negima1976のブックマーク - はてなブックマーク

メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く

株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分︵改善命令︶があいついで公開されました。第三者委員会調査報告書︵公表版︶クレジットカード番号等取扱業者に対する行政処分を行いました︵METI/経済産業省︶本稿では、主に第三者委員会の調査報告書︵以下﹁報告書﹂と表記︶をベースとして、この事件の攻撃の様子を説明します。システムの概要報告書にはシステム構成図やネットワーク構成図は記載されていないため、報告書の内容から推測によりシステムの構成を以下のように仮定しました。図中のサーバー名は報告書の記載に従っています。以下、概要を説明します。サーバ名概要A社アプリ一般社団法人A会員向け申込みフォーム経産省改善命令では、﹁同社とコンビニ決済に係る契約を締結してい

negima1976 2022/07/04

リンク

PHPサーバーサイドプログラミングパーフェクトマスターのCSRF対策に脆弱性

サマリ PHPサーバーサイドプログラミングパーフェクトマスターには、PHP入門書としては珍しくクロスサイト・リクエストフォージェリ(CSRF)対策についての説明があるが、その方法には問題がある。アルゴリズムとして問題があることに加えて、実装上の問題があり、そのままコピペして用いると脆弱性となる。はじめに古庄親方の以下のツイートを見て驚きました。 CSRF用のトークンの作成＄token = password_hash(mt_rand(), PASSWORD_DEFAULT); ってのを書籍で見た………もンのすンげぇなぁ(苦笑書籍名でググって調べる……評判が悪いので、まぁ、納得っちゃぁ納得。 — がる (@gallu) July 17, 2019 CSRFトークンの生成に、password_hash関数を使うですと? 親方に書籍名を教えていただき、購入したのが、この記事で紹介する「PH

negima1976 2019/07/30

リンク

鈴木常彦先生の「共用レンタルサーバにおけるメールの窃盗」の話を聴講した

4月23日︵火︶に開催された﹁#ssmjp 2019/04 ～DNSの話を聞く会～﹂に﹁Outputなら任せてください枠﹂で参加しましたので、講演内容からとくにやばい(?)内容と思われる@tss_ontap︵鈴木常彦=浸透言うな先生︶の﹁黒塗りの DNS (萎縮編)﹂から、﹁共用レンタルサーバにおけるメールの窃盗﹂について紹介します。スライドは公開されています。サマリレンタルサーバーからメールを送信する場合、悪意の第三者に、特定のドメインに対するメールを横取りされるリスクがある攻撃手法攻撃者は、レンタルサーバーを契約︵お試しなどでも可能︶して、攻撃対象のドメイン名︵ここではchukyo-u.ac.jp…中京大学のドメイン名を用いる︶を登録するその際に、当該ドメイン名の権利を有している必要はない︵権利があれば正当にメールを受信できるので攻撃の必要がない︶これだけなぜメールが横

negima1976 2019/04/30

リンク

徳丸浩の日記: SSRF(Server Side Request Forgery)徹底入門

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254について SSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例 SSRFを利用したメール送信ドメインの乗っ取り「CODE BLUE 2018」参加レポート（岩間編）この「空前のSSRFブーム」に便乗して、SSRFという攻撃手法および脆弱性について説明します。 SSRF攻撃とは SSRF攻撃とは、攻撃者から直接到達できないサーバーに対する攻撃手法の一種です。下図にSSRF攻撃の様子を示します。攻撃者からは、公開サーバー（203.0.113.2）にはアクセスできますが、内部のサーバー（192.168.0.5）はファイアウォールで隔離されているため外部から直接

negima1976 2018/12/05

リンク

WordPressのプラグインWP GDPR Complianceの脆弱性CVE-2018-19207について分析した

11月中旬から、レンタルサーバー事業者等から、WordPressのプラグインWP GDPR Complianceの脆弱性について注意喚起が目立つようになりました。 WordPressのプラグイン﹁AMP for WP﹂﹁WP GDPR Compliance﹂における緊急性の高い脆弱性についての注意喚起︻注意喚起︼WordPressのプラグイン﹃WP GDPR Compliance﹄の1.4.2までのバージョンに脆弱性が発見されました。︻重要︼WordPressのプラグイン﹁WP GDPR Compliance︵1.4.2以前︶﹂﹁AMP for WP︵0.9.97.19以前︶﹂における緊急性の高い脆弱性について記事本文には以下のように書かれています。本脆弱性の影響 WordPressにおいて、権限を持たないユーザーが脆弱性を利用してウェブサイト全体の設定を変更したり、第三者が管理者

