[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

タグ

securityに関するginpeiのブックマーク (87)

  • 令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

    Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、当にプラットフォームに足りていなかったものと、それを補っていった経緯、当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp

    令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
    ginpei
    ginpei 2024/04/30
    ヘッダーのOriginやFetch Metadataを確認し、CookieはSameSite=Laxで設定。加えてCSRFトークンを利用しても良いが、優先度を間違えてはいけない。こんにちはこんにちは。
  • フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita

    ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April

    フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
    ginpei
    ginpei 2023/05/10
    徳丸さん。中間者攻撃があってもブラウザーがちゃんと検出するのでエラーを強行突破しなければ基本的には安全そう。例外としてアプリやサーバー側の脆弱性との組み合わさせはあり得ると。
  • 20日目: 正規表現が ReDoS 脆弱になる 3 つの経験則

    はじめに 皆さんこんにちは.3回生のらん(@hoshina350)です. 文字列マッチングに便利な正規表現ですが,テキトーに書くと脆弱になり得るという情報を耳にしてから色々と原因や対策を調べていました. しかし,多くの記事で紹介されていた対策方法は,「独自の正規表現を使用しないー」とか「 * や + などの繰り返し表現はなるべく使わないー」とかいう なんともふわっとしたものでした.これでは「いやぁ確かにそうなんかもしれんけど…そうゆう訳にはいかんやんか…」と納得できません. つまり,「質的に何が問題」で,「具体的にどんな特徴のある正規表現が脆弱になり得るのか」を知りたい訳です. そこで,様々な文献を調査してみました.記事では調査して溜まった知見を紹介していきます. 記事は, Purdue大学のJames Davis教授による “The Regular Expression Denia

    20日目: 正規表現が ReDoS 脆弱になる 3 つの経験則
    ginpei
    ginpei 2021/12/21
    実行に時間がかかる正規表現の仕組みや回避方法の丁寧な解説。指数関数的に伸びたりするので短い入力で試すうちは気付けない。/(a+)+b/という簡単なものでも20文字超えると組み合わせ爆発。
  • Mozilla Observatory

    📣︎ Heads up! New security scoring standards apply - Your website grade may have changed. MDN Observatory will launch soon. Learn More. The Mozilla Observatory has helped over 240,000 websites by teaching developers, system administrators, and security professionals how to configure their sites safely and securely.

    ginpei
    ginpei 2021/10/17
    ウェブページのレスポンスをスキャンしてCORSやCSP等セキュリティ方面のヘッダーを評価してくれるツールっぽい。Mozilla製
  • 脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ

    クレジットカード情報漏えい事故に関し,その原因の一つと考えられる脆弱性対応が運用保守業務に含まれていたか否かが争われた事例。 事案の概要 Xは,Xの運営する通販サイト(件サイト)を第三者に開発委託し,運用していたが,その後,2013年1月ころまでに,Yに対し,件サイトの運用業務を月額20万円で委託した(件契約)。件サイトはEC-CUBEで作られていた。なお,XからYへの業務委託に関し,契約書は作成されておらず,注文書には「件サイトの運用,保守管理」「EC-CUBEカスタマイズ」としか記載されていない。 2014年4月には,OpenSSL*1の脆弱性があることが公表されたが*2,件サイトでは,OpenSSLが用いられていた。 2015年5月ころ,Xは,決済代行会社から件サイトからXの顧客情報(クレジットカード情報を含む)が漏えいしている懸念があるとの連絡を受け(件情報漏えい)

    脆弱性対応(Heartbleed)の責任の所在 東京地判令元.12.20(平29ワ6203) - IT・システム判例メモ
    ginpei
    ginpei 2021/03/06
    保守運用を月額20万円で業務委託している会社へ、顧客情報漏洩の被害1.6億円を請求した裁判。業務内容がSEO等マーケティング寄りだったこともあり脆弱性対応は範囲外と。金額やHeartbleedと関係するかは未判断。
  • 「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法

    「whndows. com」ドメインを取得して「windows. com」へのトラフィックを盗み見る手法
    ginpei
    ginpei 2021/03/06
    typoを狙う系の偽ドメイン名だけど、ハードウェアの熱等でビット反転して値が壊れる現象の際にも引っ掛けることができると。Win標準の時刻調整のが2週間で20万アクセス。
  • GitHub - jonasstrehle/supercookie: ⚠️ Browser fingerprinting via favicon!

