スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

9月29日のtwitterセキュリティクラスタ

早いものでもう月末ですか。

都道府県型JPドメインはどうなってしまうのでしょうかね。ECサイト不向き、とか言われれると誰も使いたくないですよね。
HiromitsuTakagi :cookieは一例であって、Cookie Monsterだけの問題じゃないから、あのように最小限記述の質問状にしたわけだが、他の人らの活動でCookie Monsterが目立ってしまい、脳死ネットオペレータらの自己正当化のいい餌食にされてる。「cookieが腐ってるだけだろw」と

ockeghem :@HiromitsuTakagi 今やCookieなしにWebは成り立たないし、Webのために色々なドメインを提供しようとしているのに、「Cookieが腐っているだけ」という理屈は現実を見ていないと思います。「Webは安全に使えないドメインですがよろしければ」と売り出すべきですね


私のところにも来てましたが、アプリ名だけしか記載されていないので連絡すべきところの名前はすっかり抜け落ちててどこだか全くわかりません。
piyokango :“JVN、脆弱性の届け出があったソフトの「連絡不能開発者一覧」公表 -INTERNET Watch” http://htn.to/qsFZGE

ymzkei5 :例のIPAの「連絡不能開発者一覧」の中に、私が届け出た脆弱性の、製品の開発者さんが含まれていたようで、IPAから掲載のご連絡というメールが届いていた。そのメールには、「なお、起算日から 1年間以上経過した届出については、(続く)

ymzkei5 :(続き)「なお、起算日から1年間以上経過した届出については、発見者は IPAに対し、情報非開示依頼の取り下げを求めることができます。」と書いてあった。そんな仕組みなのね。2012年4月になったら取り下げを求めることが出来るらしい。


業界外の人にとっては「ペネトレーション会社」自体が知られていない気がしますが。いわんや優劣をや。
ScanNetSecurity :覆面座談会 「優れたペネトレーションテスト会社の選び方」 開催のおしらせ http://lb.to/qcsJXd @ScanNetSecurity


Kindle FireのブラウザはSilkという新機軸のブラウザらしく、こちらも興味をそそりますね。
essa :Silkブラウザは技術的にはとても興味深いが、セキュリティやプライバシーについて新しい懸念を生む。パスワードを入れてアクセスするサイトもEC2の中で処理され、アマゾンに行動履歴が蓄積される? / “ The Implicatio…” http://htn.to/P7R7PM


JPRSの中の人が書いてると仕様的な話は安心して読めますね。
kou_yan :いまさら聞けないドメイン名の基本(前編) 第1回 | Web担当者Forum: Web担トップ ≪ 編集記事一覧 ≪ Web担当者なら知っておきたいドメイン名&DNSの話 ≪ いまさら聞けないドメイン名の基本(前編) 第1回... http://bit.ly/npkt5C


lac_security :最近話題になったカレログについてのコラムを公開しました!この手の「端末管理ソフト」は沢山ありますがカレログだけが話題になった理由は?企業はどう対策すべき?CTO西本が語ります。『「カレログ」から学ぶ、わが社のスマホセキュリティ』  (^ま)


jpcert :JPCERT/CC にいただいているインシデント報告件数や対応状況などをお知らせする「インシデント対応状況」ページを公開しました。^YK http://jpcert.or.jp/ir/status.html


kitagawa_takuji :サイバー兵器Stuxnetを3分半で説明するよ(動画) via @gizmodojapan #gizjp


kitagawa_takuji :トレンドマイクロのBlog  で攻撃の最初の入り口とされたTROJ_PIDIEF.EED 初回 VSAPI パターンリリース日が報道された当日の2011年9月19日なんだ? 


taiji_k :IPA "DNSを用いた公開鍵の配送技術 - DANE" http://bit.ly/pZH66p


kitagawa_takuji :NHKニュース サイバー攻撃 実在の名前でも送信 http://nhk.jp/N3xu6gUd 警視庁は、社内のメールの情報が事前に盗み出されていた疑いがあるとみて、感染経路などを調べる方針です。


mimi373mimi :“歴史に残るハッカー10人 : ギズモード・ジャパン” http://htn.to/yU3Sfs

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

9月28日のtwitterセキュリティクラスタ

Kindle Fireをポチったものの送れませんと返されたので断念。ムキー!!

都道府県型JPドメインによって再燃しそうなクッキーモンスターについて。Androidのブラウザーは検査されることが少ないのでいろいろ見つかりそうですね。
ockeghem :日記書いた / “私はいかにしてOperaブラウザのCookie Monster Bugを確認したか - ockeghem(徳丸浩)の日記” http://htn.to/CVRgXY

ockeghem :Operaの地域型ドメインのCookie Monster Bugは、バージョン5と6はバグ無し、7以降はバグあり、でした。調査はDNSキャッシュサーバーによる。画像は6.05の印象的なエラー画面 http://pic.twitter.com/ux7Fjq36


ockeghem :ガラケーのCookie Monster Bug調べるには地域型ドメインが必要なのでしらべてないけど、大丈夫のような気がする。それはよいとしても、都道府県型JPドメインに対応するにはケータイのアップデートが必要だけど、まず事業者はやらないと思うね。費用が掛かりすぎるし無理


徳丸本が電子化されたのに引き続き、金床本の電子化も期待されているようです。そういや索引は編集者の気合いの見せ所と聞いた記憶がありますが、データハウ○の書籍には基本ないですね。
hasegawayosuke :検索にこんなに大変な手間のかかった金床本こそ電子化されるべき、と我らが徳丸先生が仰ってます。

kinyuka :金床本の電子化について。「この時代に書籍が紙媒体だけなんてありえないだろ」ということで私はデータハウ○の編集のM○dさんに結構しつこくお願いしたのですが、Warezでダウンロードでぶっこぬかれるとやばいと思ったのか、とにかく許可が下りなかったんですよね。


ケーブル抜いて寝たら危険なままですが、その前にIDとパスワードが同じで登録できた方に驚きです。
marhythm :pixivでIDとパスワードが同じ人に警告出るようになったみたいだけど、その警告出たことを絶対にTwitterやブログなどに書かないこと 理由考えてもわからないやつは今すぐLANケーブル抜いて寝ろ


その他気になったことはこのあたり。
WEDGE_Infinity :8月4日から4日間、ラスベガスで世界最大のハッカー会議「DEFCON」が開催された。この決勝に、初めて日本人チームとして「sutegoma2」が進出。結果は残念ながら最下位。しかし、日本人チームが世界最高峰の大会に進出した意義は大きい。 http://ow.ly/6GIEy


mozillajp :TLS 暗号化通信に対する攻撃の Firefox への影響 - Mozilla Japan ブログ http://goo.gl/fb/dcruK


kjur :何もしてくれないのかと思ったのでよかった RT @secureslinger #hacking #security Microsoft promises patch to block BEAST attacks http://dlvr.it/nKJ5j #slingnews


Sn0wNight :懐かしい - セキュリティさくらに参加してきました - ごみ箱: http://ux.nu/2QaoM #schwarz_b


ScanNetSecurity :SSLとTLSのCBCモードに選択平文攻撃の脆弱性(JVN) http://lb.to/oIuD8K @ScanNetSecurity


Murashima :SPF Pass spam が使っている IPv4 アドレスブロックをバッサリ止めたら、すり抜けてくる spam 激減。これでしばらくは安泰カモ? (DNS逆引き異常/SPF NG はブロックしています) [IPv6勉強会01参加募集中 bit.ly/ns6Z7E]


kitagawa_takuji :ウェブルートがAndroid用セキュリティソフトの日本語版を発表 - ニュース:ITpro http://nkbp.jp/pP8QxR #itprojp


lac_security :標的型攻撃によるサイバースパイ活動で、機密情報が摂取されて社会問題になっています!技術的対策には限りが…疑似的な標的型メールで人に免疫力をつける予防接種が有効です。NHK 9月28日(木)19時、21時のニュースで放映予定です。ご期待ください(^ま)


MasafumiNegishi :僕もなんかしゃべります。 “@IIJ_PR: IIJグループでは、今年も 11月9日~11日の3日間にわたり、技術者の方々を対象に「IIJ Technical WEEK 2011」を開催します。 ⇒ http://bit.ly/nJMWtV


bakera :[メモ] 「指定事業者が「47個パック」的なサービスを提供するのは問題ないか」→「その登録が、登録者の意思であれば問題ない。登録者の意思に関わらず、47個セットでしか登録できないのは問題と思う」

テーマ : セキュリティ
ジャンル : コンピュータ

9月27日のtwitterセキュリティクラスタ

月末だからかネタがあったからか理由はよくわかりませんが、昨日は活発なTLでした。

トレンドマイクロのウイルスバスターイケメンウイルス相談員コンテストという、なんか以前どこかで見た企画のパクリのようなものが始まったようですが、SQLインジェクションできたりXSSできたりするようで、素敵ですね。(現在システムメンテナンス中になっています。)
hasegawayosuke :ウイルスバスターのイケメン ウイルス相談員コンテスト ikemen.try-cloud.jp 、このエラー画面はないわー。

ymzkei5 :あー。XSSもありますね。トレンドさん…。id=2%23">test RT @hasegawayosuke: ウイルスバスターのイケメンウイルス相談員コンテスト ikemen.try-cloud.jp 、このエラー画面はないわー。


地域型ドメインってクッキーモンスターの問題があるから使われなくなった気がするのですが(維持費用が高いのもあるのでしょうけど)それより自由度が高い都道府県型JPドメイン名というのが新設されるようですよ。
HiromitsuTakagi :ちょっと待てや。JPRSは、ドメイン名構造の変更に伴うセキュリティへの影響は検討したの? RT 2012年後半から: JPRSが、地域に根ざした新たなドメイン名空間「都道府県型JPドメイン名」の新設を決定

