カスタムURLスキームの乗っ取りとその対策
カスタムURLスキームの乗っ取りとその対策 May 17, 2021 カスタムURLスキームは、モバイルアプリ内のコンテンツへ直接誘導するディープリンクに広く利用されている¹。そのような中で、2020年3月にLINEはカスタムURLスキーム line:// の使用を非推奨とした²。非推奨の理由をLINEは「乗っ取り攻撃が可能なため」と説明し、代わりにHTTP URLスキームによるリンクを推奨している。この変更に対して私は、なぜHTTP URLスキームによるリンクだと乗っ取り攻撃を防げるのか疑問を抱いた。この疑問に答えるためにLINEアプリの乗っ取りを試み、対策の有効性を確認した。 要約 HTTP URLスキームによるディープリンクは対象のアプリを一意に特定できるため、不正アプリによるリンクの乗っ取りが発生しない。カスタムURLスキームでは複数のアプリが同じスキームを宣言できるため、モバイル
そろそろクリックジャッキングについて一言いっておくか - 最速転職研究会
Firefox3で「サードパーティのCookieも保存する」をオフにする。 防げる。 いずれのブラウザにもサードパーティ製のcookieを制限するオプションがあるが、Firefox3以外だと、フレーム内表示された場合に「新規にcookieを保存しない」だけで保存済みのcookieは送信してしまう。 軽く調べてみたところ、次のようになった。(間違ってたら教えてください) サードパーティのcookieの新規保存 サードパーティの保存済みcookieの送信 表示中のドメインのcookieの保存/送信 IE6,7,8(デフォルト) x o o IE6,7,8(セキュリティ高) x x x Opera9.6(デフォルト) o o o Opera9.6(制限) x △ o Safari(制限/デフォルト) x o o Safari(全て受け入れる) o o o Firefox2(デフォルト) o o
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
「ほかの誰のせいにもできない」Webアプリの脆弱性 ― @IT
2008/07/01 「これまでは脆弱性が発見されても、ベンダのせいにしていればよかった。しかし、今攻撃のターゲットになっているソフトウェアを書いているのは自社自身。ほかの誰のせいにもできない」――米国のセキュリティ組織、SANS Instituteの代表兼調査部門ディレクターを務めるアラン・パーラー氏は、7月1日に開催した記者説明会の席でこのように説明した。 SANSは7月1日、2日にわたって、情報セキュリティをテーマとしたイベント「SANS Future Visions 2008 Tokyo」を開催している。このイベントに合わせて来日したパーラー氏は、OSやネットワークに代わり、アプリケーション、それも独自に開発されたアプリケーションが攻撃者のターゲットになっていることを改めて指摘し、注意を呼び掛けた。 SANSが世界中に設置したセンサーを通じて収集した調査によると、攻撃のターゲットに
2008-06-19
暑いし眠いしorz http://internet.watch.impress.co.jp/cda/news/2008/06/18/19989.html 行ったセミナーの記事が出てた。 というわけで、昨日のセミナーのまとめっていうか殴り書きw あまり参考にならないだろうけどw ・事件発覚前のサウンドハウス社の売り上げの75%はインターネット経由のものである。 ・売り上げのうちクレジットカードを使用した決済は38%であった。 ・代金引換、銀行振込み、クレジットカード決済はほぼ満遍なく使用されていた。 ・プレスリリース(http://www.soundhouse.co.jp/news/20080418.pdf)を出すにあたり、 社内、LACからの反対があった(プレスリリース後、問い合わせが増えると考えたため) が、事件の詳細を出すことにより社会へのセキュリティに対する認識が向上すると考え、 公
_
以前このページでは、Webブラウザのセキュリティ上の脆弱性を突いた情報収集を、倫理的に許されるものであるかのように紹介し、自らも実行するつもりだといった旨の記事を書いていました。 良識ある複数の方からその問題性についてご指摘をいただき、Webに関わる者の一人として考えが浅く、また軽率であったことに、今では深く反省しています。 自分自身への戒めとして、特に有害な部分を削除した上で残そうかとも思ったのですが、この記事の存在自体が不正行為の「気づき」になりかねないと思い、丸ごと削除することにしました。勝手ながら、一部ソーシャルブックマークのタイトル・概要文なども変更させていただきました。 直接メールを下さった皆さま、サイトやブログなどでご指摘下さった皆さま、貴重なご意見ありがとうございました。感謝しております。 また、ご不快に思われた方も多かっただろうと思います。重ねてお詫びいたします。 (20
星野君のWebアプリほのぼの改造計画 連載インデックス - @IT -
セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? 誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動-SQLインジェクション編 Webアプリ、入力チェ
高木浩光@自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直してみた
■ 朝日新聞の記事を真っ当な内容に書き直してみた 朝日新聞の 強力ウイルス、ネット銀行標的 「感染なら防御策なし」, 朝日新聞, 2008年3月3日 という記事のことが、スラッシュドットジャパンで「意味不明だ」と話題になっていた。 朝日新聞の「感染なら防御策なしの強力ウイルス登場」報道を理解できますか? , スラッシュドットジャパン, 2008年3月5日 まあ、朝日新聞のIT記事にしては良い出来ではないか。肝心の要点である以下の部分はきちんとおさえられていたから、私には何の話か理解できた。 ユーザーが振り込みをしようとすると、気付かないうちに振込先がウイルス作成者の口座に書き換えられ、振込金をかすめ取られるなどの被害を受けることになる。 しかし、この点がなぜ重要なのか、それが伝わらない記事だったのだろう。 このマルウェアが危険視される理由は、銀行側がこれまでにとってきた「二要素認証」の導入
IE8 で実装された Selectors API とは何か? - IT戦記
はじめに IE8 には Selectors API という新しい仕様が実装されました。 ということで、今後 DOM 操作 API の主流になるであろう Selectors API についてまとめておきます。 Selectors API が使えるブラウザ 2008 年 3 月 6 日現在の一覧 WebKit Build Archives | WebKit (開発版の Safari) Windows | Official Site for Microsoft Windows 10 Home & Pro OS, laptops, PCs, tablets & more (IE8 の Beta 版) Selectors API とは Selectors API とは W3C で定義された仕様です。詳細に関してはこちらをどうぞ 簡単に説明すると getElementsByTagName や getE
ついったー足あとちょう - てっく煮ブログ
as, twitterついったーの ID とメールアドレスを抜き出すよ!(追記)2008/3/9 18:00 crossdomain.xml が修正されて、抜き出せなくなったようです…。ソースはこんなの!(61行) package { import flash.display.Sprite; import flash.events.Event; import flash.text.*; import flash.net.*; [SWF(width="400", height="100", backgroundColor="#ffffff")] public class TwitterTracker extends Sprite { private var textField:TextField; public function TwitterTracker() { stage.scaleM
eXperts Connection|オンカジ 登録ボーナスのセキュリティー
eXperts Connection はシステム エンジニアやシステム管理者を対象とし、マイクロソフトのサーバー システム製品を中心に情報交換や意見交換を行うコミュニティです。ユーザーとマイクロソフトからなるチームでテーマを厳選して議論し、情報を共有・蓄積していきます。また、エキスパート コネクションは .NET Framework上で作成されており、サイト上でソースコードを公開しています。ソースコードに対する機能追加や修正に関する議論を行うことで、お客様が作成する.NET アプリケーションの参考にすることが可能です。 eXConn Blogsでは 「マイクロソフト社員による個人または部門(チーム)の Blog」 の運用を行っています。 このブログでは、マイクロソフトでの経験を活かした部門チームが、セキュリティエンジニアを目指している未経験者達が今後取るべき資格や、IT業界においてのセキュ
ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策
こんにちは、naoya です。 先日、ウノウが公開しているサービスの中にいくつかの脆弱性が見つかったため、社内で「脆弱性発見大会」を開催しました。この大会は、二人一チームに分かれてウノウが公開している各サービスの脆弱性を見つけることを目的とした大会です。結果は、いくつか各サービスに脆弱性が見つかり、すぐに修正することができました。 僕のチームは、ウノウのホームページやラボブログなど細かいサービスを担当しました。その中で、いくつかのウェブサーバにセキュリティ上あまい設定がありました。 今日は、ウェブサーバのセキュリティ向上のための設定方法についてエントリします。なお、ウェブサーバはApache 2.2系を前提としています。 サーバ情報の表示しない ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういっ
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第1章 総論:より良いWebアプリケーション設計のヒント
ここで述べるのは、脆弱性が生まれにくいWebアプリケーションを構築するために設計段階、あるいはそれ以前の段階で考慮しておくとよい事項の例である。 (1) 開発環境の選択 1) プログラマが脆弱性をつくり易い環境を避ける 今日のWEBアプリケーション開発環境は、プログラミング言語の処理系に加えて、開発フレームワークやコンテンツ管理システム(CMS)、さらに外部のテンプレート言語までを加えた総合的な環境となってきている。 短時日で素早くサイトを立ち上げることを目的として、「軽量言語」と呼ばれる各種スクリプト言語が標準で備えているWEBアプリケーションを手軽に開発するための機能やライブラリをそのまま利用することは悪くない。しかし、その手軽さ故に、セキュリティの観点からは多くの脆弱性を生んできた経緯がある。 例えば、下記の事例が挙げられる。 PHPの4.1以前のバージョンの環境は、「registe
mofiganの日記
グレープフルーツはグレープではないのか 「生産的」な休日? 「休みの日は何してるんですか?」というのはよく知らない人との当たり障りのない会話において最頻出の質問の1つであるが、こうした質問は往々にして最も答えにくい質問でもある。私はこれを聞かれた際には、短歌がどうとかスカッシュがどうとかビ…
ウェブサービスAPIにおける『成りすまし問題』に関する一考察
先週の末に、はてなのウェブ・サービスAPIを使ったMash-upアプリをFlash上で作り始めていきなりつまずいたのが、Cross-Domainセキュリティ。satoshi.blogs.comから取得したswfファイル上のActionScriptからb.hatena.ne.jp下にあるRSSフィードだとかXML-RPCにアクセスができないのだ。 「確か方法があったはず」と調べてみると、はてな側がサーバーにcrossdomain.xmlというファイルを置いて明示的にCross-Domainアクセスを許可していなければならない、という。そこで見つけたのが、「Flashから各APIの操作、データのロードができるよう、サーバ上に「crossdomain.xml」というポリシーファイルの設置をお願いしたい。」というはてなアイデアへのリクエスト。2006年の2月にリクエストが出されているのだが、11月
ロケーションバーの提案(2) - えむもじら
Firefox 3 で採用される予定の(私が大好きな)Locationbar² だが、Hacking for Christ: Location Bar Proposal で、具体的な提案が示されている。以下、ざっくりと要約。 ロケーションバーからファビコンを除く ロケーションバーを完全に信頼されてものにしたい。すなわち、サイトが鍵マークを偽装したりするのを許さない。ファビコンは完全になくすか、我々が完全にコントロールできる汎用的なアイコンにする。 "Public Suffix + 2" 以外のすべてをグレイアウトする ロケーションバーがフォーカスされるかマウスオーバーされると黒に戻る。これは CSS だけで処理できる。グレイアウトの色は設定可能であり、この機能がいやなら黒にすればよい。 Public Suffix(または Effective TLD)とは、URL のうち登録者個人の所有物で
blog.8-p.info : Twitter can't protect your updates
Twitter の "Protect my updates" というのは、あまりあてにならない。 Twitter には固定 URI を GET すると JSON を返す API があるので http://twitter.com/statuses/friends.json で friends 一覧をとって http://twitter.com/statuses/user_timeline.json?id=XXX で利用者ごとのタイムラインをとって それを XMLHttpRequest かなにかでそれを送信 なんてスクリプトを書いた HTML を自分のサイトに置いて、あとは Twitter にログインしている JavaScript を実行するブラウザをさそいこめば、"Protect my updates" なひとのメッセージもとることができるからだ。ちょっとまえの Gmail のコンタクトリス
おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA
それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
秀丸メールの「@の偽装処理」 : ひろ式めもちょう
https://8-p.info/tmp/twitter.html