[B! セキュリティ][プログラミング] fashiのブックマーク

fashi id:fashi

セキュリティとプログラミングに関するfashiのブックマーク (8)

StackOverflowからのコピペをやめろ。今すぐにだ。 - Qiita
Original article:https://dev.to/dotnetsafer/rip-copy-and-paste-from-stackoverflow-trojan-source-solution-4p8f その昔コピペできない文章というものがありました。実際は単にフォントを変えているだけというものですが、人間の目に見える文字と実際の文字が異なることを利用した攻撃の一種と見ることもできます。さて、最近になって似たような攻撃に関する論文が公開されました。人間には見えない文字を織り交ぜることによって、一見問題ないコードが実は脆弱になってしまうというものです。ただ論文は堅苦しいうえに長くて読むのがつらいので、具体的に何がどうなのかよくわかりません。平易に解説している記事があったので紹介してみます。以下はDotnetsafer( Twitter / GitHub / Web
fashi 2021/12/29
セキュリティ

プログラミング
リンク
パーフェクトRails著者が解説するdeviseの現代的なユーザー認証のモデル構成について - joker1007’s diary
最近、パーフェクトRubyonRailsの増補改訂版をリリースさせていただいた身なので、久しぶりにRailsについて書いてみようと思う。まあ、書籍の宣伝みたいなものです。数日前に、noteというサービスでWebフロント側に投稿者のIPアドレスが露出するという漏洩事故が起きました。これがどれぐらい問題かは一旦置いておいて、何故こういうことになるのか、そしてRailsでよく使われるdeviseという認証機構作成ライブラリのより良い使い方について話をしていきます。 (noteがRailsを使っているか、ここで話をするdeviseを採用しているかは定かではないので、ここから先の話はその事故とは直接関係ありません。Railsだったとしても恐らく使ってないか変な使い方してると思うんですが、理由は後述) 何故こんなことが起きるのかそもそも、フロント側に何故IPアドレスを送ってんだ、という話です
fashi 2020/08/17
「登録途中という状態をUserモデルに持たせない」「これらのレコードは用事が終わった時点で完全に削除することができます」「テーブルごと作り直しても致命的な問題になり辛くなります」

ruby

セキュリティ

プログラミング
リンク
Windows DLLプリロード攻撃の新しいパターンと防御法
概要 Windows DLLプリロード攻撃と呼ばれる脆弱性攻撃がありますが、原因や対応方法は広く知られています。(*1) しかし、﹁特定のCOM I/F﹂や﹁WinAPI﹂の内部で﹁パス指定なしでDLLがロードされる﹂という、あまり知られていない経路があるのでご注意、というお話。技術詳細手元のWindows10Pro(x64)上で、FastCopyインストーラ(x64)で確認した範囲では、下記のようなAPIで﹁不正なDLLの読み込みとそのDllMainが呼ばれること﹂を確認しています。(*2) IShellLink/IPersistFile COM I/F︵ショートカット作成︶のメンバ関数を呼び出すと、パス指定なしで"linkinfo.dll"等がロードされる。 ShellExecute API︵ファイル/フォルダを開く︶を呼び出すと、パス指定なしで"edputil.dll"等がロード
fashi 2017/09/25
セキュリティ

プログラミング
リンク
高木浩光＠自宅の日記 - WASF Times版「サニタイズ言うな！」
■ WASF Times版﹁サニタイズ言うな！﹂技術評論社の﹁Web Site Expert ﹂誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画﹁WASF Times﹂が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。﹁サニタイズしろ﹂だあ？ Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、﹁入力をサニタイズしていない﹂なんて言われたことはありませんか？﹁入力﹂というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを﹁サニタイズしろ﹂というのです。なんでそんなことしないといけないの？プログラムの内容からして必要のないことなのに？そう
fashi 2007/02/05
HTMLタグの除去は入力時にまとめてやって安心してはいけないと。技術評論社「Web Site Expert」昨年9月発売号から。

セキュリティ

プログラミング
リンク
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
fashi 2006/12/13
XSS対策で許可しないタグを定義したところでブラウザに無視される特殊記号を挟んだり故意に文字化けさせたり全角文字ですり抜けられることがあると。ファイルエクスプローラ上のファイル名偽装方法も。

セキュリティ

プログラミング
リンク
XSSを防ぐために不可欠なサニタイジング（無害化）
前回﹁XSS脆弱性により起こる被害とその対策﹂は、XSS対策の重要なことの1つとして見落としがちな﹁入力チェック﹂があると解説した。今回は、その入力チェックとして特殊文字のサニタイジング︵無害化︶を中心に、セキュリティホールの対策について解説する。特殊文字のサニタイジング︵無害化︶前回までの入力チェックを確実に行っていれば、かなりセキュリティレベルの高いアプリケーションが出来上がっているはずである。しかしまだ完全ではないので、最後まで気を抜かないでいただきたい。ここでは、XSSを防ぐために不可欠なサニタイジングについて説明する。 XSSは、入力値をHTTPやHTMLの一部として出力する際に生まれるセキュリティホールである。これは入力値に含まれるいくつかの文字がHTTPやHTMLで特殊文字として定義されていて、それらの文字をそのまま出力してしまうことにより起こる。 XSSとは関係ないが、
fashi 2005/11/24
Cookie値に改行を仕込んでHTTPレスポンスヘッダを狙うケース

プログラミング

セキュリティ
リンク
mod_securityのXSS対策ルールを作成する
mod_securityのXSS対策ルールを作成する‥Webアプリケーションに潜むセキュリティホール︵12︶︵1/2 ページ︶ ※ご注意他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。前回は一般的なWebアプリケーションファイアウォール︵WAF︶に関する説明と、mod_securityのインストールおよび簡単な使い方について説明した。今回はもう少し実用的な設定を考えてみることにする。本稿で説明するmod_securityのルールは、一般的
fashi 2005/11/24
mod_security設定例

セキュリティ

プログラミング
リンク
エラーメッセージの危険性
※ご注意他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。完璧なアプリケーションをいきなり作り上げられる人はまずいないだろう。多くの人はアプリケーション中にデバッグ用のメッセージやコメントを残しながら開発を進めていくことになる。またユーザーにとって重要なのがエラーメッセージである。エラーメッセージを頼りにアプリケーションを利用していく。しかし、ユーザーにとって有用な情報なのだが、同様に攻撃者にも有用な情報を与えてしまうことにもなることがある
fashi 2005/11/24
XST（Cross-Site Tracing）実例

プログラミング

セキュリティ
リンク
1