HiromitsuTakagi :答申書 の他、検討部会の議事録を読んだが、セキュリティのセの字も語られてない。

masa141421356 :Cookie Monster にやられてアウトな気がしないでもない

d6rkaiz :「都道府県型JPドメイン名の新設に伴うセキュリティとかの話」をトゥギャりました。 http://togetter.com/li/193312

HiromitsuTakagi :JPRSに対する都道府県型JPドメイン名新設に係る公開質問 - 高木浩光@自宅の日記 http://t.co/cMk0NFiw

ockeghem :日記書いた / “徳丸浩の日記: 都道府県型JPドメインがCookieに及ぼす影響の調査” http://htn.to/LLmZqV


IPAから情報セキュリティ技術動向調査(2011 年上期)が発行されたようです。XSSの主戦がDOMに移ったようですが、それは研究者のテーマがそっちに移っただけで、実際には私でもわかるような単純なXSSがゴロゴロ転がっているような気がします。
ymzkei5 :ちょw “主戦場をDOMに移した”は言い過ぎじゃないですかね~。>■情報セキュリティ技術動向調査(2011 年上期) 5. Ajaxブラウザセキュリティ - 主戦場をDOMに移したXSS http://t.co/T2yNrCcd

ymzkei5 :足りない!足りないよ!IPAさん。>“(5) document.write()に渡す値は、常に定番のサニタイズ処理を施してから引数へ渡す。”の例示a~e。 http://bit.ly/ngRPzg 「\x3c」とか来たらどうするの。(あと、「サニタイズ」って。。)

hasegawayosuke :http://t.co/3PWnrQ9g 斜めにしか読んでないけど、致命的に問題があるわけじゃない(と思う)けど、全体的に残念な感じ。DOM based XSSはJSがHTMLを生成してるので、「HTML生成時にエスケープ」の原則を守ることが大前提。(続く

hasegawayosuke :http://t.co/3PWnrQ9g 続き) 少なくともIE8のXSS Filterはtype-1(反射型)への防御と明確に謳われており、type-0(DOM based)に対して期待してはいけない。X-XSS-Protection はつけなくてもフィルタは活性化されてる。

hasegawayosuke :http://t.co/3PWnrQ9g 「攻防は、いわば「DOMがかたちづくるジャングル」の中のゲリラ戦に移ってきたといってよい。」 すごすぎてイメージわかない。

hasegawayosuke :「DOMがかたちづくるジャングル」 http://www.ipa.go.jp/security/fy23/reports/tech1-tg/a_05.html HTML書くデザイナさんは、そんなジャングルなDOM構造書かないで、草原のように見渡しのいいノードをお願いします!

hasegawayosuke :http://t.co/3PWnrQ9g CSPの箇所にtypo。「 X-Content-Security-Policy: 'self」←末尾の引用符たりない。CSPのDOM based XSSに対する防御は限定的。


PHPでは文字の総当たりができてびっくりと言う話でしたが、PerlでもRubyでもできるようですね。
garethheyes :$x='A';$x++;$x++;echo $x; // <-- this works in php via (@i0n1c)

tomoki0sanaki :$x='Z';$x++;$x++;echo $x; // <-- ans is "AB" QT @garethheyes @i0n1c @s_hskz

tomoki0sanaki :PHP ありえねー!!!!!。 A -> B ....-> Z -> AA -> ... -> AZ -> BA -> ..... 大文字だけの総当りができるけど・・・私が無知なだけで、これって、他の言語でもフツーなのか....!?

ymzkei5 :Perlでも出来た・・・。 RT @tomoki0sanaki: PHP ありえねー!!!!!。 A -> B ....-> Z -> AA -> ... -> AZ -> BA -> ..... 大文字だけの総当りができるけど・・・これって、他の言語でもフツーなのか....!?

ymzkei5 :ちなみに、「az」の次は「ba」で、「aZ」の次は「bA」で、「zZ」の次は「aaA」だったw 何これ誰得www >$x='zZ';$x++;print $x;

rryu2010 :@tomoki0sanaki Rubyもできます。 'AZ'.succ


徳丸本の電子書籍版、本日発売だそうです。AndroidからでもKindleからでも読めますよ。あと検索もできるので仕事中に何か探すときにはこちらの方が便利な気がします。
ockeghem :安全なWebアプリケーションの作り方、電子書籍版は本日午前中の販売開始です。まだみたいですw #wasbook http://bookpub.jp


その他気になったことはこのあたり。
piyokango :今朝のmysql.comの改ざんの件、実際に埋め込まれたコードの解析レポート。埋め込まれたコードからBlackHole exploitを動かしているホストにリダイレクトさせ、各種脆弱性をつく流れ。(動画あり) / “Armorize …” http://htn.to/SKUpBx


bakera :
(ハッシュタグを忘れていたので再ツイート) 最近社内外で何かと話題にしていた文字サイズ変更ボタンの話ですが、イベントやります …… 第2回「アクセシビリティBAR」 秋の文字サイズ変更ボタン祭り http://atnd.org/events/20371 #a11ybar


kitagawa_takuji :NHKニュース サイバー攻撃への対策強化へ http://t.co/4zJlysOu


JSECTEAM :アドバイザリ (2588513) を公開し、SSL 3.0 および TLS 1.0 に存在する脆弱性を悪用する新しい手法に関する詳細情報が一般に公開されたことをお知らせしました。 #JSECTEAM http://bit.ly/rh8ycU


kinyuka :ダカミーとモクシーの間でBEASTの議論があって参考になる。今回のデモではJavaのSOP違反の(おそらく未知の)バグが利用されていて、WebSocketと同様に「Cookieを送りつつ、その後の大量の平文も攻撃者がコントロール可能」な通信が行われている

kinyuka :ダカミーは「SOP破れるならSSLなんか気にしないでCookie読めばいいじゃん」と言っていてその通りだと思うが、このJavaのバグでCookieを盗れるのかどうかは謎。

テーマ : セキュリティ
ジャンル : コンピュータ

9月26日のtwitterセキュリティクラスタ

まだ火曜日なのにがっつり会議室にいたので疲れ切っています。ユンブル飲めば元気になるのかな…

MySQL.comがやられてしまったようです。root権限が売られていたなんてなにそれこわい。
topitmedia :MySQL.comのWebサイトに不正なコード 闇市場でroot権限も販売か - ITmedia エンタープライズ

r_netsec:MySQL.com Sold for $3k, Serves Malware ? Krebs on Security -


原稿ネタのために買ってみたい気はしますが、普通に逮捕されそうな気がするのでハードル高いですね。
kitagawa_takuji :ついに販売開始された、低価格ボットネット~G Data


意外に知らないものもあってびっくりですよ。
yomoyomo :[OpenSource] Windowsのシステム管理者にとって必須な15のオープンソースツール http://bit.ly/q0dcEh


どうやって学ぶのですか><
togakushi :独学以外あり得ないですって答えた人もいたw by ベガス RT @omegatakuma: むむー。 RT @togakushi: 独学ですw RT @omegatakuma: あ、あとセキュリティってどうやって学ぶんですか!


その他気になったことはこのあたり。
piyokango :後で試してみたいです。 / “【レビュー】斬新なセキュリティ対策ソフト! - セキュアブレインの「gred AV アクセラレータ 2.0」を試す (1) gred AV アクセラレータ 2.0とは? | パソコン | マイコミジャーナル” http://htn.to/avM64V


Ivanlef0u :Hack.lu CTF 2011 Write-up : FluxScience http://bit.ly/nxqZgb


kinyuka :@hasegawayosuke そういえばBeastとHSTSの件ですが、hsgw先生のおっしゃるとおりでHSTSを攻略できるのがウリのようです。漏れがまちがってました。すんません。。。

hasegawayosuke :@ockeghem @kinyuka "HSTSなWebアプリでも攻略できる" というのがウリですね。


ScanNetSecurity :中国ハッカーが発表した「自律ルール」日本語訳(全文)(Far East Research) http://lb.to/rlmfy6 @ScanNetSecurity


piyokango :@totoromasaki librahack絡みで、数日前ぐらいから吹田市図書館がサイバー攻撃を受けたという話で盛り上がってますね。その図書館で使われている富士通のシステムが結構ひどい作りらしく。 http://bit.ly/n08dhQ


ishikawa84g :「第2回マルウェア解析勉強会」をトゥギャりました。 http://togetter.com/li/192172

テーマ : セキュリティ
ジャンル : コンピュータ

9月22~24日のtwitterセキュリティクラスタ

自転車で走っていると知ってる人に見つかってしまいました。リアルもバーチャルもどこで見つかるかわからないので注意したいものです。

23日に論文が発表されたBEAST攻撃について。SSLがオワコンになるのかと思いましたが、どうやら限定的なようですね。
kinyuka :Beastの論文読んだ(;´Д`)最後の方、結局は実際に試せるケースが少ないというところでゲンナリ(;´Д`) 同じIPアドレスで動いている場合にはJavaで攻撃できるとかどうでもいいw WebSocketだけが現実的なのか?

sen_u :@kinyuka お、論文ありました?

kinyuka :@sen_u http://insecure.cl/Beast-SSL.rar

kinyuka : にはPayPalを攻撃できるっぽく書いてあるけど、PayPalはWebSocket許可してるのか?

kinyuka :普通のHTTPSには現実的には攻撃できないっぽい。WebSocket限定。という感じで合ってるのかな ビーストタン

sen_u :@kinyuka 理論的な話だった手法を実現したBEASTはおもしろいけど、脅威としてはそれほどでもないという感想ですね。WebSocket以外では難しそうですね。


とはいえこんなことを言ってる人もいるようですが。
gohsuket :リチャード・クラークがSSL証明書は既に信頼無し発言 oh, Richard Clarke RT @daveaitel Don't Trust SSL Certificates, Says US Cybersecurity Adviser http://dlvr.it/mfbDm


ソニーを攻撃した人がまた逮捕されています。意外と雑なやり方みたいで
kitagawa_takuji :ソニー子会社システムに侵入容疑で23歳男を逮捕、米アリゾナ州で | Reuters

kitagawa_takuji :ソニー子会社攻撃の主犯格逮捕=ハッカー集団の23歳―米西部 http://t.asahi.com/40qw

kitagawa_takuji :Proxy logs helped FBI track and arrest LulzSec member 米国内にあるProxy(HideMyAss.com)を使っていただけなら捕まるだろう


こういう記事を見るとAndroid端末がほしくなります。
moton :G1で無線LANパケットを、、、だそうで。 - xda-developers http://bit.ly/pWHT4e


