高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
2005-04-21
2005-04-21 サークルクラッシャー刃牙 雑記 サークルではないんだが、昔とあるコミュニティで勝手に兄弟増やすアレな女がいた。状況が把握できなくなってきたので兄弟が10人に達したらメーリングリスト作ろうかとかそんな話をしていた(作らなかったけど)。しかし女ってどうしてベッドの上で前の男の××… 2005-04-21 mixi のセキュリティーホール(その3) web [id:rna:20050420#p1] の追記に書いたように17:00頃に、残っていた穴のうち僕が把握している分については対策がとられたようです。まずはお疲れさまということで。ですが、mixi のこれまでの対応のしかたには疑問が残りますし、それゆえ僕が調べてない部分の…
2004-09-13
http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_1.html http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_2.html はてなダイアリーにも同じ脆弱性があるので、はてなスタッフの人(id:hatenadiary)は対策した方がいいと思います。 この脆弱性は知人が8月上旬頃(15日?)にはてなへ通報済みですが未だ対応されてません。 以下のアドレスを自分のはてなダイアリーに貼り付けはてなにログインしてる状態でクリックすると強制的に明日の日付の日記が更新されます。 これをリファラスパムなどに応用すれば・・・ http://unity.to/toilet/scripts/hatena_vulnerability.php ちなみにこの方法は更
hxxk.jp - MT をインストールしたら真っ先に行うべきセキュリティ対策
記事データ 投稿者 望月真琴 投稿日時 2004-09-13T21:05+09:00 タグ CSRF Movable Type obsolete weblog セキュリティ 脆弱性 概要 この記事は obsolete です。 Movable Type における CSRF の可能性と各種対処法 ( http://hxxk.jp/2005/05/13/2105 ) を参照していただくようお願いします。 リプライ 20 件のリプライがあります。 何故こんな記事を書くのか 通常、私は自分の力量の範囲で調査・考察し、自分で「理解できた」と判断したもののみを記事として書くというスタンスでサイトを運営しています。 それは 真琴が興味のあることを調査、ないし考察したことについての記録を行うサイトです と書いている通りで、知ったかぶりをしないように自戒するための意味を持っています。 しかし、今回の記事は緊急
speciii.com
This domain is expired. If you are the domain owner please click here to renew it. speciii.com 2018 Copyright. All Rights Reserved. The Sponsored Listings displayed above are served automatically by a third party. Neither the service provider nor the domain owner maintain any relationship with the advertisers. In case of trademark issues please contact the domain owner directly (contact informatio
a threadless kite - 糸の切れた凧
2024年3月10日、北海道警は札幌市内で約1400万円の特殊詐欺による被害が発生したと3月8日に発表しました。また3月18日には千葉県警が同様の事案の発生について発表しました。ここでは関連する情報をまとめます。 勝手に開設した本人名義の口座へ送金指示か 2024年3月8日に札幌市内で約1,400万円の詐欺被害が発生したと発表したのは北海道警察 札幌厚別署。*1 今回確認された新たな特殊詐欺の手口として、被害者名義の口座を詐欺実行犯が勝手に開設し、これを送金先に指定するもの。被害者は詐欺実行犯から連絡を受けた際に、スマートフォンのビデオ通話を通じて自身の顔とマイナンバーカードを映しており、ここ…
セキュリティホール memo - 2005.04
》 羽田方面 羽田で管制ミス、閉鎖滑走路着陸 担当者全員が「失念」 (asahi.com, 4/30) 機長の3度の問い合わせにもミス気づかず 羽田管制官 (asahi.com, 4/30) うーむ。全員が気がつかないというのは、個々人のスキルがどうこうというよりも、システムそのものに欠陥があるのではと思うのだが。 羽田には、現在の滑走路の状態を一目瞭然に示すような表示装置とかはないのだろうか。 》 ウイルスバスター2005: ウイルスバスタークラブ会員契約の有効期間の確認方法 (トレンドマイクロ)。延長処置が実施されたようですね。 》 Longhorn、「管理者ログイン」減らして脆弱性少なく (ITmedia, 4/29)。ようやく、そうなりますか。 ここに至るまでかかった時間はいささか長すぎますが……。 》 ドアに潜む危険 〜畑村洋太郎の危険学入門〜 (NHK, 4/30)。 先日の
はまちちゃん関連で思ったこと - おれはおまえのパパじゃない
はまちちゃん関連でmixi日記からのリファがごっそり来てるのですけども、アクセスできないもの多数。出ました「辿れないリファラ」。リファが残ると気になるのだけど、「見せてください」とか「見せないならせめてリファを残さないでください」とかお願いする気は毛頭なくて、ただ単に辿れないリファが俺は嫌いだということを表明しておきまふ。 閲覧可能なところを見る限り、論調としては「こういうバカは最低だね」と悪感情を垂れ流しているところが多かった。次いで多かったのが「wwwwwwっうぇwww」と喜んでるvipperな人たち。XSSとかCSRFとかについて論考してるところはわずか数件。「ウィルス」とか言ってる無知な人、割と多数。 セキュリティホールの指摘が今回みたいな形で行われることは、道義的には完全にアウトだろうから(法的にも?)、その点は批判されてしかるべきでしょうけども、「こういうバカ」とか、はなっから