    You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

    GitHub - jonasstrehle/supercookie: ⚠️ Browser fingerprinting via favicon!
    ginpei
    ginpei 2021/02/08
    faviconでfingerprintを得て訪問者を同定する技術。既に発表されている論文の実践。(著者ではなさそう。) faviconのキャッシュは強力で、匿名ウィンドウでも継続して追跡可能。
  • Understanding Human-Chosen PINs: Characteristics, Distribution and Security

    ginpei
    ginpei 2020/09/13
    4桁パスコードことPINについての論文。著者自身のサイト。流出のあったDodonew、CSDN、RockYou、Yahooについての図があるがどれも似通っており、誕生年YYYY、誕生日MMDD/DDMM、ぞろ目ABAB、単純なもの1234や何かの作品名5150が多い。
  • Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々

    追記: その後の動きについて書きました → Let's Encryptの証明書切替周りその後 このサイトはLet's Encryptで証明書発行しているのでタイトルの件が気になったのだが、どうもあまり話題になっていない。恥ずかしながらSSL周り詳しいわけじゃないので、誤っているかも知れない。識者の意見を求む。 Let's Encryptが使われているサイトがAndroid7.1以前のバージョンで今年の9月29日以降見られなくなる可能性がある 延命策は用意されそうだが、それも来年の9月29日まで Let's Encryptのルート証明書切り替え計画に起因している Let's Encryptのルート証明書の変更 Let's Encryptはルート証明書を自身(ISRG)の認証局のルート証明書(ISRG Root X1)に切り替えようとしている。現在は、IdenTrustのルート証明書(DST

    Android7.1以前でLet's Encrypt証明書のサイトが見られなくなる | おそらくはそれさえも平凡な日々
    ginpei
    ginpei 2020/08/07
    ルート証明書の切り替えのため、未対応の古い端末でのアクセスに障害。サーバー側回避策は2021年9月末までは有効。Android 7.1は2016年公開で現在の普及率は66%。フロントをCloudFlareとかで覆うのはどうだろ。
  • 元Webデザイナーのセキュリティエンジニアが警告する、CSSインジェクションの脅威 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ

    ※この座談会は緊急事態宣言以前に実施しました。 イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第11回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました(川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティのペネトレーション課に所属する馬場将次。Webデザイナーとしての経験から、Webに関するセキュリティへの鋭い視点を持つ馬場。

    元Webデザイナーのセキュリティエンジニアが警告する、CSSインジェクションの脅威 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
    ginpei
    ginpei 2020/05/13
    CSSの属性セレクターと外部URLのbackground-imageを組み合わせて入力値を探す手法。さらに遅延importを入れ子にして先頭から順次1文字ずつ検索。CSRFトークンを抜き出したりできちゃうよ、と。
  • あなたの window.open はなぜ開かないのか,Chrome で - マンガ〜ノ伊藤ノ〜ト

    先日 window.open をしようとしたらポップアップブロッカーに阻まれて open することができなかった. Blocked まあ,これならよくあることなのだが,いかんせん自分の記憶では onClick のようなユーザーのアクション内で開かれた window.open は阻まれないことになってると思っていた.だからそのときも onClick のイベントハンドラ内で window.open したから大丈夫だろう,と思っていたら,見事にブロックされてしまったのでなぜだろう,となっていた. 検証 なので,検証するために 3 つのケースを用意してみた: 検証ページを用意したのであなたの環境でも試してみてね♥ 今回試すブラウザは Google Chrome を前提にしてます ケース1 const immediate = () => { window.open('https://www.goog

    あなたの window.open はなぜ開かないのか,Chrome で - マンガ〜ノ伊藤ノ〜ト
    ginpei
    ginpei 2020/04/30
    Chromiumのコードを確認してブロック条件を調査した話。時間制限があり、クリックからの処理でも非同期処理なんかを挟み5秒経過するとブロック対象に。テストケースおもしろそう。
  • Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita

    Chrome 79以下や他ブラウザのデフォルト値。 Chrome 80からこの値を設定する場合、Secure属性も必須となる。 Aサイトに対し、Bサイトからどのようなリクエストがあっても、発行したサイトでCookieヘッダーに含める (Cookieを使用する) 図にすると以下のようになります。 Strict 外部サイトからのアクセスではCookieを送らない。 Lax 外部サイトからのアクセスはGETリクエストのときだけCookieを送る。 None 従来通りの動き。 【追記】なおChrome 80以降でSecure属性を付けずSameSite=Noneを指定した場合、set-cookie自体が無効になります。 セキュリティ上の効果 CSRF対策になります。 CSRF (クロスサイト・リクエスト・フォージェリ) とは、 WEBサイトがユーザー人の意図した動作であることを検証していないため

    Chrome 80が密かに呼び寄せる地獄 ~ SameSite属性のデフォルト変更を調べてみた - Qiita
    ginpei
    ginpei 2020/02/21
    元々あったCSRF対策、CookieのSameSite属性。Chrome 80から初期値が強化され、ファーストパーティも含めCookieが飛ばない場合がある。外部決済サービスから戻ってくるような遷移が該当。
  • https://www.ncsc.gov.uk/static-assets/documents/PwnedPasswordTop100k.txt

    ginpei
    ginpei 2019/04/27
    英国の国家サイバーセキュリティセンターが公開している、頻出パスワード上位100,000個。テキストファイル。
  • 全社的に会社用GitHubアカウントを廃止した件 - ZOZO TECH BLOG

    はじめまして。2019年1月に入社したSREスペシャリストのsonotsです。最近MLOpsチームのリーダーになりました。今回の記事はMLOpsの業務とは関係がないのですが、3月に弊社で実施した会社用GitHub個人アカウントの廃止について事例報告します。 TL;DR 会社用GitHubアカウントを作るべきか否か問題 会社用GitHubアカウントの利用で抱えた問題 1. OSS活動時にアカウントを切り替える必要があり面倒 2. GitHubの規約に準拠していない 会社用アカウントを廃止した場合にセキュリティをどのように担保するか GitHubのSAML single sign-on (SSO)機能について 会社用アカウントの廃止およびSSO有効化の実施 会社用GitHubアカウントを使い続ける場合 私用GitHubアカウントに切り替える場合 Botアカウントの場合 Outside Coll

    全社的に会社用GitHubアカウントを廃止した件 - ZOZO TECH BLOG
    ginpei
    ginpei 2019/04/11
    アカウントではなくSSH鍵をSSOで限定することで、個人の単一アカウントでも会社用マシンからのみアクセス可能という制御。虚偽申告は可能でgit cloneの記録も追えない問題は残る。でも端末盗難対策にはなるし、良さそう。
  • パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る

    不正送金やアカウントの乗っ取りなど、パスワードが原因の事件が後を絶ちません。高齢者など、IT リテラシの低い人でも簡単かつ安全に自分のオンラインアカウントを管理できる世界が理想ですが、まずはパスワードの不要な世界を実現するのが先決であることは、これまでのインターネットの歴史で証明されたと言えるでしょう。そして、ここに来てパスワード不要なログインを実現する技術として注目されているのが FIDO (= Fast IDentity Online, 「ファイド」) です。そしてその FIDO をブラウザから利用できるようにするのが WebAuthn (= Web Authentication、「ウェブオースン」)。報道内容などからこれらは指紋認証を実現するもの、と思っている人もいらっしゃるかもしれませんが、実際にはちょっと違います。 WebAuthn に関しては、すでに数多くの記事が出ていますので

    パスワードの不要な世界はいかにして実現されるのか - FIDO2 と WebAuthn の基本を知る
    ginpei
    ginpei 2019/03/14
    パスワードなしで安全にログインできるやつの話。SSH同様の公開鍵暗号方式を裏側で用い、鍵の管理や認証を簡単安全に行えるようになる。
  • Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記