その他気になったことはこのあたり。
shu_tom :Mac 向けPDFマルウェアとして見つかったファイルは、尖閣諸島の問題について書かれているみたい。 http://j.mp/mTbBMo (sophos)


connect24h :【Check Point Software調査】 ソーシャル・エンジニアリング攻撃が横行、企業に多大な損害 - Computerworld http://owl.li/6DGlr 大企業の30%ではインシデント当たりの平均損害額が10万ドル以上


haruyama :Lionでパスワードを知らなくてもパスワードを変更できる方法とその対処策 | Macの手書き説明書 - http://icio.us/mrQHfV


maruchan_MM :まるちゃんブログ=>ネットワークの調査をした結果、ウイルスに感染したものの機密情報を持ち出された形跡がシステム上ないことをもって機密情報が持ち出されていないとほっとしている人は幸せだ(笑)


tyama99999 :無事帰宅。 【備忘録】どきっ、○○だらけのセキュリティキャンプ企画書 ぼやっとしたイメージ(高松あたり 年末年始あたり Webアプリ?)


zusanzusan :PacSec 2011 の講演者が発表され始めています


なお、仕事の都合で26日の更新はお休みさせていただきます。あしからずご了承ください。

テーマ : セキュリティ
ジャンル : コンピュータ

9月22日のtwitterセキュリティクラスタ

すでに休みの人が多いのか、参加人数が寂しいTLでしたが、その中で気になったことはこのあたりでした。

dai1701 :「SpyEye」開発コード流出、新手サイバー攻撃の恐れも - TechTargetジャパン 情報セキュリティ


piyokango :もっと早く注意喚起をすべきだったのでは。 / “地震や原発事故の情報提供を装う標的型メール500件以上を確認、警察庁 -INTERNET Watch”


shu_tom :うちのSOCで検知したメールと同じやつも例に載ってますね QT @piyokango: “三菱重工サイバー攻撃と標的型メール : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)”


risa_ozaki :ソーシャル・エンジニアリング攻撃が横行、企業に多大な損害 | Computerworld


shell_storm :Write-up - Hack.lu 2011 Torrent challenge (100)


lac_security :「サイバースパイ活動の被害が明るみに」CTO西本逸郎が標的型攻撃と、サイバースパイ型攻撃について説明したコラムを掲載いたしました。従来のウイルス対策ソフトやファイアウォールなどでは対応できない『新しいタイプの脅威』とは(^ま)


garethheyes :RT @0x6D6172696F: New challenge - maybe unsolvable, maybe not: Can you XSS this clearly XSSable website? http://bit.ly/p9Kfrl


ntsuji :John the Ripper 1.7.8-jumbo-7で「Support for Mac OS X 10.7 Lion salted SHA-512 hashes has been added」になっていますね。http://bit.ly/oFFBgG


seizans :先日クラックされたCA「DigiNotar」が倒産。私が詳しくないせいかもしれないが、ルートCAやっててクラックされちゃうなら仕方ないんじゃなかろうか、という感覚なのだがどうなのだろうか? - エフセキュアブログ : ハッキングされて倒産


hasegawayosuke :"Bypassing Internet Explorer's XSS Filter"


bakera :「新しいタイプの攻撃」という呼び方は正直どうなんでしょうね? 数年経ってもその呼び方を続けるつもりなのでしょうか?

テーマ : セキュリティ
ジャンル : コンピュータ

9月21日のtwitterセキュリティクラスタ

台風一過ですね。

日本ではほぼ話題になっていませんが、BEAST (Browser Exploit Against SSL/TLS)というSSL/TLSに対する攻撃について。詳細の発表は明日だそうですが、連休明けにはアップデートがあったりするのか、それともそれどころではない脅威だったりするのか注視するしかありません。

kinyuka :BEASTネタ、この辺の議論でほとんど結論に到達してるっぽいです。 http://ow.ly/6A9tr 個人的にはMan In the Browser(トロイ)前提でSSLがセキュアかどうか議論する意味はあまりないと思うので、BEASTはおわこん(ほんとかよ)

kinyuka :ダカミーが昨日だかつぶやいてたみたいに、暗号のアルゴリズム的にBEASTに強い・弱いがあるって話はよさそう。CBCモードじゃないほうがいいのかな

kinyuka :AES256bitオレすげぇぇ!とかいってりよりRC4の方がいいとか?

kinyuka :BEASTはたぶん、トロイが(攻撃者に)既知の文字列を攻撃対象のブラウザからSSL経由でがんがん送って、それを同時にパケットキャプチャもして、暗号を解読するという攻撃

ockeghem :興味深いけど、「その状況ならもっと楽な攻撃できるだろ」と突っ込みたくなりますねw RT @kinyuka: BEASTはたぶん、トロイが(攻撃者に)既知の文字列を攻撃対象のブラウザからSSL経由でがんがん送って、それを同時にパケットキャプチャもして、暗号を解読するという攻撃

expl01t :BEASTの件,やはりCBCモードでトリッキーなことしてるのか.予想通りでしたが,自分で見つけられなかったのが悔しい.

a4lg :件の BEAST だけど、SSL の Keep-Alive とかを考えると「外部の」JavaScript で攻撃可能、かな?

expl01t :!! RT: @a4lg 件の BEAST だけど、SSL の Keep-Alive とかを考えると「外部の」JavaScript で攻撃可能、かな?

a4lg :@expl01t Man-in-the-browser が要るかとも思ったのですが、外部 JavaScript がターゲットウェブサイトに対して発信した選択平文と同一セッションにある暗号文が解読される可能性がありそうで。

a4lg :あぁ、JavaScript only の場合は、別途盗聴できることを前提ね。この前の事件みたいな MITM 攻撃を実現できる環境において、より効率的に…って感じで。

a4lg :same origin policy と物理的な SSL の接続に関連があれば BEAST は成立せず、関連がなければ (例えば同じフレーム内の同一ホストへのリクエストが混ざるなどの場合) 成立する。

a4lg :man-in-the-browser が結構非現実的に見えたので、もっと現実的な攻撃ルートがないかと思案した結果。

a4lg :あぁ、やはり既に指摘されてた。 http://news.ycombinator.com/item?id=3015498 ここでは iframe だけど。

kinyuka :並列して行われているHTTPセッション(別ホストとの通信でもOK)にJavaScriptをMITMで注入して、攻撃対象のホストに攻撃者に既知の文字列を送らせる、っていう方法の可能性もあるのか。なるほど。

neohawk :SSL/TLSに対する攻撃、BEASTについて。詳細は23日に発表予定。WebSiteはソフトウェアのUpdateが必要になるかも。http://bit.ly/qhVPMB


そして、すでにパッチが出始めている模様。
zen140 :@kinyuka chromeでBEAST対策のパッチが出てますよ


版権どこかの出版社が取ったら編集させてくださいな。
Lingualina :ハッカー集団アノニマスについての本が企画書になってこっちの版元の出回っている。 http://tinyurl.com/3s93qd9


その他気になったことはこのあたり。
typex20 :Nexus S/AndroidのパケットをWiresharkでキャプチャしたところ、公式のTwitterクライアント、Googleのアプリなどのhttps通信が軒並みTLSv1.0を使っているという事実に驚愕。。


connect24h :三菱重工のウイルス感染事案、何で、発覚から情報公開を1ヶ月も遅らせたのかと言う書き込みがあるけど、3連休の真ん中の9/18にプレスして、さらにこの週は平日3日な事を考えても、この週に情報公開したほうが株価やその他もろもろで企業インパクトが一番少ないとふんだんだろな。


kinyuka :防衛産業に対するサイバー攻撃で盛り上がっていますが、ずっと前から行われているであろう産業スパイ系(人系)の方の対策が第一でしょ。どうせ対策できてないと思いますが(;´Д`)

テーマ : セキュリティ
ジャンル : コンピュータ

9月20日のtwitterセキュリティクラスタ

台風がやってくるようです。困ったものですね。

新しいMacOSであるところのLionは簡単に他人のパスワードハッシュが読めたりリセットできたりできるようです。もう個人しか使わないし見せっぱでかまわないという戦略なのでしょうか。
MasafumiNegishi :このLionの脆弱性、手元のMBAで確かめてみた。確かにハッシュを読み込んでパスワードクラックできるし、新しいパスワードの設定もできるね。 Defence in Depth: Cracking OS X Lion Passwords

piyokango :“yebo blog: Mac OS X Lionはパスワードクラックが簡単” http://htn.to/vSy1zJ

ockeghem :@MasafumiNegishi yebo blogで紹介されていたやつですね。それは、すご…いというか、ひどい。パスワードのリセットがどの範囲でできるか気になりますが

MasafumiNegishi :@ockeghem 試してみたところでは、新パスワードを設定する際に旧パスワードの入力を求められますね。

ockeghem :@MasafumiNegishi ほう、それなら問題ないと思いますが、何かあるのでしょうかね


MasafumiNegishi :Lionの脆弱性の件、念のため。パスワード変更の問題は、自分のアカウントのパスワード変更時に旧パスワードが必要ないというもの。他人のアカウントのパスワードを変更できるわけではない。もう一つのパスワードハッシュの問題は他人のアカウントのハッシュも含めて見れてしまう。


ありがたいことにレビュアーの端くれだったので、見本をいただきました。検索できて便利ですが、印刷できないのは残念です。そのあたりは個の力で突破してくださいということでしょうか。内容はたぶん最新版だと思います。
ockeghem :【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始決定しました。詳細は明日のブログで発表します #wasbook

kaito834 :待ってました!書籍自体もってると、少しお安くなるといいなー:) RT @ockeghem: 【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始決定しました。詳細は明日のブログで発表します #wasbook

ockeghem :販売開始キャンペーンでの期間限定割引がありますので、明日の発表をお楽しみに RT @kaito834: 待ってました!書籍自体もってると、少しお安くなるといいなー:) RT 「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始 #wasbook

ymzkei5 :やりましたね! これで、筋力がなくても、いつでも傍に置いておけますね。w RT @ockeghem: 【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始決定しました。詳細は明日のブログで発表します #wasbook

ockeghem :どうぞ、おそばに置いてやって下さいw RT @ymzkei5: やりましたね! これで、筋力がなくても、いつでも傍に置いておけますね。w RT @ockeghem: 【速報】「体系的に学ぶ 安全なWebアプリケーションの作り方」電子書籍版9月28日(水)販売開始 #wasbook

hasegawayosuke :徳丸さんのご厚意により #wasbook 電子版を先行入手。検索できるので超便利。ちなみに "Ajax" という語はたった4か所しか出てこないというのを電子版だと簡単に知ることができました。"はせがわようすけ" も同じく4か所。どーでもいいですね。