negima1976 2018/12/03

リンク

クレジットカード情報盗み出しの手口をまとめた | 徳丸浩の日記

はじめに先日の日記﹁ECサイトからクレジットカード情報を盗み出す新たな手口﹂は多くの方に読んでいただき、ありがとうございました。この記事では、﹁新たな手口﹂ではなく、従来からある手口についてまとめてみました。 1.SQLインジェクション古典的な手法としてはSQLインジェクションがあります。下図のように、SQLインジェクション攻撃により、DBに保存されたクレジットカード情報を盗み出します。攻撃が成立する条件は下記のとおりです。 DBにクレジットカード情報が保存されているウェブサイトにSQLインジェクション脆弱性があるいずれも、現在の観点では論外の状況と言えますのでさすがに頻度は減っています。今年6月1日から施行されたカード情報非保持化により、今後はほとんど見られなくなると予想されます。過去の代表的な事例には以下があります。エクスコムグローバル、SQLインジェクションで約11万件の

negima1976 2018/10/18

リンク

徳丸浩の日記: ECサイトからクレジットカード情報を盗み出す新たな手口

エグゼクティブサマリ聖教新聞社が運営する通販サイト﹁SOKAオンラインストア﹂から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである﹁クレジットカード情報非保持化﹂では対策できないものであった。はじめに今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。﹁ＳＯＫＡオンラインストア﹂の件このたび、弊社が聖教新聞社様より運営を委託されている﹁ＳＯＫＡオンラインストア﹂において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚いたしました。 http

negima1976 2018/10/15

リンク

PHPの脆弱性 CVE-2018-17082 によるキャッシュ汚染についての注意喚起

エグゼクティブサマリ PHPの脆弱性CVE-2018-17082はXSSとして報告されているが、現実にはXSSとしての攻撃経路はない。一方、Apacheのmod_cacheによるキャッシュ機能を有効にしているサイトでは、キャッシュ汚染という攻撃を受ける可能性がある。概要 PHPの現在サポート中のすべてのバージョンについて、XSS脆弱性CVE-2018-17082が修正されました。以下は対応バージョンであり、これより前のすべてのバージョンが影響を受けます。ただし、Apacheとの接続にApache2handlerを用いている場合に限ります。 PHP 5.6.38 PHP 7.0.32 PHP 7.1.22 PHP 7.2.10 PHP 5.5以前も対象であり、これらは脆弱性は修正されていません。脆弱性を再現させてみるこの脆弱性のPoCは、当問題のバグレポートにあります。 PHP ::

negima1976 2018/09/25

リンク

WordPressのプラグインDuplicator 1.2.40以前にリモートコード実行の脆弱性 | 徳丸浩の日記

エグゼクティブサマリ WordPressの人気プラグイン Duplicator（1.2.40以前）にリモートから任意コード実行可能な脆弱性が発見された。Duplicator はWordPressサイトを複製することのできるプラグインであり、Duplicatorにより複製したサイト（複製先）が影響を受ける。このため、プラグインのアップデートだけでは対策にならない。詳細は対策の項を参照されたし。概要 WordPressのプラグイン Duplicator はWordPressサイトを手軽に複製できるプラグインであり、サイトの移行や複製に広く用いられています。Duplicatorは複製元にプラグインとして導入して、移行用の二種類のファイルを生成します。 Duplicator →　installer.php インストーラー 2018-xxxxxxxxxxxxxx.zip アーカイブファイルこれ

negima1976 2018/09/10

リンク

安全なWebアプリケーションの作り方改訂のお知らせ

徳丸本こと、﹁体系的に学ぶ安全なWebアプリケーションの作り方﹂は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、Web APIやJavaScriptのセキュリティ等がほとんど書かれていないことが課題となっていました。そこで、版元のSBクリエイティブと相談して、この度改訂することにいたしました。3月末脱稿、6月頃発売の見込みです。改訂にあたり、以下を考えています。 Web APIとJavaScriptに関する説明を4章に追加 XHR2対応に向けてCORSの説明を3章に追加携帯電話の章は丸ごと削除して、別の内

