パスワードリマインダが駄目な理由
昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。旧: 現在のパスワードをメールで送信する(パスワードリマインダ)新:...
View ArticleClik here to view.
リセット後のパスワードをメール送信するパスワードリセット方式の注意点
先日のエントリパスワードリマインダが駄目な理由にて、現在のパスワードをメール送信する「パスワードリマインダ」がパスワードリセット方式に比べてリスクがある(リスクのコントロールが弱い)という説明をしました。その際に説明したパスワードリセット方式は、パスワード変更の画面URLをメール送信するというものでしたが、もう一つのパスワードリセット方式としては、サイト側でパスワードをリセットして、リセット後のパス...
View ArticleClik here to view.
JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff...
View ArticleClik here to view.
phpMyAdmin3.5.8以前に任意のスクリプト実行を許す脆弱性(CVE-2013-3238)
phpMyAdmin3.5.8以前にはpreg_replace関数の呼び出し方法に不備があり、ログインしたユーザが指定した任意のスクリプトを実行できる脆弱性CVE-2013-3238があります。概要phpMyAdminの「テーブル名の接頭辞を付け替える」および「接頭辞を付け替えてテーブルをコピーする」操作の際に、付け替え元および付け替え先のパラメータを操作することにより、任意のPHPスクリプトを実行...
View Articleヤフー株式会社様に「秘密の質問と回答」に関して要望します
ヤフー株式会社御中東京都品川区在住徳丸浩拝啓、貴社ますますご清栄のこととお慶び申し上げます。日頃は格別のご高配を賜り、あつくお礼申し上げます。さて、さっそくですが、表題の件についてお願いがあり、ご連絡差し上げました。私は東京都品川区在住の貴社サービスの一ユーザーです。Yahoo! IDの登録が2001年3月、Yahoo!プレミアムは2003年...
View ArticleClik here to view.
Yahoo!のメールによるパスワードリセットのリスクと緩和策
Yahoo! Japanのパスワードリセットにはメールで確認コードを受け取るという方法が選択できますが、確認コードが数字6桁であり、総当たり耐性が低いという問題があります。以下、テスト用のアカウントを用いて、パスワードリセットの手順を説明します。Yahoo!のログイン画面から、「ID、パスワードを忘れた」→「パスワードを忘れた」というリンクをクリックすると下記の画面になります。 Yahoo!...
View Article多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。【参考】Web サイト改ざんに関する注意喚起(JPCERT/CC)2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA)@Police...
View ArticleClik here to view.
Yahoo!ジャパンの「秘密の質問と答え」に関する注意喚起
昨日の福井新聞の報道(魚拓)によると、中学生がYahoo!の「秘密の質問と答え」を悪用して同級生のYahoo!アカウントにログイン成功し、不正アクセス禁止法などの疑いで書類送検されたようです。同課によると、同級生との間には当時トラブルがあり、男子生徒は「自分の悪口をメールに書いているのではないか」と考え、盗み見たという。男子生徒は、パスワードを再設定しようと「秘密の質問」のペットの名前に何度か答え、...
View ArticleClik here to view.
LinkedInでDNSハイジャックの可能性
昨日LinkedInでアクセス障害があり、DNSハイジャックの可能性を指摘されています。app.netの共同創設者、Bryan...
View ArticleClik here to view.
SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?
コードゴルフという競技があります。与えられた問題(例えばFizzBuzz)を解くコードを、いかに短いプログラムで実現できるかというものです。脆弱性の世界でもXSS Golfというものは既にあるようで、我らが はせがわようすけ氏にも、「短いXSSの話」というプレゼン資料が公開されています。第2回のOWASP...
View Articleパスワードの定期的変更について徳丸さんに聞いてみた(1)
p { margin: 0.4em 0px; } 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。徳丸: 徳丸です。よろしくお願いします。高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか?徳丸:...
View ArticleClik here to view.
パスワードの定期的変更について徳丸さんに聞いてみた(2)
p { margin: 0.4em 0px; } 高橋: こんにちは、高橋です。前回に引き続き、徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。徳丸: はい。よろしくお願いします。高橋:...
View ArticleClik here to view.
MACHIDA.KANAGAWA.JPはなぜ「まぎらわしい」のか
私は検証用にいくつかのドメイン名を登録していますが、そのうちの一つが「発掘」され、世間をお騒がせすることになってしまいました。このページのページビューは、8月16日(金)...
View ArticleClik here to view.
【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました
大垣さんのツイートで、strict sessionsがPHPにマージされることを知りました。やっとStrict Sessionがマージされました。8年越しです。... http://t.co/ZBuVTHunqy— Yasuo Ohgaki (大垣靖男) (@yohgaki) August 5,...
View ArticlePHP5.5.2以降のstrict sessionsモードでセッションフィクセイション対策はどうすればよいか
先日のエントリ『【速報】PHP-5.5.2にて大垣さんのstrict sessionsが実装されました』にて、PHP5.5.2でセッションアダプションが解消されたことを報告しました(session.use_strict_mode=1の場合)。セッションアダプションとは、未初期化のセッションID(たとえばPHPSESSID=ABC)をPHPが受け入れる問題のことです。strict...
View ArticleClik here to view.
ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。29日夜の時点では、攻撃者の改ざん...
View ArticlePHP5.5.4にてstrict sessionsのバグ(bug65475)が修正されたがテストがないことに気づいた
以前のエントリで、PHP5.5.2にて大垣さん提案のstrict sessionsがマージされたと報告しましたが、PHP5.5.4にて、このバグ(bug65475)が修正されました。バグの例として紹介したアクセスカウンタも、カウントアップすることを確認しました。しかし、bug65475のテストを見て、重大な抜けがあることに気づきました。$ cat bug65475.phpt--TEST--Bug...
View Article