絵文字変換XSSだそうで。以前のWassrをはせがわ某氏が大変なことにしたときみたいなことが起こると思うとガクブルですね。
sheercat :絵文字変換によるXSSみつけた。これは結構他のコンテンツにもあるんじゃまいか。

bugbird :そうか、絵文字の採用は、結局のところ「脆弱性フロンティア」となる可能性があるのか。肯定材料、否定材料、しばらくにぎやかになりますかね?

hasegawayosuke :絵文字の機能が脆弱性につながったとか、それなんて Wassr (ry


そして、三菱重工へのサイバー攻撃続報。IHIなど他の軍事に関わる会社にも攻撃があったそうで日本も本格的にサイバー戦争に巻き込まれてきましたね。
piyokango :公式のプレスリリース出てますね。 / “三菱重工|本日の一部報道について” http://htn.to/F5wFiQ

kaito834 :2011年9月に発覚した三菱重工のウイルス感染について。「...高輪警察署にウィルス感染の事実を報告。その後、警視庁や警察庁にも..助言を受けたが、被害届けは出していない」「感染したウィルスは...「TSPY_DERUSBI.A」など」 http://htn.to/HDwsUb

NanohaAsOnKai :( ´-`) .。oO(午前中から騒がれてた件、同時多発だったんだ。社内ポリシーの見直しからかな?) / 三菱重工にサイバー攻撃、80台以上のサーバーやPCがウイルス感染 http://bit.ly/ncZiSK

mizhruuuu :三菱重工が狙われたサイバー攻撃の被害まとめ(原発・防衛関連施設) - NAVER まとめ

NobMiwa :おお、「IHIにもサイバー攻撃 ウイルス感染は確認されず」 http://s.nikkei.com/pwUNrd

sen_u :なるほど。RT @msaitotypeR: この一覧、IPアドレスで見ると片手以内だそうで。静岡は特に。@msaitotypeR 9月18日「大規模日本Webサイト攻撃活動」の成果(Far East Research)

Lawcojp :三菱重工事件で攻撃対象が拡大。同社を含む防衛産業8社が標的型攻撃を受ける。Trend Microによれば、悪意あるPDFファイルをメール添付ファイルとして送信する手口か。

kitagawa_takuji :組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起

keijitakeda :この画面は中国語かな? → 三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析 -INTERNET Watch via @internet_watch

connect24h :続報が出てきた。三菱重工を含む防衛産業8社が標的型攻撃の被害に、Trend Microが分析 -INTERNET Watch http://owl.li/6zpDH

hasegawayosuke :"組織の重要情報の窃取を目的としたサイバー攻撃に関する注意喚起" とりあえず、変なOffice/PDFファイルを開いたときのリスク軽減のために企業内では OFV と Adobe Reader X を入れておくといいですね。


これが本格的な攻撃に使われることになると、現在のインターネットセキュリティ基盤が覆されるようなことなのでちょっと気になりますね。
sen_u :SSL/TLS暗号化に重大な脆弱性、cookiesを復号するPoCも http://bit.ly/p7Pojd

hasegawayosuke :@sen_u こっちのが詳しいけど、既知の方法用いただけで改めて脆弱性が見つかったわけじゃなさそうですね。思ったより解読が速かった、という。


冗談かと思ってましたが本格的にメールはオワコンとなっていくのでしょうかね。
securityshell :Barack Obama’s Email Servers Hacked using XSS

hasegawayosuke :オバマ大統領のメールサーバでXSS使ってメール送信ってことは、これWebメールだったのかな。


その他気になったことはこのあたり。
hasegawayosuke : 45ページ目、マジでこれ導入されるの?

masa141421356 :@hasegawayosuke 新しいインジェクションのネタに見えますね


zusanzusan :IPAフォーラム2011 (@明治記念館,10月27日)


security_inci :[CAPJ] MasterCard(マスターカード)を騙るフィッシング(2011/9/20) - ニュース http://bit.ly/oPcqs5


zusanzusan :Biclique Attack を SQUARE に適用したところ、2^126 で攻撃に成功した模様です。 ”Biclique Cryptanalysis of the Block Cipher SQUARE”Hamid Mala http://goo.gl/zvZGY


kitagawa_takuji :[セキュリティサミット]クラウドやスマホの普及とともに危険が急拡大、その防衛術とは:ITpro http://nkbp.jp/qYNZ1x #itprojp


tessy_jp :O'reillyで全E-Book 50%OFFやってる。 9/28 までっぽい。http://bit.ly/q8zyMt


hasegawayosuke :来週か再来週くらいから、平日夜に HTML5 セキュリティ勉強会を開催しよう。参加者いなかったらいつも通り1人勉強会ということで。


itsec_jp :[Bot] #ITSec_JP SkypeはiOSアプリのXSS(クロスサイトスクリプティング)脆弱性を認識, “懸命に修復中” http://goo.gl/fb/dYxVV

9月17~19日のtwitterセキュリティクラスタ

三連休の合間ということで寝坊しました。

今頃大変なことになっている職場も多いかもしれませんが、軍事機密が多そうな重工が狙われた模様。
NobMiwa :セキュリティ業界が週明けから祭りの予感 「三菱重工 ウイルス感染で調査」 

piyokango :『外部からサーバーなどに侵入され、情報を抜き取られていた痕跡も見つかり』 読売では情報が抜かれたとの報道。 / “三菱重にサイバー攻撃、80台感染…防衛関連も : 社会 : YOMIURI ONLINE(読売新聞)” http://htn.to/ET9Eqe

tentama_go :こちらの記事だと台数書いてありますねー<三菱重工のウィルス侵入。少なくとも約80台だとか。拠点は「神戸造船所」、「長崎造船所」、「名古屋誘導推進システム製作所」(愛知県小牧市)などの製造・研究拠点8か所に、本社を加えた計9か所 http://j.mp/pKPpPF

8zz :ニュー速クオリティ: 三菱重工にサイバー攻撃、約80台のサーバーやパソコンがウイルスに感染 http://dlvr.it/m3f7N

MasafumiNegishi :気になったので読売の記事読んでみた。8月中旬に一部サーバーの感染に気づいてセキュリティ会社に調査を依頼。原子力や防衛関係のデータが保管されているサーバから情報が漏洩した可能性があり、発見されたウィルスはトロイの木馬など少なくとも8種類。長期間にわたる活動の可能性があるとのこと。

MasafumiNegishi :三菱重工の記事とならんで、1面と社会面で標的型攻撃の特集記事。京大の事例では高倉先生のコメントも。全体としては、「日本の中枢の情報はすでに外部に筒抜けになっているが、対応が遅れている。NISCはリーダーシップ発揮できていない。脅威の全体像を誰も把握していない。」といった内容。

NobMiwa :サイバー戦争といって準備を進めている米国に、これで尻を叩かれるのは間違いないか orz

NobMiwa :日本には情報を渡せない、だって、漏れちゃうんだもん、とか言われ、そして米国製のセキュリティ機器を買わされるハメに orz

bakera :[メモ] 三菱重工にサイバー攻撃? ガチのAPTというのもあり得ますが、どうでしょうか……。


@amachangさんのスライドから派生した、json_encodeの文字エスケープについての議論が興味深かったです。
ockeghem :考え方は同意/スライド12の==='image/gif'は!==では?/スライド19のpreg_replaceはd不要かと(json_encodeは/をエスケープするので) / “ウェブアプリのセキュリティをちゃんと知ろう” http://htn.to/mboz1N

amachang :@ockeghem 徳丸さん!ありがとうございます!GIFの件に関しては記述ミスでした><ただ、preg_replaceは意図的にそうしています。 json_encodeが/をエスケープすることはPHP側の出力の仕様であって(続く) http://htn.to/mboz1N

amachang :@ockeghem テンプレートとしてHTMLの値を埋め込んでいる以上、HTMLのCDATAセクションのリテラルを破壊する</はやはり、エスケープすべきだと思います。(続く) http://htn.to/mboz1N

amachang :@ockeghem たとえ、冗長であったとしても。そうしておくことで(HTML と PHP の仕様両方のサイドからきちんと書くことで)将来どちらかの仕様が変更された場合の対応もすばやくできると思っています。 http://htn.to/mboz1N

ockeghem :@amachang コメントありがとうございます。基本的な考え方は賛成なのですが、HTMLのCDATAをエスケープする手段は提供されておらず,結局JavaScriptのエスケープで対応しているところが鬱陶しいところですね。つまり、2つのエスケープは独立しておらず(続く)

ockeghem :@amachang (続き)2つのエスケープは独立しておらず、JavaScriptのエスケープで両方対応しているわけです。たとえば、/を単独で\u002Fと後からエスケープするとおかしくなりますよね。結局、json_encodeの出力を意識しながらやるしかないのでは?

amachang :@ockeghem ただ、 JavaScript が書かれている script 要素のエスケープとして考えた場合どうでしょうか。その場合このようなエスケープを無条件にしてもいいのではないでしょうか。 (続く)

amachang :@amachang すみません。あまりまとまりませんが。 HTML で埋め込んだコードに </ が含まれないことは、やっぱり json_encode 以外のところで保証したいです。 たとえば、 </ を含んでいたら error にするという処理とかはどうでしょか? (続く)

amachang :@amachang そうすると </ を含まないことを json_encode が保証していることを、 HTML として保証できるからです。なんかだらだら長い文章になってしまってすみません><

ockeghem :@amachang こちらこそおつきあい頂きありがとうございます。私も同じ問題意識を共有しています。だから、script要素内の文字列リテラルのエスケープにjson_encodeを用いることには違和感があります。色々難しいところですね

bakera :@ockeghem @amachang ちなみにHTML4.01 AppendixB.3.2では、「</」を「<\/」と出力する例が挙げられています。json_encodeでたまたま / が消えても、それとは別に常に </ を変換するというのは良い習慣だと私は思います。

ockeghem :@bakera @amachang つまり、どっちみちjson_encodeの処理内容を知ってないと正しい処理ができないのが気持ちわるいなーと。脆弱性になるよりはよいというのはもちろんありますが

ockeghem :json_encodeはPHP5.2.0からサポートされているようですが、HP5.2.0(Windows版)で確認したところ、/もエスケープ対象でした。しかし、文書化されてないこの仕様に頼るのは確かに気持ち悪いですね

rryu2010 :@ockeghem json_encode()のマニュアルに明示的に書かれていない挙動に頼るのはイヤな感じがします。JSON_UNESCAPED_SLASHESというオプションがあるのでデフォルトはエスケープされるというのが関数の仕様になっているのだとは思いますが……