negima1976 2018/03/06

リンク

PHPMailerの脆弱性CVE-2016-10033はExim4やWordPress4.6でも影響があった

エグゼクティブサマリ PHPMailerのリモートコード実行脆弱性CVE-2016-10033は、従来MTAとしてsendmailを用いる場合のみ影響があるとされていた。また、WordPressはPHPMailerをバンドルしているが、CVE-2016-10033によるWordPressに対するリモートコード実行攻撃はできないとされていた。しかし、MTAとしてExim4を用いる場合には、PHPMailer単体およびWordPress 4.6からのリモートコード実行が可能であることがわかったので報告する。はじめに昨年末に話題となったPHPMailerのリモートコード実行脆弱性CVE-2016-10033ですが、当初公表されていたPoCがsendmailコマンドの -X オプションを用いたものであったため、-X オプションのないMTA︵postfix, qmail, exim4等︶は直ちに

negima1976 2017/05/08

リンク

WordPress 4.7.1 の権限昇格脆弱性について検証した

エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。本稿では、脆弱性混入の原因について報告する。はじめに WordPress 本体に久しぶりに重大な脆弱性が見つかったと発表されました。こんな風に書くと、WordPressの脆弱性なんてしょっちゅう見つかっているという意見もありそうですが、能動的かつ認証なしに、侵入できる脆弱性はここ数年出ていないように思います。そういうクラスのものが久しぶりに見つかったということですね。 WordPress、更新版で深刻な脆弱性を修正　安全確保のため情報公開を先送り Make WordPress Core Conten

negima1976 2017/02/06

リンク

GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された

エグゼクティブサマリ GoDaddy社の発行するドメイン認証SSL証明書に認証不備の脆弱性があり、予防的な処置として8850件の発行済証明書が失効された。これは同期間に発行された証明書の2%未満である。現在は脆弱性は解消されている。概要 GoDaddy社は米国のホスティング︵レンタルサーバー︶やレジストラの大手で、認証局︵CA︶の事業も手がけています。 GoDaddyが発行するドメイン認証証明書の認証手続きに不備があったとして報告されています。 In a typical process, when a certificate authority, like GoDaddy, validates a domain name for an SSL certificate, they provide a random code to the customer and ask them to p

negima1976 2017/01/12

リンク

PHPのescapeshellcmdを巡る冒険はmail関数を経てCVE-2016-10033に至った

エグゼクティブサマリ 2011年始めに徳丸がescapeshellcmdの危険性を指摘したが、この問題はmail関数のadditional_parameters経由で攻撃可能であることが2013年末に指摘された。その後2016年末に、PHPMailerの脆弱性CVE-2016-10033として現実のものとなった経緯 2011/1/1 徳丸が「PHPのescapeshellcmdの危険性」を書いて、クォート文字がペアになっている場合にエスケープしないという仕様が余計なお世話であり、危険性が生じていることを指摘 2011/1/7 大垣さんがブログエントリ「phpのescapeshellcmdの余計なお世話を無くすパッチ」にて修正案を提示 2011/10/23 廣川さんが、大垣さんのパッチ案を少し修正してbugs.php.netに提案。修正案は却下され、マニュアルを修正することに 2011/1

negima1976 2016/12/30

リンク

PHPMailerの脆弱性CVE-2016-10033について解析した

エグゼクティブサマリ PHPMailerにリモートスクリプト実行の脆弱性CVE-2016-10033が公表された。攻撃が成功した場合、ウェブシェルが設置され、ウェブサーバーが乗っ取られる等非常に危険であるが、攻撃成功には下記の条件が必要であることがわかった PHPMailer 5.2.17以前を使っている Senderプロパティ︵エンベロープFrom︶を外部から設定できる現在出回っているPoCはMTAとしてsendmailを想定しており、postfixを使っている環境では問題ない対策版として公開されている PHPMailer 5.2.19も不完全であるので、回避策の導入を推奨する。はじめに12月24日にPHPMalerの脆弱性CVE-2016-10033が公表され、とんだクリスマスプレゼントだと話題になっています。 PHPからのメール送信に広く使われているライブラリの﹁PHPMai

