社内向けサービスでSSRFを起こした話 - セキュアスカイプラス
はじめに こんにちは。SST研究開発部の小野里です。最近はキーボードを自作しようと思って色々パーツを買いそろえており、キーボードのことばかり考えています。今回の話はキーボードとは全く関係ありません。 さて、先日以下の記事で社内向けの蔵書管理サービスを作ったことを書きました。 新卒研修記~Webアプリの開発~ その後、私の新卒研修ではこのサービスについて弊社の主な業務である脆弱性診断を行っていたのですが、そこでSSRFという中々面白い脆弱性が見つかりました。この記事ではSSRFがなぜ引き起こされてしまったのかと、その対策について書いていこうと思います。 SSRFとは SSRF (Server Side Request Forgery)とは、公開サーバの設定不備により、非公開サーバに対して不正にアクセスされる脆弱性です。 通常、直接のアクセスが禁止されているサーバに対して、公開サーバを経由して
CookieのSameSite属性と4つの勘違い(2022-10版) - セキュアスカイプラス
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding “same-site” and “same-origin” 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62
WebAuthnをエミュレートするWebアプリの開発 - セキュアスカイプラス
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャンツールで WebAuthnを使ったログイン処理をどうやって再現するかが悩ましく感じました。 もちろん、2022年2月時点でほとんどの(筆者の知る限りではすべての)Webサイトで WebAuthn を始めとする多要素認証はオプション扱いです。 多要素認証のフローそのものの診断を要望されない限りは、従来のID/パスワード認証によるログイン処理でスキャンや手動診断が可能です。 とはいえ転ばぬ先の杖と言いますし、診断ツールを開発している筆者として
Access-Control-Allow-Origin に設定する値として"マシ"なのはどちらか - セキュアスカイプラス
はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として「Access-Control-Allow-Origin」に設定される値自体はどうでも良くないです。重要です。 理由がよくわからない場合は以下の記事をご覧いただければと思います。 https://developer.mozilla.org/ja/docs/Web/HTTP/CORS では、そこまで重要でもないと思ったのは何なのか……。それは「Access-Control-Allow-Origin」に以下の値が設定されていた場合、どちらがセキュリティ的にマシなのか?とい
静的サイトとセキュリティ - セキュアスカイプラス
こんにちは。研究開発部のつじもとです。今回は、静的サイトにおけるセキュリティについて、書いていきます。私は脆弱性診断ではなく開発などをメインにしているので、ここで皆さんと「静的サイトとセキュリティ」について一緒に勉強していけたらと思います! なので、この記事の対象読者の方は、なんかWebとかセキュリティのことよくわからないけど、とりあえずWebサイトの発注やら管理をやることなりました! といった方が対象になります。 ということで早速、「静的サイト セキュリティ」とググってみました。ググった結果はというと 静的サイトは外部の攻撃にたいして堅牢です! サーバーのセキュリティ対策はほぼ必要ありません! セキュリティリスクがほぼない! すごいですね! 静的サイトセキュリティ最強みたいな記事が結構ヒットします。 確かに静的サイト自体はデーターベースがないので、攻撃されて何かしらの情報が漏れるというよ
PacketProxyを触ってみました - セキュアスカイプラス
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日DeNA様がGitHub上で公開された PacketProxy を触ってみました。 https://github.com/DeNA/PacketProxy ここがすごい PacketProxyすごい!! 名前の通り、パケットレベルで中身を見たり、編集するのに向いてる。 javaソースで約4万8千行とそれなりの規模。 フレームワークやライブラリはあまり使わず、HTTP/WebSocketのパースなどを手作りしてる。 ソケット周りも Java8 時代のJDKライブラリベースで、Nettyみたいなフレームワークは使ってない。でも手作りでここまで作れるのはすごい。 DNS偽装 + invisible https proxy でスマホの通信を intercept できるよう
最近流行りのWebスキミングについて調べてみた - セキュアスカイプラス