ockeghem :@rryu2010 はい。なので、マニュアルに書かれているJSON_HEX_QUOTを使って、<を\u003cに変換すれば、</が現れることはなくなります…そもそもscript要素内を動的生成することがどうかとも思いますけどね

bakera :@ockeghem @amachang すみません、json_encodeの処理内容を知らないと正しい処理ができない、という意味が良く分かりませんでした。json_encodeの結果が何であれ、機械的に </ があれば <\/ にするという処理で良いと思うのですが。

bakera :@ockeghem 激しく同意です。そもそもの考え方として、JSONに必要なエスケープと、script要素内のCDATAに必要なエスケープは別と考えた方が良いと思っています。前者が運良く後者を兼ねていたとしても、後者は後者でやるという考え方には意味があると思います。

ockeghem :@bakera @amachang ごめんなさい。それであれば問題ないです。議論の発端になったスライドは、</を\u003c\u002fに変換しているので、それはまずい場合もあるだろうということです

rryu2010 :@ockeghem タグのエスケープはJSON_HEX_TAGの方ではないでしょうか。オプションの内容が例での出力結果から推測するしかないので、いまいち確信が持てないですが。

ockeghem :@rryu2010 おっとそうでした。amachangのslideshareのコメントにはそう書いていたのに、間違えました。確かに、ドキュメントが例示でしか書かれていないのは気持ち悪いです。そういうこともあって、json_encodeをこの目的で使いたくない気がします

bulkneets :json_encodeで<>を処理すると今までエスケープ適用順序いい加減でも大丈夫だったのがダメになったりする事例はありますよ

bulkneets :json内の文字列を全部htmlエスケープしたいんやーと書かれた[% json | html %]が<>を数値参照にするとある日突然機能しなくなる


具体的なやり方はあんまりつぶやかない方が。
Alice1017 :ツクログに普通にXSS脆弱性があって「あーあ」ってなってる

Alice1017 :だいたいmaxlengthだけでXSSができないとおもってるんじゃねえよww 見事に<censored>ってなってる◯◯◯◯に脆弱性があったww

Alice1017 :脆弱性報告ってそのサービスの運営会社にしたほうがいいんですか?それとも無難にIPAに報告すればいいのかなー

mincemaker :ゼロデイ公開が一番最悪ですよ。


その他気になったことはこのあたり。
kjmkjm :全てのPUPをマルウェアだと言っちゃうと、たとえばVNCもマルウェアになっちゃうんだよね。 mcafee.com/japan/pqa/aMcA… あと、たとえばVirusScan Enterpriseって、初期状態ではそもそもPUPをマルウェアとしては検出しないんだよね。


piyokango :総合・・・。 / “アンチウイルスソフト総合防御力ランキング2011年8月版 - hogehoge速報” http://htn.to/cqrnM2


unixfreaxjp :[Exploit] Sandbox Bypass Vulnerability in Adobe Reader X.- http://x90.es/1rS


sen_u :Nimdaウイルス10周年 http://bit.ly/oJmXk4


ItSANgo :“萩原栄幸が斬る! IT時事刻々:ハッシュ値の有効性 ITに疎い裁判官が起こした問題 (1/2) - ITmedia エンタープライズ” http://htn.to/bVkFR2


piyokango :FireSheepのAndroid版という感じなんでしょうか。 / “Droidsheep : Android Application for Session Hijacking ~ THN : The Hacker News” http://htn.to/yh8U1Z


piyokango :“サイバー攻撃対策、日米初協議…中国に対抗 : 政治 : YOMIURI ONLINE(読売新聞)” http://htn.to/cJ3NeZ


tya_neko :マジコンはaircrackのDSだけのために使うのよ


sen_u :GPSトラッキングソフトのお陰でPCを盗んだ犯人が捕まる http://bit.ly/q3Zp4a


MasafumiNegishi :時事ドットコム:政府HPにサイバー攻撃=満州事変80年で呼び掛けか-中国サイトに書き込み

テーマ : セキュリティ
ジャンル : コンピュータ

9月16日のtwitterセキュリティクラスタ

世間は3連休みたいですね。クラスタも連休しそうですね。

義憤に駆られて学校のサーバを攻撃しちゃった学生さんがいらっしゃるようですが、自分では正義の鉄槌だと思っていても端から見たらただの犯罪者ですので、冷静に第三者機関などに報告するのがよかったと思います。
bulkneets :不正アクセス行為に正当防衛や緊急避難が適用される事例あるか探してるんだけど見つからないので学校サイトの脆弱性が放置されてたら全身にボツボツが出来て白い液体が吹き出し発狂して死亡する奇病にかかっていることにすれば良いのでは?

bulkneets :これのことです(最初の二件しか読んでなかった) http://bit.ly/qjFIjW

ockeghem :同意。ウェブ健康診断仕様は許可を得て実施する前提だが、それでも/etc/passwdではなく/etc/hostでチェックする。不用意に機微なファイルを見ないため / “co3k.org - Blog - たとえ善意の脆弱性の検証であっ…” http://htn.to/eh6wNE


すっかり日本では報道されなくなってしまいましたが。
kitagawa_takuji :8月くらいからのウィキリークス関連の話 #wl_jp http://togetter.com/li/188897


あんまり使い勝手はよくないうえに気がしますが、その分セキュリティは優れているのかもしれませんね。
kitagawa_takuji :「IE 9のセキュリティ」は他のWebブラウザよりも優れている? - TechTargetジャパン 情報セキュリティ


IPAの棚卸しが行われているようですが、私も以前届けてそのままの脆弱性がありますので突然メールとかやってきたりするのでしょうね。
bakera :なんだっけこれ、と思ったら2008年に届け出ていたものでした。3年近く経つともう覚えていないですね。 http://jvn.jp/jp/JVN28973089


その他気になったことはこのあたり。
stonecold316hel :やはり京都府警は悪と結託していたのかw RT @hasegawayosuke: 「ウイルスソフト開発事業者」…。


masa141421356 :XSS vulnerable sample codes are here:


yeldon :Possible #Google #xss exploit?!? Search for ${


mincemaker :すごい XSS ホイホイ http://creaters.eightbit.jp


hasegawayosuke :"()" 使わないでalert動かすのは このへんに書いた。


azu_re :一応再現してみたつもり。PHP滅多に書かないから想定外もありそうだけど。alert(1)を実行させる "XSS Quiz" http://is.gd/TBLhh9


NHK_PR :( ゚д゚ )!彼氏彼女追跡アプリ… っていうか、その前に彼氏彼女発見アプリは? (総合「あさイチ」)

テーマ : セキュリティ
ジャンル : コンピュータ

9月15日のtwitterセキュリティクラスタ

今朝はさわやかな秋晴れで、さわやかな朝を迎えられた方も多かったのではないでしょうか。NHK見とけばよかったw
sen_u :清々しい朝にあさイチを見ていたら、高木先生が登場。


今年もAV Tokyoが開催されるようです。よかったですね。私も参加するつもりですので、ぜひお会いしましょう。そして昼の部はどうなるのやら。
avtokyo :AVTOKYO2011 will held at Nov 12th (Sat). Please join! - no drink, no hack. - http://bit.ly/qXiiGL #avtokyo

piyokango :AVTokyo、去年のように白夜書房と一緒にお昼の部やるんですかね。CTFでTシャツもらいましたよ。


最低落札価格ダダ漏れのシステムの作成元はは富士通だったみたいですね。
ockeghem :愛媛県と愛知県の利用している入札システムはこのコンソーシアムで開発されているようです / “電子入札コアシステム開発コンソーシアム” http://htn.to/N3PF5b

ockeghem :電子入札コアシステム開発コンソーシアムの名簿。開発ベンダーとして富士通とNEC、利用団体として愛媛県、愛知県が載っている。さらに波及の可能性が… / “参加会員名簿” http://htn.to/HwUi2n


セキュリティ企業サイトのXSSということで、ちょっと楽しみですね。
masa141421356 :document.write("<a href=http://example.com?"+document.referrer+">") みたいな事をやっているサイト見つけたけどこれって大丈夫?

kinugawamasato :@masa141421356 少なくともIEではXSSしますね ttp://jsbin.com/otoyid?<alert(1)<script>alert(1)</script>

masa141421356 :例のXSSは直りました。セキュリティ企業のページだったのでこれからどう発表するか観察します


脆弱なSNSっぽいサイトです。以前雑誌の企画で脆弱なサイトを作成しましたが、セキュリティを考えなければいいだけなので、私にも簡単に作れましたよ。
isidai :えええええええこのサンプルプログラム脆弱性大杉なにこれ…と思ったけど明後日のセキュリティ講座の教材に使えるwwwww - php+mysql の会員制サイト(ログインシステcム)サンプル | spls: http://ux.nu/64iTA #miteru

ockeghem :たとえば、セッションフィクセーション脆弱性があるけど、ユーザ名を見るくらいしかできないので面白くない。SQLインジェクションで認証回避した方が楽だしw

ockeghem :確かに脆弱性はある…というか対策は何もしていないが、機能が低いので、あまり面白くない><


その他気になったことはこのあたり。
opera_jp :Android 向け Opera Mobile 11.1 の最新版リリースのお知らせです。セキュリティ問題の修正もありますのでアップデートを推奨いたします。


k4403 :情報処理推進機構:情報セキュリティ:不正な電子証明書発行に関する問題について


kitagawa_takuji :@ntsuji フランスのTV番組でデフコンの忍者が映っていたよ。


kitagawa_takuji :米国のセキュリティ最新事情 - RESEARCH - CIO Online via @ciojapan 「2011年米国CSO実態調査」から浮かび上がる、セキュリティ担当者たちの“今の姿”


QualityCorp :【日本のネット犯罪被害額に驚愕!ノートン、世界のネット犯罪の被害額を試算】 bit.ly/pHcHSx 直接的な被害だけでも1842億円。特に被害に遭っているのは、携帯でネットを使う18~31歳の男性だそうでキュよ。気をつけて!


