Clik here to view.
みずほ銀行のトランザクション認証を試してみた
既に報道されているように、インターネットバンキングに対する不正送金事件が多発しています。警察庁は2015年2月12日、2014年(平成26年)の1年間に発生した、インターネットバンキングでの不正送金事件の被害状況などに関するデータを発表した。...
View ArticleClik here to view.
Clik here to view.
エラーメッセージによるXSSにご用心
以前の記事「PHPのdisplay_errorsが有効だとカジュアルにXSS脆弱性が入り込む」では、php.ini等でdisplay_errorsを有効にしていると、スクリプトに脆弱性がなくてもXSS(クロスサイトスクリプティング)脆弱性が入り込む可能性が高いことを指摘しました。しかし、display_errorを無効にしていても、エラー処理がまずいと、エラー表示が原因でXSS脆弱性が入り込む場合が...
View ArticleClik here to view.
嵐のコンサートがあるとダブルブッキングしてしまうホテル予約システムを作ってみた
今年の5月1日に、仙台市内のホテルで多重予約のトラブルが発生したと報道されています。 部屋数203室の仙台市のビジネスホテルで、9月18~23日の宿泊予約を数千件受け付けるトラブルがあった。アイドルグループ「嵐」のライブが宮城県内で開催される期間だった。インターネットでの申し込みが殺到し、システム障害が起きたとみられるという。...
View ArticleClik here to view.
セキュアなWEBサイト運用のためのワークショップにて講演します
キヤノンITソリューションズ株式会社主催のセミナー「セキュアなWEBサイト運用のためのワークショップ~ハッカーが攻撃をあきらめるWEBサイトとは?~」にて講演します。日時:2015年5月27日(水)13:30~17:00 受付は13:00より場所:キヤノンマーケティングジャパン株式会社 大阪支店 18F(大阪市北区 地図)費用:無料(申し込みはこちら)講演タイトル:やぶられにくいWEBサイトの作り方...
View ArticleClik here to view.
『最初に「読む」PHP』は全体的にとても良いが惜しい脆弱性がある
最初に「読む」PHP(クジラ飛行机)を読みました。本書にはセキュリティ用語(クロスサイトスクリプティング、SQLインジェクション等)はほとんど出てきませんが、脆弱性についてよく配慮された記述となっています。しかし、その細部の詰めが甘く、脆弱性が混入してしまいました。その内容を報告したいと思います。クロスサイトスクリプティング出力時にHTMLエスケープするという原則を比較的早い段階で説明しています。そ...
View ArticleCMS四天王のバリデーション状況を調査したところ意外な結果になった
私がいまさら指摘するまでもなく、グローバル(日本以外の多く)では脆弱性対策としてバリデーションが極めて重視されています。一々参照や引用はしませんが、海外の多くの標準において、バリデーションが重要なセキュリティ施策として指摘されています。Webアプリケーションにおいてバリデーション(以下バリデーションとはアプリケーションの最初の段階で行われる入力値検証、いわゆるフォームバリデーションを指します)が重要...
View ArticleColumn SQL Truncation脆弱性にご用心
前回のブログ記事「CMS四天王のバリデーション状況を調査したところ意外な結果になった」にて、JoomlaとMovableTypeは長大なログイン名を登録することにより、ログイン名の重複が起こり得ることを指摘したところ、facebookの私のウォールにて、Column SQL Truncation脆弱性の話題になりました。Column SQL...
View Articleウェブサイトに侵入された大学のリリースに見る侵入対策への誤解
ここ数日大学等のウェブサイトに対する侵入事件の報道やプレスリリースが続いています。スケジュール管理ウェブサイトの改ざんについて – 早稲田サイバー攻撃:徳島大電子会議システムサーバー乗っ取り -...
View ArticleClik here to view.
ビックカメラ.COMでメールアドレスを間違えて登録したらどこまで悪用されるか検討した
すでに報道のように、ビックカメラの通販サイト「ビックカメラ.com」において、会員IDをメールアドレスにするという改修がなされました。従来は会員がIDを自由につけられる仕様でした。さっそく会員登録してみたところ、会員IDのメールアドレスの入力間違いに際して、安全性の配慮に掛ける仕様だと感じたのでビックカメラのサポートに報告したところ、以下のように「セキュリティ上の問題とは認識していない」との回答でし...
View ArticleClik here to view.
書籍『Webアプリケーションセキュリティ対策入門』のCSRF脆弱性
一昨日twitter上で、ほしくずさんから、以下の様なツイートがありました。http://t.co/jSZA9daLQGにもありますように大垣靖男さんの著書『Webアプリケーションセキュリティ対策入門』の付録が更新されています。 更新前を第一版、更新後を第二版と、ここでは呼ぶことに致します。— ほしくずっ (@s_hskz) 2015, 6月...
View ArticlePHPのunserialize関数に外部由来の値を処理させると脆弱性の原因になる
既にいくつかの記事で指摘がありますが、PHPのunserialize関数に外部由来の値を処理させると脆弱性の原因になります。 しかし、ブログ記事等を見ていると、外部由来の値をunserialize関数に処理させているケースが多くあります。ユースケースの一例としては、「複数の値をクッキーにセットする方法」として用いる場合です。 PHP...
View ArticleセキュアなWEBサイト運用のためのワークショップ(東京)にて講演します
キヤノンITソリューションズ株式会社主催のセミナー「セキュアなWEBサイト運用のためのワークショップ~ハッカーが攻撃をあきらめるWEBサイトとは?~」にて講演します。日時:2015年7月29日(水)13:30~17:00 受付は13:00より場所:フクラシア品川クリスタルスクエア 3階 会議室G (東京都港区 地図)費用:無料(申し込みはこちら)講演タイトル:やぶられにくいWEBサイトの作り方...
View ArticlePHPカンファレンス2015にてトークします
PHPカンファレンス2015にてトークする機会を頂きましたので報告します。日時:2015年10月3日(土曜日) 10時~17時(徳丸の出番は10:50~11:50)場所:大田区産業プラザ...
View ArticleClik here to view.
新刊「徳丸浩のWebセキュリティ教室」10月22日発売です
拙著「徳丸浩のWebセキュリティ教室」が10月22日に発売されます。Amazon等では既に予約開始されています。本書は書きおろしではなく、日経コンピュータ誌に連載したエッセイを、ほぼそのまま並べ直した形となっています。前著「安全なWebアプリケーションの作り方」のようながっつりした技術書ではなく、もう少し気楽な読み物として、技術者以外の方々にも読んでいただける内容になっている…と思います。目次は、日...
View ArticleClik here to view.
WordPressの侵入対策は脆弱性管理とパスワード管理を中心に考えよう
この記事はWordPress Advent Calendar 2015の7日目の記事です。今年初めてWordCamp...
View ArticleJoomla!の「ゼロデイコード実行脆弱性」はPHPの既知の脆弱性が原因
Joomla!にコード実行脆弱性があり、パッチ公開前から攻撃が観測されていたと話題になっています。Joomlaに深刻な脆弱性、パッチ公開2日前から攻撃横行「Joomla!」に再び深刻な脆弱性、3.4.6への速やかなアップデートを推奨パッチ公開の前に攻撃が始まる状態を「ゼロデイ脆弱性」と言いますが、それでは、この脆弱性のメカニズムはどんなものだろうかと思い、調べてみました。結論から言えば、この問題はJ...
View Article