こんにちは!もう新卒エンジニアとは言えなくなった西尾です!(社会人2年目) 最近、世界的に流行っているWebスキミングについて調べていたのですが、意外と日本語の情報が少なかったので、今回はWebスキミングについて調べた内容をブログにまとめてみました。 Webスキミングとは Webスキミング(Web skimming)とは、その名の通り Web版のスキミング です。具体的には、ECサイトなどの決済画面に不正なスクリプトを埋め込み、ユーザがフォームに入力したクレジットカード情報を窃取する攻撃です。 一般的には「フォームジャッキング」とも呼ばれている攻撃ですが、個人的には「Webスキミング」の方が直感的に分かりやすいかなぁと思ってます。 Webスキミング自体は数年前から発生していたようですが、昨年イギリスの大手航空会社が大きな被害を受けたことがきっかけで有名になり、最近は世界中でスキミング被害が
技術系の洋書をたらふく読もう! - セキュアスカイプラス
注: この記事の内容は2018年12月に執筆された時点の情報です。この記事で紹介していますACM Professional Membershipの特典であるO’Reilly Online Learning(旧O’Reilly Safari Books Online)へのアクセスは2022年7月1日から利用できなくなります。詳しくは ACMによるアナウンスをご覧ください。 事業開発部と研究開発部に属している宇田川です。 最初に言っておきます。今回はAWS WAFの記事ではないですよ~ 今回は私の読書について、お伝えいたします~ SSTでは過去2つの読書記事があります。 第1弾 読まずに読む!?私の読書法 第2弾 積読を消化する技術 そして、今回勝手に第3弾です。 今頃かいっ!的な方々もいらっしゃるかもしれませんが、Safari Books Onlineという技術系洋書が読み放題のサービスがあ
Node.jsにおけるprototype汚染攻撃への対策 - SSTエンジニアブログ
はじめに こんにちは、CTOのはせがわようすけです。 少し前に大津さんが Node.js におけるprototype汚染攻撃を紹介する記事を掲載されていました。 Node.jsにおけるプロトタイプ汚染攻撃とは何か どういう原理での攻撃なのかの解説は大津さんの記事を参照頂くとして、記事内で紹介されている講演の動画では最終的に任意コード実行まで至っているという点で非常に興味深いものがあります。 攻撃の経路としてはクライアントからHTTP経由でJSONをPOSTするというだけですので、いくら Object.prototype を上書きできたとしても送ることのできるデータはJSONで表現可能なプリミティブな型のみで、JavaScriptの関数は含めることはできません。 この講演動画で扱われているGhost CMSというソフトウェアでは、__proto__ 経由でテンプレートのファイル名だけでなくそ
積読を消化する技術 - SSTエンジニアブログ
こんにちは、SSTでWeb脆弱性診断用のツール開発をしている坂本です。 弊社塙が先日公開した記事 読まずに読む!?私の読書法 – SSTバックヤード に触発され、IT技術者として「積読」をどう消化するのか、自分なりの心構えと実践例を紹介したいと思います。 積読が心の重荷となっている人たちにとって、本記事を読むことで少しでも心が軽くなれば幸いです。 この記事を一言にまとめると、「本は読んでも、読まれるな」です。 積読の定義と苦しみ そもそも積読(つんどく)とは何でしょうか?坂本は「読む予定の本がうず高く積もっている状態、および積み上げられた本そのもの」と考えます。 はてなキーワードにも同様の解説が載っています。( 積読とは 読書の人気・最新記事を集めました – はてな より ) 買っても机の上などに積んでいるだけで読んでいない本・新聞・雑誌等のこと。積ん読とも表記。 IT技術者であれば、プロ
Vue.js で XSS を作り込まないために気を付けること - セキュアスカイプラス
はじめに はじめまして、福岡オフィスで働いている前平です。 セキュアスカイ・テクノロジーでは、すでにいくつかのカテゴリのブログを発信していますが、技術を気軽に発信したり、エンジニアが普段の業務でどのような技術に触れているのかを紹介したりすることを目的として、新しく「エンジニアブログ」が立ち上がりました。 本記事では、最近になってようやく (汗) 検証した Vue.js でのクロスサイト・スクリプティング (XSS) について紹介します。 なお、本記事の内容は私見に基づくものであり、所属組織を代表するものではありません。 前提 本記事では Vue.js を使って XSS の脆弱性を作ってしまうようなケースを説明しますが、その他の JavaScript のライブラリ/フレームワークを使った場合でも同様のリスクがある可能性があります。 検証で利用したバージョン Vue.js v2.5.16 (サ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