yuta_hayakawa :辻さんのセミナー視聴done. 全般的に面白いなと思ってみていたけど、特に最後のAnonymous周りの話は複雑な(?)内容なのに要点が整理されていて、わかりやすくかみ砕いて説明していただいているので、とてもスムーズに理解できた気がする。資料ダウンロードしたから、後で見直そう。


mtakeshi :まあもし本当に万が一パスワード強度の問題で再入力しろなんてのが来たとしても、メールからクリックでジャンプするんじゃなくて、手打ちでtwitter表示してパスワード変更。DNSが乗っ取られたときはもうしらん。


tamiyata :Twitterアカウントのパスワード変更をうながすフィッシングが進行中?「twitter パスワード」の検索結果 - Yahoo!検索(リアルタイム) http://ow.ly/6uSOI


kitagawa_takuji :Reverse Shell Cheat Sheet
Reverse shells one-liners


security_1topi :8.xのサポートは2011年11月3日(米国時間)まで。以降、アップデートは提供されないようです。この機会にメジャーアップを。 / Adobe ReaderとAcrobatに脆弱性、バージョン8は11月にサポート終了 - http://r.sm3.jp/2K1y #1tp


hasegawayosuke :「CTF(Capture the Flag)って何?」 slideshare.net/KenjiAiko/ctfc… CTFがどんなのかを伝えるのに、わかりやすいスライドですね。

テーマ : セキュリティ
ジャンル : コンピュータ

9月14日のtwitterセキュリティクラスタ

8月と9月が入れ替わってるくらい暑いですね。困ったものです。

ラックCTOの@dry2さんが学べるニュースにご出演されたそうで、少しだけTLが盛り上がってました。
lac_security :今晩、9月14日(水)20:00~ テレビ朝日「そうだったのか!学べるニュース」にて、弊社CTOの西本逸郎が「そうだったのか!サイバー攻撃」のテーマで分かりやすく解説します。お楽しみに..(^ま) http://tv-asahi.co.jp/manaberu/

110_ :TLを見て、TVを見始めたなう。間に合った!

hiropooh :お、dry2さんテレビでてる

ymzkei5 :パスワード、定期的に変えるw

ymzkei5 :そんな裏話がww RT @shoutman0515: さすがに良く知っている。実はメイクして押えています... RT @ag_ohki: 汗かいてない!ww RT @ymzkei5: 学べるニュース、@dry2 さん、キター。VTRじゃなくて、スタジオに登壇だったとは!(^ー^)

dry2 :語りつくせない裏話。多数! QT @ymzkei5: そんな裏話がww RT @shoutman0515: さすがに良く知っている。実はメイクして押えています... RT @ag_ohki: @ymzkei5: 学べるニュース スタジオに登壇だったとは!(^ー^)

ymzkei5 :あと、有名企業に入社するためにクラッキングの腕をアピールしている、という話がありましたが、これは海外の話で、日本の文化には馴染みませんね。念のため。(今回の番組を観てクラッキング始めないでね。)


ドメインのSSLの評価を行ってくれるサイトができたようで、やることはヘボいSSL使ってるところを晒す流れですよね…
security_1topi :SSLv2や脆弱な暗号スイート、リネゴシエーションが利用可能ではないかなどの結果からSSLの評価を行ってくれます。(「Do not show~」にチェックで結果非公開)診断前にお試しあれ。/ SSL Server Test - http://r.sm3.jp/2JG6 #1tp

ockeghem :SSLの設定チェックにどうぞ(Do not show the results on the boardsにチェックをチェックしておくと恥ずかしくないかと) / ssldb http://htn.to/d2SSSM

ntsuji :このSSL Server Test(http://bit.ly/3EYZEk )でSSLランクの低い企業を晒すというのがはやるんじゃ?とか思ってたんですけどね。。。

gohsuket :おやQualysがw RT @ntsuji このSSL Server Test(http://bit.ly/3EYZEk )でSSLランクの低い企業を晒すというのがはやるんじゃ?とか思ってたんですけどね。。。

ockeghem :@ntsuji こう言うのを見ると燃えそうになりますねw

ntsuji :@ockeghem 流行らせちゃいますか?w


その他気になったことはこのあたり。
bulkneets :そもそもこの記事で取り上げられてるバージョンのjQuery Moble自体にXSSがあるという残念な記事の日本語訳が公開された!!!!


hasegawayosuke :Windows 8 になってローカルアプリも大半が HTML/JavaScript ベースにるので、JavaScript難読化エンジンの需要が高まる予感っ!!


chodenzi :すごいタイトルの発表が「組込み機器の暗号ソフトウェア実装に対する攻撃と対策 - CANON EOSとSONY PS3の事例を踏まえた考察 - 」 QT @css2011: CSS2011 プログラムを公開致しました


jssec_org :無線LANを携帯網に収容も、多様化するオフロード手段 - 無線LANオフロード急ぐ携帯電話事業者 | ITpro http://nkbp.jp/qb20ak


SocialMediaSec :Facebook passwords are not case sensitive


hebikuzure :IE10 の UAストリング、"compatible; MSIE 10.0" とバージョンが二桁になるのでバージョンチェックしている Web サイトは要注意。#html5j #ie10j


wasaist :"複雑さの要件を満たす必要がある" を有効にしてもパスワードの長さを 6 文字以上にする必要が無い http://htn.to/aUaavs

テーマ : セキュリティ
ジャンル : コンピュータ

9月13日のtwitterセキュリティクラスタ

私も原稿を書かせていただいた「無線LANセキュリティの教科書2012」が発売されました。無線LANのセキュリティとクラックに興味のある初心者向けのムックですが、書店で見かけたら立ち読みでもしてみてください。自力プレゼントキャンペーンもはじめました。のでそちらのほうにもどうぞ。

社内的に情報公開を積極的に進めていくWikiLeaksのようなお考えなのでしょうが、真面目に情報漏洩とか考えるのが馬鹿らしくなるような仕様ですね。
KayokoSnothere :HTMLに書いてあるなら誰でもみにいけるね?N社さんはほんと良い話聞かない。RT @yutolife バカすぎる。愛媛県の電子入札システム、最低制限価格がソースに丸見え http://j.mp/nMvtJ5

chisei :「右クリック→ソースを表示、最低入札価格見えたわー!!!!!1俺だけの秘密にしておこう!」って感じなんだろうなー / スラッシュドット・ジャパン セキュリティ | 愛媛県の電子入札システム、最低制限価格がソースに丸見え http://htn.to/8ipfpi

flairgods_rss :【ITメディアオルタナティブ】 丸見え入札システムとgoogleプレイス廃業事件にある「何が問題なのか」というテーマ http://dlvr.it/lLfqg

ockeghem :問題の電子入札システムはパッケージソフトだという気がするんだけど、他の団体には通知して改修しているのだろうか? / asahi.com(朝日新聞社):入札システム、透明性あり過ぎた 4年間丸見え 愛媛県 - 社会 http://htn.to/vHw2A


あまりインターネットから直接リモートデスクトップとかしない気がしますが(クライアントはローカルIPアドレスなのでVPNからですよね普通)、ポート空けてる人は注意しましょう。
jpcert :先日、注意喚起を発行した RDP を対象としたスキャンですが、9/8頃よりまた増加傾向してきています。現在調査中ですが、以前とスキャンの変化が見られるためマルウエアの挙動の変化や、亜種の登場が懸念されます。ご注意下さい。^SK

MasafumiNegishi :TCP 3389番ポートへのスキャン通信の増加 (続報) http://bit.ly/n8n4Vf


CQ誌やラジオライフ的なかんじですが、WiFi的には電波法違反だと思います。
slashdotjp :http://bit.ly/n1zjBK #tech ビール缶を使った超簡単 Wi-Fi 信号増幅装置


その他気になったことはこのあたり。
jpcert_ac :実行ファイル形式のマルウエアを添付した迷惑メールが8月頭頃から増えています。実行ファイルなのでウイルス対策ソフト等で読む前に駆除される率が高いですが、過去には並行して類似の内容でマルウエアをダウンロードさせるURLが記載されたメールが送られてきたこともありますのでご注意を。^TM


rryu2010 :えっ。「パスワードを頻繁に変更することが重要であるのと同じ理由で、AWS は、アクセスキーと証明書を定期的に循環させることを推奨しています」 / AWS セキュリティセンター (AWS Security Center) http://htn.to/p3Na46


connect24h :なるほど。いろいろとハードルは高そう。サイバー戦において、我が日本がなすべきこと | LAC http://bit.ly/qgReqI


FSECUREBLOG :フィンランドの複数の銀行でマンインザミドル攻撃:  現在、「Nordea」および「Osuuspankki」という、少なくとも2つのフィンランドの銀行に対し、複数のマンインザミドル攻撃が進行中だ。  両行はワンタイムパスワー... http://bit.ly/mSpkYj


tessy_jp :インドでWirelessCTFとかあったのか Securitybyte Conference 2011 - India's Largest Information Security Conference http://bit.ly/nRa6P4


xRuFI0x :Teams sutegoma2 and Dutch Orange Glasses have registered for #HITB2011KUL CTF. Sign up quick! Registration closes on 4th October 2011.


piyokango :9/15に延期。 / 証明書発行再開延期のお詫び | SSLサーバ証明書ならグローバルサイン http://htn.to/Ra4QyW


edubasejp :edubase Streamでは、トップエスイーで行われた講義を、授業パッケージとして公開しています。「形式仕様記述」「ウェブ工学」「要求工学」などのテーマがございます。 http://stream.edubase.jp/packages


sophosjpmktg :★和訳しました★ルート権限を取得するコード Android Gingerbreak を悪用する初のマルウェア


hasegawayosuke :3042、82A0、A4A2 くらいは試験にでるので覚えておくといいですよ。

テーマ : セキュリティ
ジャンル : コンピュータ

9月12日のtwitterセキュリティクラスタ

結局証明書の信頼性はどうなるのでしょうかね。SSLはオワコンとかになったりするんですかね。
piyokango :サイバーディフェンス社が監督。『明日の午前中を目処にサーバ機器の取り換え、システム再構築を完了し、脆弱性診断などの最終的な安全性の確認されましたら検査が完了』 @GlobalSign_JP 【続報】証明書発行再開の見通しについてのご連絡 http://bit.ly/qbsBjB

tdaitoku :GlobalSignのWebサーバに不正アクセスの痕跡、業務は順次再開へ


ヘリだけなら3万しないので、作ってみたいですね。
sophosjpmktg :600 ドル以下で制作できる自作のラジコンヘリコプターを悪用した WiFi 攻撃でネットワークへの侵入が可能に (英語)