negima1976 2016/12/28

リンク

PHPの全バージョンの挙動をCGIモードで試す

PHPの挙動を調べていると、マニュアルにも、ChangeLogにも載っていない変更にしばしば遭遇します。たとえば、PCRE系関数︵preg_xxxx︶の正規表現指定︵第1引数︶において、過去のPHPではNULLバイトを許容していましたが、最近のPHPでは、正規表現中のNULLバイトをエラーにしています。この変更は、マニュアルには載っておらず、ChangeLogには記載されているもののNULLバイトとは書いていないので、ちょっと気がつきにくいですね。 Fixed bug #55856 (preg_replace should fail on trailing garbage) このような場合、ソースコードの該当箇所を調べるか、適当にあたりをつけたバージョンのPHPをビルドして試すなどの手法がとられているかと思いますが、@hnwさんが phpall　を発表されたことで、この種の調査が一挙に楽に

negima1976 2016/12/15

PHP
security

リンク

ウェブアプリケーションにおいて「ホワイトリスト」と"White List"は用法が異なる

海外（主に米国）のウェブアプリケーションセキュリティのドキュメントを読むと、"white list input validation" という言い方がたびたび出てきます。たとえば、OWASPのSQL Injection Prevention Cheat Sheetには、まさにWhite List Input Validationという節があります。 3.2 White List Input Validation Input validation can be used to detect unauthorized input before it is passed to the SQL query. For more information please see the Input Validation Cheat Sheet. 【私訳】 3.2 ホワイトリスト入力値検証 SQLクエリに渡

negima1976 2016/03/22

ホワイトリスト

リンク

決済代行を使っていてもクレジットカード情報が漏洩するフォーム改ざんに注意

先日以下の記事が公開されました。決済代行会社を使っていたのにカード情報が漏洩したというものです。同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト﹁eキレイネット﹂でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日～27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。従業員10人なのに﹁標的﹂に　サイバー攻撃、中小企業が狙われる理由より引用これに対して、以下のブックマークコメントがつきました。そもそも、決済代行会社を使っているのになぜカード情報が

negima1976 2016/03/14

リンク

新刊「徳丸浩のWebセキュリティ教室」10月22日発売です

拙著﹁徳丸浩のWebセキュリティ教室﹂が10月22日に発売されます。Amazon等では既に予約開始されています。本書は書きおろしではなく、日経コンピュータ誌に連載したエッセイを、ほぼそのまま並べ直した形となっています。前著﹁安全なWebアプリケーションの作り方﹂のようながっつりした技術書ではなく、もう少し気楽な読み物として、技術者以外の方々にも読んでいただける内容になっている…と思います。目次は、日経BP社のページから﹁目次を見る﹂で閲覧できますので、購入前の参考になさってください。日経コンピュータ誌連載になかったものとして巻頭言があります。これはインタビュー記事ですが、カメラマンが弊社に来られて、生まれて初めて本格的な撮影をいただきました。写真を見るのが怖いですねw元々がエッセイの連載ですので、本書の内容には、時事ネタあり、対策の考え方、ネットで論争となったあのネタ…等、様々です

negima1976 2015/10/20

Web
本

リンク

PHPのunserialize関数に外部由来の値を処理させると脆弱性の原因になる

既にいくつかの記事で指摘がありますが、PHPのunserialize関数に外部由来の値を処理させると脆弱性の原因になります。しかし、ブログ記事等を見ていると、外部由来の値をunserialize関数に処理させているケースが多くあります。ユースケースの一例としては、「複数の値をクッキーにセットする方法」として用いる場合です。 PHP クッキーに複数の値を一括登録する方法という記事では、以下の方法で複数の値をクッキーにセットしています。 $status = array( "height" => 167, "weight" => 50, "sight" => 1.2 ); setcookie("status", serialize($status)); クッキーの受け取り側は以下のコードです。 print_r(unserialize($_COOKIE['status'])); 出力結果は以下

negima1976 2015/07/15

リンク

はてなブックマーク

タグ

ブックマーク / blog.tokumaru.org (28)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス