« IE 7のセキュリティ改善を台無しにするIE 7 Beta2日本語版解答:まちがった自動ログイン処理 »

"Path Insecurity" - クッキー/HTTP認証のパスは信頼できるか?

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

リンク: http://www.webappsec.org/lists/websecurity/archive/2006-03/msg00000.html

3月1日に"Path Insecurity" と題するテクニカルノートが投稿されていますが、さっき試しに"Path Insecurity"をキーワードにググってみても日本語のページが一つも無いので要旨だけ書いておきます。

「クッキー、HTTP認証のPathは信頼できない」

setTimeoutを使って他のページ開くとPath設定されたクッキー(セッションID)で制御していても効果が無いです。(他のページがXSSに脆弱であればその影響を受けてしまう)URLエンコードを使った単純な攻撃でHTTP認証のPathをごまかせる。

MLではHttpOnly Cookieの攻略など最近これに関連した話題で盛り上がっていました。こちらも面白いので興味のある方はMLのアーカイブを検索してみてはいかがでしょうか。(特に共有サーバを利用されている方)

"Path Insecurity"を投稿した方が書いた別のメールには次のような文面も... IE7では直る?

Note that my %2e%2e "finding" for IE 6.0 of early 2006 was
assigned a CVE number CAN-2003-0513 on July 2003.
I suppose Microsoft didn't find time to fix this in over 2.5
years.
So, to clarify: while I did think of the %2e%2e all by
myself, it was apparently known to the public (courtesy of
Martin O'Neal from Corsaire) for over 2 years.
And that's what matters

.

このエントリがポストされているのは 5月 15th, 2006 05:11:24 and is filed under Security, Webシステム開発 永続的リンク永続的リンク

このエントリーを含むはてなブックマーク このエントリーのはてなブックマーク数 この記事をクリップ! Buzzurlにブックマーク Yahoo!ブックマークに登録

2 コメント

コメント from: Yasuo Ohgaki [メンバー] メール · http://www.ohgaki.net/
言われてみれば昔にレポートがあったような、なかったような。MSも忘れている(?)のかも知れません。というよりDBに登録し忘れた(?)ので直っていない!?
2006/05/15 @ 05:37
コメント from: Yasuo Ohgaki [メンバー] メール · http://www.ohgaki.net/
ところでHTTP認証問題の回避策としてRealmにランダムな文字列を使う方法が紹介されていますが、普通の環境では回避策として使えないですよね。学校などでは

http://some-host/~user_abc/
http://some-host/~user_xyz/

として、.htaccessでHTTP認証を使えるようにしているケースが多いと思いますがランダムなrealmを設定する簡単な方法はないように思えます。私が知らないだけである?
2006/05/15 @ 10:22

コメントを残す


Your email address will not be revealed on this site.

頂いたURLは表示されます。
PoorExcellent
(改行が自動で <br /> になります)
(Name, email & website)
(ユーザに、メッセージ・フォームを通じた連絡を許可します (あなたのメール・アドレスは表示されません))