意外とファイルのやりとりやパスワードの交換には気をつけない人が多いのかもしれません。ルータの向こうでは何が起こっているかわかんないんですけどね。
kitagawa_takuji :WikiLeaksアサンジからGuardianデービッド・リー記者への米外交公電ファイルの受け渡し方法の技術的問題についてはあまり議論されていない様に思える #wl_jp

kitagawa_takuji :アサンジがWebから記者にダウンロードさせたのは、公電ファイルcables.csvを7-Zipで圧縮し、更にそれをPGP(GPG)により共通鍵暗号で暗号化したものだった。これって7-ZipでAES256の暗号化をするのと強度は変わらないんじゃないか? #wl_jp

kitagawa_takuji :パスワードを紙に書いて渡したのも問題だが(途中に挿入する単語のみ口頭で伝えた)わざわざ記者にPGPをインストールさせたのなら何故そこで鍵ペアを生成させ、記者の公開鍵でファイルを暗号化するという正しいPGPの使い方をしない?(PGPの共通鍵暗号はおまけ機能に過ぎない) #wl_jp

kitagawa_takuji :PGPの公開鍵暗号(ハイブリッド暗号)を使用していれば例えファイルが流出したとしても秘密鍵を持つ本人以外は復号できない。ガーディアンも鍵ペアを本に記載するまではしないだろう。 #wl_jp

kitagawa_takuji :そもそも遠隔地にいるならともかく、2人ともロンドンにいて何度も直接合っているのに何故わざわざネットからダウンロードさせる必要があるんだ #wl_jp


その他気になったことはこのあたり。
piyokango :Firefox(6.0.2)とChrome(13.0.782.220)のExploit 動作確認動画。いずれも最新ver。IEの動画はないが対応しているとの文言も。 / Firefox exploit 6.0.2 http://htn.to/oeca7S



kaito834 :Webサイト閲覧履歴を管理するセッションIDが(一部のGoogleサービスで)平文で送信されるから、Firesheepと同じ手法で盗られると話かな Google Web History Vulnerable to Firesheep... http://bit.ly/ougJNq


brink_brink_rss :CyberAgent: 【DEFCON 19th】CTF 結果報告会を行いました http://amba.to/n4RRIz


kitagawa_takuji :マカフィー、医療分野のセキュリティ対策の現状と今後の課題を解説 http://t.asahi.com/3w8h


cloud__watch :FFR、Android端末を出荷前に解析するセキュリティ分析サービス http://bit.ly/mZK4vo


jssec_org :ITmedia Virtual EXPO 2011 プレビュー:スマートフォンのセキュリティの“落とし穴”をどうふさぐ? | ITmedia エンタープライズ


madonomori :更新: “Highly critical”の脆弱性を修正したパケット解析ソフト「Wireshark」v1.6.2 http://bit.ly/rrrvea


markwat1 :#カレログ カレログをインストールされない一番の方法は、カレログチェッカーをインストールすることじゃなくて、カレログに一度登録し、管理画面で退会処理を行うことの様だ。 作業は簡単、二度と登録できなくなる。 システムが穴だらけだなぁ

テーマ : セキュリティ
ジャンル : コンピュータ

9月9~12日のtwitterセキュリティクラスタ

サーバー費用を稼ぐためにしばらくホテルに缶詰で仕事していました。締め切り間際の作家先生のようですが、どちらかというとタコ部屋の方に近いかんじでぐったりです。そんな中でちょっとだけ目に付いたものをピックアップ。

ockeghem :mixiモバイルって今でもケータイIDでセッション管理しているようですね。Cookieオフにしたケータイで使っていても、URLにセッションIDつかない。iモードとソフトバンクで確認


tentama_go :グローバルサインから不正アクセスの中間報告が。www.globalsign.comには侵入形跡が。このサーバーは米国のグローバルサインのサイトのみを管理するもので、今のところ他のシステムへの侵入は確認されてないみたい http://j.mp/oLtHmD



ockeghem :講演資料公開しました / HASHコンサルティングオフィシャルブログ: 9月10日PHPカンファレンス2011で講演しました http://htn.to/bChNmG


piyokango :何となく書いてみました。 #phpcon2011 /PHPカンファレンス2011で安全なPHPアプリ開発の10の鉄則を聞いてきた。 http://bit.ly/nJNsFJ


hasegawayosuke :「徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011」、よく内容まとまってる。


ockeghem :石井さんの本は、さすがにDBの説明は充実していて、他の入門書とは一線を画しています。この本、PHPで四則演算するところから始まっていて、入門書の体裁ではあるんだけど、想定読者がよく分からない本ですね。 Linux上でビルドはできるけど、プログラミングはしたことない人、という感じ


ockeghem :突っ込みどころ多数。IsNullPoisoned関数に"\0abc"入力したらどうなる? 著者はPHPをなめている。それに、jQuery Mobile の話題はどこに? / jQuery Mobile で Web アプリケーションのセキ… http://htn.to/ggS8Gr


tentama_go :携帯ゲームサイト「グリー」でデータを改ざんした容疑(電子計算機損壊等業務妨害と不正アクセス禁止法違反)で東京都のシステムエンジニアを逮捕。利用者約130万人が被害だそう。それにしても派遣終了前にウィルス仕込んでたって・・ http://j.mp/rcLf6R


sen_u :こちらもどうぞ 「自分でできるWebアプリケーション脆弱性診断」 http://slidesha.re/b2eBze RT @connect24h: オープンソースでセキュリティ診断 10/1 http://bit.ly/ncXHNv #spcamp


sen_u :20の有名サイトにXSS脆弱性 http://bit.ly/mQaPfS


HiromitsuTakagi :例の本。p.44。「まずは「ドコモ あんしんスキャン」で対策してみよう」「GLALAXY SIIは購入したばかりの状態だと、ウイルスなどに対してほぼ無防備…まずは…ドコモ…ウイルス対策アプリをダウンロード…McAfee製のもの。一番最初のウイルス対策としては、十分すぎる性能だ。」

テーマ : セキュリティ
ジャンル : コンピュータ

9月7日のtwitterセキュリティクラスタ

実は今日から土曜日まで出張なので今週の更新は今日までとなります。ではー。

最近はやりの「ザ・インタビューズ」にはCSRF脆弱性があってパスワードリセット可能だそうです。
bulkneets :開発担当者これぐらい読んでるでしょ http://bit.ly/qMncO3

mincemaker :まだCSRF対策されてないのか。200万PVとかインタビュー受けているのにたいへんですね。

bulkneets :ザ・インタビューズ最初っからパスワード再設定の機能ありましたっけ?

inoshiro :@bulkneets 8月29日に機能追加した旨のアナウンスがfacebookで流れてました。

bulkneets :ペパボ各位、ザ・インタビューズの担当者、アホです。

bulkneets :メールアドレスの変更にCSRF対策が無いままでパスワードリセット機能をつけてはいけません!!!!!

bulkneets :ハマチヤさんもこう言ってるしCSRF対策は流行ってからでも良いんだー → アカウント乗っ取れるようなCSRF放置


そして、徳丸さんの入門書チェック完結編。
ockeghem :日記書いた / PHPのイタい入門書を読んでAjaxのXSSについて検討した(3)~JSON等の想定外読み出しによる攻撃~ - ockeghem(徳丸浩)の日記 http://htn.to/oTTEUH

s_hskz :@ockeghem 「HTMLエスケープをサーバー側で行う」メリット、よくわかりません。定石の出力する直前にエスケープという意味では、クライアントの JavaScript層がinnerHTMLやwrite()等でHTMLを出力する直前にHTMLエスケープすべきかと…ご教示下さい。

ockeghem :@s_hskz 原則はそうですが、(1)高速化のためあらかじめHTMLレンダリングしたものをDBに突っ込む、(2)ブログのように仕様としてHTMLを書き込めるもの、(3)JSコーダがヘボなので、サーバー側でエスケープしないと心配・・・のような事情を観測しております

s_hskz :@ockeghem ご指導ありがとうございました。「JSコーダがヘボなので、サーバー側でエスケープ」というのはなんとも強烈ですね。

ockeghem :@s_hskz そうなんですが、なんとも妙な説得力を感じました(苦笑

bulkneets :メールアドレスの変更は「他の脆弱性(XSSなど)があった場合に備えて」「本人再確認の意味も兼ねて」パスワードの確認を入れればいい。


認証局が攻撃されてしまいグローバルサインの業務停止だそうです。
GlobalSign_JP :一連の認証局ハッキング犯を名乗る人物のブログにおいて、複数の認証局をハッキングしたとの声明がありました。弊社の名前も含まれているため調査を進めております。

kitagawa_takuji :RT @GlobalSign_JP 証明書発行業務停止のご連絡及びお詫び | SSLサーバ証明書ならグローバルサイン http://bit.ly/qTuGDZ

MasafumiNegishi :ComodoHackerが DigiNotarへの犯行声明の中で言及した他のCAの反応。GlobalSignは調査中とのこと。調査完了まで証明書発行業務を停止。 Security Response via @globalsign

nao_pcap :"詳細についての調査が終了するまで" 証明書発行業務停止のご連絡及びお詫び | SSLサーバ証明書ならグローバルサイン

MasafumiNegishi :もう一つ ComodoHackerに名前を挙げられたのは StartCom(StartSSL)だが、ここは6月にも不正侵入されている。もうダメダメだな。

kitagawa_takuji :@MasafumiNegishi StartComはWebサイトのデザインからして素人ぽいのですが、高木先生のところでも使われていますね。http://takagi-hiromitsu.jp

piyokango :#mycomj http://j.mp/qdoZxZ 偽証明書531個へ増加、調査進行中でさらに増える可能性 - DigiNotar問題


その他気になったことはこのあたり。
hasegawayosuke :いい加減、この間違いサンプルなおしませんかね>IPA hasegawayosuke :脆弱性の種類:クロスサイトスクリプティング


ymzkei5 :URL中の数値をずらしたら、他人の個人情報が書かれたPDFが閲覧できたと。 RT @MasafumiNegishi: お粗末… Toshiba in Rugby World Cup personal data compo cockup http://bit.ly/r9S9Eo


satorukanno :OpenSSL version 1.0.0eがリリースされた! @openssl.org/msg00107.html


hasegawayosuke :「国際レベルのセキュリティ技術者・研究者発掘の為のサポートセミナー 」 iajapan.org/bukai/isec/eve… こういうCFPとか、落ちてもいいのでどんどん応募すればいいと思う。って @07c00 さんが言ってた。


kenji_s :Togetter - 話題のPHP入門書『作りながら基礎から学ぶPHPによるWebアプリケーション入門』について http://ow.ly/6lg7a


biac :#カレログ 「弊社が企画に関わった書籍に関する不適切表現のお詫びについて」 http://karelog.jp/

テーマ : セキュリティ
ジャンル : コンピュータ

9月6日のtwitterセキュリティクラスタ

そろそろ今月も@ITの連載「Twitterセキュリティクラスタ まとめのまとめ」が公開されるはずですよ。見てね!

