは、人気上位200サイトのうち10サイトで検出されたそうだ。 Cookieを無効にしていても、適切な対処をしない限り、閲覧者の行動はかなりの割合で漏洩している可能性があるようだ。 Canvas Fingerprintin
「実践クラウド」なる企業が、「日本初となるJavascriptコードを一行貼るだけで電話認証の仕組みが導入出来る」というサービス「JISSENスマートオース」を発表したのだが、実装の微妙さとWebサイトにある文言で別の意味で注目を集めている。 二要素認証はGoogleなどが採用している認証方式で、Webブラウザ上でのログイン時に、携帯電話にSMSなどを送信することで認証を行うもの。仕組み上携帯電話番号の登録が必要なのだが、スマートオースのWebサイトには当初「取得した電話番号を使ってSMS等によるCRM戦略も展開可能になります」との文言があり、これは個人情報の目的外使用に相当するという指摘が寄せられた模様。そのためWebサイトは早々に修正され、お詫びと訂正が掲載されている。 これ以外にもツッコミどころは多く、クライアント側で動作するJavaScriptで認証を行うということでクライアント側
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回から、HTML5やJavaScriptに関連したセキュリティの話題について連載することになりました。よろしくお願いします。 もう読みましたか? HTML5のWebアプリセキュリティに関する報告書 皆さんすでにご存じかと思いますが、2013年10月30日にJPCERTコーディネーションセンター(以下、JPCERT/CC)から「HTML5 を利用したWebアプリケーションのセキュリティ問題に関する調査報告書」が公開されました。 この報告書の調査の一部は、弊社が行いました。また、JavaScriptのセキュリティ上の問題について次々と鋭い指摘を行っているmalaさんにもさまざまな技術的アドバイスを頂いた上、日常的にWebアプリケーションのセキュリティ検査や構築を実際の業務として行っておられる専門家の方々にも査読をお願いして
近年では多くの分野でWebアプリケーションが使われるようになり、大量の個人情報や重要な秘密情報を扱うようなアプリケーションも少なくない。そのため、Webアプリケーションも攻撃対象として狙われやすくなっている。今回はWebアプリケーションのセキュリティ対策として、Googleが公開しているセキュリティ調査ツール「skipfish」を使ったセキュリティスキャンを紹介する。 Webアプリケーションに特化したセキュリティ調査ツール「skipfish」 今日では、Webブラウザ経由でさまざまな操作を行えるWebアプリケーションが広く浸透している。Webブラウザは最近のほぼすべてのPCにインストールされており、専用のクライアントを用意せずにアプリケーションを操作できるというのがその浸透の理由の1つだ。しかし、Webアプリケーションでは簡単にその一部(HTMLやJavaScript)のソースコードを閲覧
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く