    1. はじめに 最近わけあってNodeのセキュリティ調査をしているのですが、今年の5月に開催された North Sec 2018 でセキュリティ研究者の Olivier Arteau 氏による 「Prototype pollution attacks in NodeJS applications」という面白い発表を見つけました。 この発表の論文や発表資料、デモ動画などもgithubで公開されていますし、ちょうどタイミングよくセッション動画も最近公開されました。 github.com Olivier Arteau -- Prototype pollution attacks in NodeJS applications この発表で解説されているのは、悪意のある攻撃者が、JavaScript言語固有のプロトタイプチェーンの挙動を利用して、Webサーバを攻撃する方法です。 発表者は、npmからダ

    Node.jsにおけるプロトタイプ汚染攻撃とは何か - ぼちぼち日記
    ginpei
    ginpei 2018/10/21
    __proto__を含むオブジェクトを雑にmergeするとObject.prototypeを操作してしまう問題。npm auditでライブラリーの脆弱性を確認。constructorは気にしないで良いの?
  • マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log

    はじめに PCcryptojackに感染したと思いきや、感染したのはルータでした、という話です。 8月22日 とあるブログ記事を読んでいたところ、下のスクリーンショットのような読み込み画面とavastによるwebシールドの警告が出てきました。どうやらcoinhiveをブロックしているらしく、ああたまにあるやつだなと思い特に何もしませんでした。しかし、そのあとitmediaや(AT)BIOS、はてなブログにアクセスした際に同様の警告が出たため、流石にこれはおかしいぞと思い始めます。JavaもFlashも無効にしてるし機能拡張もAdBlockしか入れてない、怪しいプロキシを登録しているわけでもない・・・、と一通りチェックした後、とりあえず現状保存のためディスクをバックアップし、システムをavastのフルスキャンにかけて寝ました。 (AT)BIOSにアクセスした際の警告 8月24日 模索 av

    マルウェアに感染したと思ったら(多分)してなかった話 - teru_0x01.log
    ginpei
    ginpei 2018/08/26
    マンション共用ルーターがcryptojackに感染していたため、あらゆるウェブページ閲覧時にランダムに採掘用ページが表示されてしまっていたが、通報しファームウェア更新してもらったところ、解決した、かもしれない話。
  • 謎の災害速報アカウント「特務機関NERV」とは何者か

    特務機関NERVがツイートした、大阪北部地震の震度を伝える画像。気象庁の情報をもとに、カラーバリアフリーに配慮した画像を自動で生成する(ゲヒルン提供)/「特務機関NERV」のツイッターアカウント https://twitter.com/un_nervこの記事の写真をすべて見る 人気アニメシリーズ「新世紀エヴァンゲリオン」に登場する組織「特務機関NERV」を名乗るツイッターアカウントがある。どこよりも早く地震速報などを発信するこのアカウントは、一体だれが、何のために運用しているのか。 【写真】かつてAERAの表紙に綾波レイが登場!? *  *  * 「揺れを感じたら、まずはツイッターを開いて『特務機関NERV』の投稿をチェックします」 宮城県石巻市で暮らす30代の女性はそう話す。東日大震災からすでに7年半がたつが、依然として地震活動は活発で、いまでも年間500回を超える余震(震度1以上、東

    謎の災害速報アカウント「特務機関NERV」とは何者か
    ginpei
    ginpei 2018/08/17
    Twitterで報道各社より早く災害情報を発信する「特務機関NERV (@ UN_NERV)」の話。石巻出身の『都内でITセキュリティ会社ゲヒルンを経営する石森大貴さん』が運営。版権処理や専用線敷設等。頭が下がる。
  • Reddit - Dive into anything

    This JavaScript code powers a 1,500 user intranet application

    Reddit - Dive into anything
    ginpei
    ginpei 2018/08/11
    問題のありすぎるログイン実装コード。多すぎてどこから言及したものか。問題点をいくつ見つけられるかのクイズって感じだ。
  • HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog

    疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog

    HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
    ginpei
    ginpei 2018/07/05
    著名なソフトウェアを第三者が買い取り、マルウェア化した話。本件のように自動更新されると特に気付きづらい。