Clik here to view.
EC2上でDNS RebindingによるSSRF攻撃可能性を検証した
AWS EC2環境でのDNS Rebindingについて検証したので紹介します。まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。SSRF(Server Side Request...
View ArticleClik here to view.
WordPressのプラグインVisual CSS Style Editorに権限昇格の脆弱性
最近WordPressのプラグインのアップデート状況を監視しているのですが、Visual CSS Style Editor(別名Yellow pencil visual theme...
View Article鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した
4月23日(火)に開催された 「#ssmjp 2019/04 ~DNSの話を聞く会~」に「Outputなら任せてください枠」で参加しましたので、講演内容からとくにやばい(?)内容と思われる@tss_ontap(鈴木常彦=浸透言うな先生)の「黒塗りの DNS...
View Article[書評]噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか?
瓜生聖(うりゅうせい)の近著「噂の学園一美少女な先輩がモブの俺に惚れてるって、これなんのバグですか? 」を読んだので紹介したい。本書は、JNSA(特定非営利活動法人...
View ArticleClik here to view.
2019年1月から5月に公表されたウェブサイトからのクレジットカード情報漏えい事件まとめ
株式会社ヤマダ電機の運営するECサイトから、最大37,832件のクレジットカード情報が漏洩したと昨日発表されました。ヤマダ電機のように日本を代表する家電量販店のサイトからクレジットカード情報が漏洩したことに私自身驚きました。弊社が運営する「ヤマダウエブコム・ヤマダモール」への不正アクセスによる個人情報流出に関するお詫びとお知らせ漏洩した情報は以下のように発表されています。クレジットカード番号有効期限...
View ArticleClik here to view.
PHPカンファレンス福岡2019のSST社ブースにてPHPクイズ出題を担当しました
PHPカンファレンス福岡2019のセキュアスカイテクノロジー(SST)社ブースにて、PHPクイズの出題を担当しました。以下は、そのパネルのイメージです。SST社は弊社EGセキュアソリューションズ株式会社のパートナー企業で、私はSST社のEラーラニングコンテンツ(PHP編)の監修を担当しています。問題はすべて2択で、回答は下の写真のように、赤または青のシールをボードに貼り付ける形になっています。回答が...
View ArticleClik here to view.
PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性
サマリPHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。はじめに古庄親方の以下のツイートを見て驚きました。CSRF用のトークンの作成$token =...
View Articleシェルを経由しないOSコマンド呼び出しがPHP7.4で実装された
この記事はPHP Advent Calendar 2019の5日目の記事です。はじめに私は6年前に、PHP Advent Calendar...
View ArticleClik here to view.
SSRF対策としてAmazonから発表されたIMDSv2の効果と限界
サマリCapital OneからのSSRF攻撃による大規模な情報漏えい等をうけて、Amazonはインスタンスメタデータに対する保護策としてInstance Metadata Service (IMDSv2) を発表した。本稿では、IMDSv2が生まれた背景、使い方、効果、限界を説明した上で、SSRF対策におけるIMDSv2の位置づけについて説明する。SSRFとはSSRF(Server Side...
View ArticlePHP 7.2以降におけるPDO::PARAM_INTの仕様変更
サマリPHP 7.2以降、PDOの内部実装が変更された。動的プレースホルダ(エミュレーションOFF)にてバインド時にPDO::PARAM_INTを指定した場合、PHP 7.1までは文字列型としてバインドされていたが、PHP...
View ArticlePHPの脆弱性CVE-2018-17082はApacheの脆弱性CVE-2015-3183を修正したら発現するようになったというお話
最近自宅引きこもりで時間ができたので、YouTube動画を投稿するようになりました。みんな見てねー。徳丸浩のウェブセキュリティ講座そんなことで、次の動画は、お気に入りのPHPの脆弱性 CVE-2018-17082 を取り上げようと思ったんですよ。表向きXSSで出ているけど、金床さんのツッコミにもあるように、実はHTTP Request...
View ArticleClik here to view.
auじぶん銀行のフィッシングSMSが届いた
3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。auじぶん銀行アプリに対する不正出金の驚くべき手口そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。ふーん、au自分銀行のときは宅配事業者を装ったSMSということでしたが、これはどうなんでしょうね。開いてみると…詐欺サイトの警告が出ていますが、構わずに開いてみると…きたきたきたー。こ...
View ArticleClik here to view.
PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由
このエントリは、PHP Advent Calendar 2021の20日目のエントリです。19日目は @takobaさんによる...
View ArticleClik here to view.
Clik here to view.
Clik here to view.
DNSリバインディング(DNS Rebinding)対策総まとめ
サマリDNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策機能が有効になっている。...
View ArticleClik here to view.
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。第三者委員会調査報告書(公表版)クレジットカード番号等取扱業者に対する行政処分を行いました...
View ArticlePHPカンファレンス2022にてSPAセキュリティ超入門の話をします
今年もPHPカンファレンスにてトークさせていただくことになりまして、以下のようなお話をいたします。日時:9月25日(日) 14:40〜15:40場所:大田区産業プラザPiO および YouTube費用:無料講演タイトル:SPAセキュリティ超入門申し込み: connpassアジェンダ:SPA(Single Page...
View ArticleRuby cgi gemのHTTPヘッダインジェクション脆弱性CVE-2021-33621の概要と発見の経緯
div.code-frame { background-color: #2f3232; color: #e3e3e3; padding: 0.1em 0 0.1em 1.2em; } この記事はRuby Advent Calendar 2022の第20日の記事です。前日の記事は@ydahさんによる「RuboCopのバージョンを最新に保つ技術」でした。2022年11月22日に、Ruby cgi...
View Article[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
サマリハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web...
View ArticleClik here to view.
2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか
サマリCookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google...
View ArticleClik here to view.
「はじめて学ぶ最新サイバーセキュリティ講義」の監訳を担当しました
日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and...
View ArticleClik here to view.
ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)
div.code-frame { /* pre { */ border-radius: 8px; margin: 12px -16px; padding: 4px 16px; position: relative; background-color: #2f3232; color: #e3e3e3; /* overflow-wrap: break-word; */ word-wrap:...
View ArticleClik here to view.
ISO-2022-JP自動判定を用いたHTMLコンテキスト破壊によるXSS
code { background-color: rgba(0,0,0,.05); border-radius: 3px; padding: 2px 4px } pre>code { background-color: rgba(0,0,0,.05); display: block; padding: .5em; -webkit-text-size-adjust: none;...
View Article