moccos_infoのブックマーク - はてなブックマーク

メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く

株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分︵改善命令︶があいついで公開されました。第三者委員会調査報告書︵公表版︶クレジットカード番号等取扱業者に対する行政処分を行いました︵METI/経済産業省︶本稿では、主に第三者委員会の調査報告書︵以下﹁報告書﹂と表記︶をベースとして、この事件の攻撃の様子を説明します。システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。サーバ名概要A社アプリ一般社団法人A会員向け申込みフォーム経産省改善命令では、﹁同社とコンビニ決済に係る契約を締結してい

moccos_info 2022/07/04

security

リンク

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点

宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数（ソルトやストレッチングも用いる）であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです（この制限はDoS脆弱性回避が

moccos_info 2019/02/25

くっ…

security

リンク

正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。はじめに大垣さんのブログエントリ﹁PHPer向け、Ruby/Railsの落とし穴﹂には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、RubyonRails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/

moccos_info 2017/12/12

regex
ruby

リンク

決済代行を使っていてもクレジットカード情報が漏洩するフォーム改ざんに注意

先日以下の記事が公開されました。決済代行会社を使っていたのにカード情報が漏洩したというものです。同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト﹁eキレイネット﹂でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日～27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。従業員10人なのに﹁標的﹂に　サイバー攻撃、中小企業が狙われる理由より引用これに対して、以下のブックマークコメントがつきました。そもそも、決済代行会社を使っているのになぜカード情報が

moccos_info 2016/08/27

security

リンク

XSSとSQLインジェクションの両方が可能なRFC5322適合のメールアドレス

メールアドレスの﹁ルール﹂に関する話題が盛り上がっていますね。﹁メールアドレスのルール﹂系まとめがそろって間違ってるのでご注意を﹁メールアドレスのルール﹂なんて使ってはいけない3つの理由これらのエントリに異論があるわけでありません。メールアドレスに関するルールというとRFC5322などがあるものの、現実の運用では簡易的な仕様を用いている場合が大半である…という事情は、私も以前ブログに書きました。、本稿では、﹁空前のメールアドレスのルールブーム(?)﹂に便乗する形で、RFC5322に準拠したメールアドレスで、XSSやSQLインジェクションの攻撃ができることを紹介します。と言っても、SQLインジェクションについては、過去に書きましたので、本稿では、RFC5322バリッドなメールアドレスでSQLインジェクションとXSSの両方ができるメールアドレスを紹介します。まず、攻撃対象として、以下

moccos_info 2015/09/13

security

リンク

ビックカメラ.COMでメールアドレスを間違えて登録したらどこまで悪用されるか検討した

すでに報道のように、ビックカメラの通販サイト﹁ビックカメラ.com﹂において、会員IDをメールアドレスにするという改修がなされました。従来は会員がIDを自由につけられる仕様でした。さっそく会員登録してみたところ、会員IDのメールアドレスの入力間違いに際して、安全性の配慮に掛ける仕様だと感じたのでビックカメラのサポートに報告したところ、以下のように﹁セキュリティ上の問題とは認識していない﹂との回答でした。このため、ここに問題点と対策を公開して、利用者に注意喚起いたします。平素はビックカメラ.comをご利用いただき、誠にありがとうございます。サポートセンター担当のXXXXと申します。この程はお問い合わせいただきありがとうございます。貴重なご意見を賜りまして、誠にありがとうございます。今回サイトのリニューアルに関して、基本的に現状ではセキュリティ上の問題があるとの認識はございません。

moccos_info 2015/06/29

Webの受付フォーム、発注者がよしあし考えずに「○○と同じようなの作って」で伝搬する

リンク

Column SQL Truncation脆弱性にご用心

前回のブログ記事﹁CMS四天王のバリデーション状況を調査したところ意外な結果になった﹂にて、JoomlaとMovableTypeは長大なログイン名を登録することにより、ログイン名の重複が起こり得ることを指摘したところ、facebookの私のウォールにて、Column SQL Truncation脆弱性の話題になりました。Column SQL Truncationは、2008年にWordPressの脆弱性として報告されたことがあります︵参照、参照︶。本稿では、簡単なログイン機能のSQL呼び出し例を用いてColumn SQL Truncationを説明したいと思います。認証用テーブル定義の説明認証に用いる会員テーブルを下記とします。ご覧のように、ログイン名を示す列 username には一意制約がありません。︵追記︶一意制約はふつうあるだろと思われるでしょうが、CMS四天王の中で一意制約

moccos_info 2015/06/12

これだけ詳しそうな人が書いても突っ込み→追記が発生してて闇が深い

security
db

リンク

SQLインジェクション対策もれの責任を開発会社に問う判決

ポイントは下記の通りです。 X社（原告）はセキュリティ対策について特に指示はしていなかった損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった（2010年1月29日） X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた（2010年9月27日）が、その後X社は改良の指示をしなかった以下の脆弱性その他が認められたシステム管理機能のIDとパスワードが admin/password であった個人情報が記載されたお問い合わせログファイルの閲覧が可能（ディレクトリリスティングと意図しないファイ

moccos_info 2015/01/22

IPAで文書化されているものは公知であり、要求仕様になくても必須となるのかな / 重過失は損害賠償責任の範囲外

security

リンク

MACHIDA.KANAGAWA.JPはなぜ「まぎらわしい」のか

私は検証用にいくつかのドメイン名を登録していますが、そのうちの一つが﹁発掘﹂され、世間をお騒がせすることになってしまいました。このページのページビューは、8月16日(金) 9:00現在で、31438となっています。ずいぶんよく参照されています。ちなみに、﹁本物の﹂町田市のホームページは下記の通りです。しかし、上記のような主張はいままでにもあったし、今更二番煎じのこのネタが、上記のような簡素な内容で話題になる理由としては、やはり MACHIDA.KANAGAWA.JPというドメイン名にあるのでしょう。これは﹁都道府県型JPドメイン名﹂というもので、﹁日本国内に住所を持つ個人・組織であれば、いくつでも登録ができます﹂︵こちらより引用︶。では、どうして紛らわしいドメイン名が登録できるかという理由を説明します。都道府県型JPドメイン名ができる前に地域型JPドメイン名というものがあり、多くの

moccos_info 2014/01/07

Internet

リンク

ログアウト機能の目的と実現方法

このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。議論の前提このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を﹁そのまま﹂Cookieに保持すると脆弱性になります