Categories: Security, エンドユーザ

デブサミ200 優秀スピーカー賞

May 12th, 2009

今年のデブサミにはパネルディスカッションのパネラーの一人として参加していたのですが、そのセッションが優秀スピーカー賞に選ばれました。

デブサミらしく(?)表彰状はGoogle Docsで送られてきました。

優秀スピーカー賞

パネルディスカッションを仕切った竹迫さんの戦略勝ち、という方が良いと思います。何はともあれ表彰して頂けてありがたいです。パネラの皆さん、またどこかでご一緒しましょう。

Posted in Security | PermalinkPermalink | 2 feedbacks »

第01回 STLUG & セキュリティうどん勉強会 (5/17)

May 11th, 2009

ブログ更新を随分していませんでした。リハビリに軽い物から再開したいと思います。

第01回 STLUG & セキュリティうどん勉強会が今月17日に香川県高松市で行われるそうです。

http://atnd.org/events/556

私も参加します(と、いうよりしたい)

OpenIDプロバイダー対応のアカウントを持っていれば何方でも登録できるようです。まだ、セミナー/懇親会共に空きが十分あるので、都合が良い方は是非どうぞ。

Posted in Security | PermalinkPermalink | Send feedback »

Flashのセキュリティ設定 - Flash Cookie

February 8th, 2009

Flash Playerの設定はAdobe(Macromedia)のページで行う事は、Web開発者には常識だと思います。このブログをあまり一般的なユーザが見ている、とは思えませんが一般ユーザ向けに書いています。

Flashの設定は以下のWebページから行います。

Flashセキュリティ設定のページ(MomongaLinux x86_64+Flash10 Alpha)
Disable Flash Cookie
http://www.macromedia.com/support/documentation/en/flashplayer/help/settings_manager03.html

デフォルトで「サードパーティ製のFlashコンテンツにコンピュータ上のデータを格納する事を許可します」にはチェックが入っています。

これはFlash Cookie(ローカル共有オブジェクト - SharedObject)とも呼ばれているFlash用のローカル(ブラウザを実行しているPC)ストレージです。ブラウザのクッキーはたったのサイトあたり4KBしか利用できませんが、Flashはデフォルトで100KBまで使えます。

Read more »

Posted in Security, エンドユーザ | PermalinkPermalink | Send feedback »

Strict Sessionパッチ - PHP 5.2.8

February 7th, 2009

PHP 5.2.8がリリースされてしばらくたち、既にPHP 5.2.9RC1が出ています。更新が遅れていましたが、PHP 5.2.8用のStrict SessionパッチをWikiに入れておきました。

http://wiki.ohgaki.net/index.php?PHP%2Fpatch%2FStrictSession

参考: 
PHP:既知のセキュリティ脆弱性 - Session Adoption
PHP4.4.9のセキュリティ状態

Posted in Security, PHP | PermalinkPermalink | Send feedback »

「ハッカー」に逆襲、パスワード盗み返す 中3書類送検

February 7th, 2009

今年、流行するだろうと予測していることに、素人によるWebアカウントのクラックが増える、があります。

少年はゲームの動きが悪くなったことからキーロガーに気づき、ソフトを解析。操作の履歴の送付先になっていた男性のメールアドレスやID、パスワードを割り出したという。

http://www.asahi.com/national/update/0205/NGY200902050001.html

キーロガーを送りつけられ、それに気づいた中学生が犯人を割り出して、逆にクラックした事件だそうです。加害者でもあり、被害者でもあるクラッカーは気が付かなかったようなのでスクリプトキディーだとしてもなかなかのものです。

Webアカウントのクラックはもっと簡単です。パスワードが盗めたり、セッションが盗めるサイトは多数あります。パスワードは結構簡単にクラックできます。例えば、md5でハッシュ化しているパスワードで小文字アルファベットと数字だけ(1-8文字)

abcdefghijklmnopqrstuvwxyz0123456789

の辞書サイズはたったの36GBです。(単純にハッシュ化したデータを保存している訳ではないので解析できる可能性は99.904%) オンラインで巨大な辞書(レインボーテーブル)を公開しているサイトもあるので自分で辞書を作る必要もありません。

この少年がWebアカウントでなくWindowsアカウントですが、関連事例として書いておきます。

関連: http://blog.ohgaki.net/2009

Posted in 雑文, Security | PermalinkPermalink | Send feedback »

Session Adoptionが攻撃に有用な実例

January 29th, 2009

PHP:既知のセキュリティ脆弱性 - Session AdoptionでWebmailアプリケーションであるSquirrelMailとRoundCubeがこの攻撃に脆弱であることを紹介しました。

タイミング良く(?)同じくPHPベースのWebmailアプリであるIMPにクロスサイトスクリプティング脆弱性が発見され修正されました。(IMP-4.3.3未満/IMP-4.2.2未満)

試しに、ソースコードをチェックしてみました。

Read more »

Posted in Security, PHP | PermalinkPermalink | 2 feedbacks »