はまちちゃん続報 - おれはおまえのパパじゃない
4月21日23時頃にVer.4を仕掛けたはまちやさんにmixi運営側からメールが。 先日迷惑行為に関してご案内差し上げましたが、本日になりましてもご対応いただけず、多数のユーザー様より苦情をいただいております。 mixiではサーバーに負担をかける行為、および他のユーザーのアクセスまたは操作を妨害する行為を禁止しております。 4月20日の時点で運営側はトラップの設置をやめるようにメールしていたらしいのですけども、はまちやさんが大量のマイミクリクエストメールに埋もれた警告に気付いていなかった。結局4月23日土曜日正午をもってはまちやさんのアカウントは削除されることになったもよう。招待メールを誰かに送ってもらえばすぐに戻ってこられるので、これは日記やメールその他のデータをいったん無にするという懲罰的意味があるっぽい。それはそれで企業として正しい選択だと思いますけども、それとは別に、せめてCSRF
CSRF - クロスサイトリクエストフォージェリ
■CSRF - クロスサイトリクエストフォージェリ CSRF - クロスサイトリクエストフォージェリ SpecIII - CSRF - クロスサイトリクエストフォージェリから引用させて頂きます。 CSRFの概略 CSRFはCross Site Request Forgeriesの略です。恥ずかしながら私は最近こういったこういった攻撃方法があることを知りました。日頃のアンテナの低さがバレますね。 CSRFはサイトに対する正規のユーザーの権限を利用した攻撃です。あるサイトのある処理を行うページに正規のユーザーを誘導し、強制的に望まない処理を発生させます。 具体的には記事の編集や削除といった機能を持つページのURLをダミーのリンクに埋め込んで踏ませたり、imgタグのsrcとして指定して知らず知らずのうちにアクセスさせます。特に後者の例ではユーザーが全く気がつかぬうちに攻撃が完了します。攻撃の結果
mixi のセキュリティーホール(その2) - rna fragments
「ぼくはまちちゃん!」(参照:[id:rna:20050419#p2])の件、「はまちちゃん」は朝のうちにブロックされたようですが、同じ方法でコメント欄に書き込むもの(「はまきちゃん(仮称)」)を作ったら書き込めてしまったので mixi 側に連絡したところ夕方までに対処されました。しかし××するもの(こっちのほうがやばげ)を作ったら…いけてしまいました(thx > vaioさん)。結局19:20現在、根本的な対策は打たれていないようです。 15:00頃に「××もできてしまうので根本的な対策がすぐには間に合わないのであれば mixi にログイン中は知らないリンクを踏まない(ログアウトしていれば効かないので)、こまめにログアウトする、などの自衛策をアナウンスして欲しい」と連絡したのですが今のところアナウンスはないようです。 P.S. [id:kowagari:20050420#11139680
in between days - mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ
2005-04-20 mixiにCSRF脆弱性「ぼくはまちちゃん!」トラップ mixi 昨日書いた「まちちゃん!」トラップがバージョンアップ(ver 3.0)したもよお。以前のは日記を書き込むためのCGIへの引数付きのリンクがそのまま貼ってあったんだけど、今回はサイトを経由させるようになってて手が凝っているもよお。mixiの対策としてはリ… 2005-04-20 え?「はまち」ちゃんなの? mixi はまちちゃん関連で思ったこと - おれはおまえのパパじゃない“I am MACHI-CHANG”なのかと思ってたっす。あと「【日刊】mixiニュース」というコミュニティで“「ぼくはまちちゃん」ウイルス”というタイトルのトピックが立ってて、それはまあまだいいんだけど、… 2005-04-20 はまちちゃん関連 mixi 恐がりさん経由でやじうまWatchからたくさん人がくるよう怖いようとか震えて
おれはおまえのパパじゃない - mixiで「ぼくはまちちゃん!」大発生
飛んだ先の日記にあるリンクをうっかり踏むとこんな内容のmixi日記が意図せずアップされてしまうというトラップ(?)。mixi新着日記で猛威をふるってる。 2005年04月19日 16:34 ぼくはまちちゃん! こんにちはこんにちは!! (URL省略) TinyURLなんかを利用するといかようにも悪用できそうで、すぐ対策が取られるのは目に見えてるのだけど、こういう穴がSNSにぽっかり開いているというのはさすがに背筋に冷たいものが……。面白かったですけども。ちなみに調子に乗ってドカドカ踏むと、システムから「規定数」と言われて止められる。 追記1:16時50分過ぎ頃にmixi側が気付いて対策を取ったもよう。いきなり日記がアップされるようなことはなくなり、確認画面が出るようになった。12時から始まって17時までの5時間足らずで約2000 400人以上がひっかかったらしい。 あと関係ないけど「あわび
ITmedia エンタープライズ:大量の「はまちちゃん」を生み出したCSRFの脆弱性とは?
「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。 4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。 サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。 だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。 正規ユーザーの操作で「意図しない」結果に URLをクリックすると勝手に日記が書き込まれ
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_2.html
http://www.nurs.or.jp/~b3/log/archives/2004/08_12_attacking_mt_1.html
http://simon.tmn.net/wiki/index.php?mixi%2F%A4%DC%A4%AF%A4%CF%A4%DE%A4%C1%A4%C1%A4%E3%A4%F3%A1%AA
はてなダイアリーの不正な自動操作についての脆弱性について - はてなダイアリー日記