In Session Phishing

January 28th, 2009

Link: http://www.trusteer.com/files/In-session-phishing-advisory-2.pdf

In Session Phishingという興味深いアドバイザリが公開されています。

具体的な記載はありませんが、現在広く利用されているInternet Explorer, Firefox, Safari, ChromeでJavaScriptを利用するとユーザが特定のサイトにログインしていたか判別できるようです。

Recently Trusteer CTO Amit Klein and his research group discovered a vulnerability in the JavaScript engine of all leading browsers - Internet Explorer, Firefox, Safari, and Chrome - which allows a website to check whether a user is currently logged onto another website. The source of the vulnerability is a specific JavaScript function. When this function is called it leaves a temporary footprint on the computer and any other website can identify this footprint. Websites that use this function in a certain way are traceable. Many websites, including financial institutions, online retailers, social networking websites, gaming, and gambling websites use this function and can be traced.

ユーザが訪問したことがあるサイトを検出する方法はあります。訪問済みのURLは色が変わることを利用して検出します。マーケティング目的で実際に利用されています。しかし、この方法ではユーザが実際に今ログインしているかどうかは判別できません。アドバイザリによると、ログインしているかどうか判別できる足跡が検出できる、としています。

自分がサイトにログインしている最中に「現在、攻撃されている可能性があるので再ログインをしてください」とメールを送ればより効果的なフィッシングが行えます。

もうしばらくすれば詳細が明らかになるかも知れませんが、最近のブラウザ全てに影響するようなのでJavaScriptやDOMの仕様に関係する問題の可能性が高いです。その場合は簡単に修正できない可能性がかなり高いのではないかと思います。

フィッシングでなくてもマーケティング目的で利用されそうな気もします。

Posted in Security, Webシステム開発, JavaScript | PermalinkPermalink | Send feedback »

PHP:既知のセキュリティ脆弱性 - Session Adoption

January 27th, 2009

PHPには広く知られているにも関わらず放置されている既知のセキュリティ脆弱性が幾つかあります。その一つがセッションモジュールのセッションアダプション(Session Adoption)脆弱性です。この脆弱性は現在広く利用されているWebアプリケーションの安全性に、非常に大きな影響を与える脆弱性です。

セッションアダプション脆弱性とはセッション固定化攻撃を可能とする脆弱性の一種です。セッションアダプションに脆弱なセッション管理システムは、ユーザ(ブラウザ)が送信してきた未初期化のセッションIDを受け入れ、セッションを初期化してしまいます。PHPに限らず、RailsやJavaのフレームワーク等、多くのWebフレームワークに発見されている脆弱性です。

セッションアダプション脆弱性を利用すると、攻撃者は長期間に渡って他人のIDを使う成りすましが可能になる場合があります。IDを盗みたい犯罪者には利用価値の高い脆弱性です。

この脆弱性は、10年以上前から問題視されている国別TLD(ccTLD)の属性ドメイン(国別Top Level Domain, co.jp, or.jpなどのドメイン)にも下位ドメインからクッキーが設定でき、サブドメインのクッキー設定が無視される(送信順序、優先順位がいい加減)、というとんでも無いクッキーの仕様と組み合わせると、大量の他人のユーザセッションIDを取得(設定)し、成りすます事ができます。

セッションアダプション問題は全てのPHP、PHP 4.4.9/PHP 5.2.8/PHP 5.3/PHP 6.0に共通する脆弱性です。

最近、影響範囲はかなり狭くなりましたが、まだまだ注意が必要な脆弱性であり、根本的な解決にはパッチと適切なセキュリティ対策が必要です。

Read more »

Posted in Security, PHP, Webシステム開発 | PermalinkPermalink | Send feedback »

PHP4.4.9のセキュリティ状態

January 22nd, 2009

PHP4のサポートは2008/8/8を持って終了しました。サポート終了に合わせて、最後のPHP4リリースとなる4.4.9がリリースされています。サポートが終了していますが、稼動中のPHPの半分はまだPHP4であるとる統計情報もあり、まだまだ現役です。

PHPプロジェクトのサポート終了したため、PHP 4.4.9のセキュリティ脆弱性はCVEなどでも報告されなくなりました。この為、普通にセキュリティ情報を収集していてもPHP4.4.9に対する脆弱性情報は入手できません。

Read more »

Posted in Security, PHP | PermalinkPermalink | 1 feedback »

エンティティ化された文字による任意コード実行

January 7th, 2009

小泉さんが発見され昨年末に公開された脆弱性です。詳しくはアドバイザリをご覧いただくとして概要を解説します。

CVE
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2008-5557

アドバイザリ
[Full-disclosure] CVE-2008-5557 - PHP mbstring buffer overflow vulnerability

かなり特殊な設定といえる状況で問題となるようですが、ちょうどgihyo.jpで文字エンコーディングに関連したセキュリティ問題を解説しているので紹介します。

http://gihyo.jp/dev/serial/01/php-security/0019
http://gihyo.jp/dev/serial/01/php-security/0020

Read more »

Posted in Security, PHP | PermalinkPermalink | 1 feedback »

1 2 3 4 5 6 7 8 9 10 11 ... 45 >>