叩かれまくっているカレログですが、どうやらAndoroidのムックと連動して、ムックの方にやっちゃいけないような使い方が解説されていた模様。
そういや昔の無線機だと違法な方は隠し機能としてあってジャンパを切ったり隠しコマンドを入力する必要があったなあと思い出しましたがカレログはど直球なので困りますね。
Benjamin_jp :@HiromitsuTakagi このアプリの開発元の株式会社 サン・クロノ・システムズの東中野制作ルームは有限会社マニュスクリプトと同じビル。

HiromitsuTakagi :お急ぎ便で発注完了。 http://amazon.co.jp/dp/4845839512/

HiromitsuTakagi :「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」のところは、どんな内容になってますかー? RT @Benjamin_jp 入手した

Benjamin_jp :@HiromitsuTakagi リイド社の宣伝と記事名は異なります。全96頁、p.90に全面掲載。『裏を返せば女性の行動も把握』とスマホ使用者の許諾を得ない前提の記事。『くれぐれも悪用厳禁!』とあり。

Benjamin_jp :@HiromitsuTakagi 記事名は『大事な彼女の行動をチェック!』Sさんが彼女に不審を抱き試してみましたというもの。『しかもアプリアイコンが評価されないのでアプリが作動している事も悟られないのだ。』の表現 あり。開発者の避けていた表現をズバズバ書いてる。

Benjamin_jp :@HiromitsuTakagi 『彼氏行動追跡アプリ「カレログ」karelog.jp』Sさんの彼女が母親と墓参りといいつつ某温泉に行っていたことがわかったので、彼女と一緒にいる時間を増やし連れ出してあげることが増えたというシメ。

noboru_murata :#カレログ 残念だけど、マニュスクリプト社にはクロの疑いが濃い訳だから、我々が探偵の真似をしなくても司直が動くべきだったと思う。まあ、システムの裏技を解説したくらいで当局に目をつけられる世の中は生き辛いけれど、自前のソフトウェアの悪用法を解説したんじゃ「指導」どころじゃ済まない。

ymzkei5 :あら。>“一方、刑事事件になるかについて、落合弁護士は「適用条文が思いつかない」と話す。” RT @kitagawa_takuji: スマホ用追跡アプリが騒動に 勝手に行動を監視される危険も - MSN産経ニュース

bulkneets :カレログの是非と関係なく、どれだけ理論武装してても悪用されるために作られましたと決めつけられ炎上する様子や、メディアが取材で言ってもいないことを勝手に書くといったことについて、ソフトウェア開発者はもっと危機感を感じたほうが良いと思いますよ


一方もう一つ、出した側は眠れない日々を過ごしているほど叩かれてる「作りながら基礎から学ぶPHPによるWebアプリケーション入門」についてです。想像以上にひどいみたいですが、これだけひどいと出した側にも事情があったりするのかもしれませんが…
rryu2010 :想像を上回る内容に耐え切れなくなって「作りながら基礎から学ぶPHPによるWebアプリケーション入門」を買ってしまった。

bakera :最初の章の最初の文章が「ただし、」で始まる本は初めて見ました。まさかその前の扉ページに本文が書かれているとは……。編集もかなり斬新ですね。 > 「作りながら基礎から学ぶPHPによるWebアプリケーション入門」

ockeghem :@bakera おお、購入されたのですか。あるいは、@rryu2010 さんのかな?

rryu2010 :@ockeghem 私が購入したものです。Content-Descriptionとか、すごい間違いがあって想像以上のものでした。

ockeghem :@rryu2010 Content-Descriptionとかあったっけ、と思ったら、見出しがそうなっていますね。それと連動して索引も。本文とサンプルスクリプトはあっているのに、これは編集・校正の怠慢でもありますね

rryu2010 :@ockeghem 調べてみたらMIMEの方にContent-DescriptionがあってContent-Dispositionと組み合わせて使うっぽいので、どこかからコピペして直しそこなったのかもしれません。説明に「メールメッセージ本文とは別に」と出てきますし。

ockeghem :@rryu2010 P99~P100は、ひどいですねぇ。P99の(2)の箇所では、$fileは未定義で、その次の行で$fileがセットされてますし…変数の未定義は何カ所も見つけましたが。ブログでは書きませんでしたが、この品質だと回収しろよと思いました

rryu2010 :@ockeghem P.280のJSに var updir_i = "./img/"; というコードがあって、すわディレクトリトラバーサルか、と思ったら使ってなくて大丈夫だったというのもありますね。しかも(4)の番号が振ってあるのに本文中での言及なしとか、本当にひどいです。


上記XAMPP/jQuery/HTML5で作るイマドキのWebサイトには必要となりそうなJSONハイジャックについて。ブラウザー次第という面もあるみたあいですが。
ockeghem :JSONのセキュリティを説明する上で、いずれはJSONハイジャックについて書かないといけいないと思うんですけど、現在アップデートされているブラウザではこの攻撃成立しないという気がするんだよね。 「いやいや成立するよ」という情報あります?

hasegawayosuke :@ockeghem 手元の Andoroid なブラウザでは __defineSetter__ による JSON Hijacking が未だに有効ですね。Opera mobile、Android版Firefoxでは修正されています。

hasegawayosuke :@ockeghem あと言わずもがなですが、IE + UTF-7 は健在です。

ockeghem :@hasegawayosuke 以前ブログに書いておられたやつですか? IE7までは有効という…

ockeghem :@hasegawayosuke 今確認しました。確かに動きますね。まだ現役の攻撃手法ですね。しかし、さすがです

hasegawayosuke :@ockeghem はい。レスポンスヘッダのcharsetより要素のそれが優先されるという悲劇です。

ockeghem :@hasegawayosuke ありがとうございます。そちらは、対策は別に考えないといけないですね


その他に気になったことはこのあたり。
piyokango :マルウェア Morto に見る、強固なパスワードの重要性 - 日本のセキュリティチーム - Site Home - TechNet Blogs :


itm_ve :ITmedia Virtual EXPO 2011のご参加は【無料】ですよ~!必要事項にご記入いただき、来場登録していただければ事務局からその後のご案内させていただきます! http://ow.ly/6m95X #itm_expo


Hagexx :怪しい、怪しすぎる。怪しすぎて毛が抜けた。謝罪と賠償を(略 アメブロ攻略ソフト自動WEB巡回ブラウザ - ハイパークリックシステム龍馬 http://goo.gl/oChkR


satorukanno :OpenSSL version 1.0.0eがリリースされた!
GlobalSign_JP :一連の認証局ハッキング犯を名乗る人物のブログにおいて、複数の認証局をハッキングしたとの声明がありました。弊社の名前も含まれているため調査を進めております。


テーマ : セキュリティ
ジャンル : コンピュータ

9月5日のtwitterセキュリティクラスタ

引き続き@ockeghemさんの新刊PHP書籍に対するツッコミが。
ockeghem :日記書いた[再] / PHPのイタい入門書を読んでAjaxのXSSについて検討した(2)~evalインジェクション~ - ockeghem(徳丸浩)の日記 http://htn.to/iubu8g

masayukisakai :>i<を思い付く発想力を何とか他に生かせないものかRT @ockeghem 日記書いた / ockeghem(徳丸浩)の日記 http://htn.to/iubu8g

imatake_jp :昔BBSのデータが“><”は混入はしないのでカンマより確実(楽)って理由だった気が QT @ockeghem: 日記書いた (中略) ockeghem(徳丸浩)の日記 http://htn.to/iubu8g

ockeghem :うーむ、区切り記号としての i要素のインパクトが強すぎたようだ。そりゃそーだよなw

ockeghem :敢えてブログでは指摘しなかった(うるさくなるので)けど、$rows = mysql_query(... の$rowS も勘違いの可能性が高いです。行数ではなく、resouceを返すのに、大なり記号で 0 と比較しているので

ockeghem :最終回となる次回が、一番の山場なんだけど、なんか「手ぐすね引いて待っている」感が強いねw 気のせいかしら


昨日のJSONのセキュリティについてのご意見。
bulkneets :JSONPならJSONPを使う時点で相手を信用してしまっているので、はいこれがHTMLエスケープ済みのデータですと言われて出力するのは別におかしくないというか、一貫性があるというか。

bulkneets :JSONで記号を数値参照にした方がいい理由は、HTMLのscriptタグ内に埋め込むケース、開発者がアホでcontent-typeを適切に吐いてないケース、ブラウザがアホでcontent-type無視するケース(IE6)

hasegawayosuke :@bulkneets text/javascript はIEにとっては未知のContent-Typeなので、*.cgi or *.exe or *.dll ならquery末尾に、そうでないならPATH_INFOに *.html ってつければhtml扱いになります。(IE7で確認

hasegawayosuke :@bulkneets JSONじゃないけど。

bulkneets :@hasegawayosuke ああなるほど。text/javascript既知じゃないんですね。。拡張子なしquery末尾付加しかできないケースでIE6でしか再現しない、というのが多かったので勘違いしてたっぽいです。


カレログ高木せんせいに叩かれまくりでなんだかかわいそうになりますね。子供の監視とか社員の監視とか言っとけばスルーされたかもしれないのに…
itmedia_news :「カレシの行動丸わかり」な「カレログ」をMcAfeeがスパイウェアと認定^編 http://bit.ly/qcEvoN

bulkneets :カレログ入念に理論武装してたはずなのにネット取り調べによって無理やり自白させられてる感がある。アイコン偽装は彼のメンツを守るためって書いてあったでしょ


最近DNSがらみの攻撃が多いですね。サイト狙うよりDNS攻撃して偽サイトに向かわせた方が便利だと思ったのでしょうか。
MasafumiNegishi :トルコのハッカーグループによる大規模な DNSハイジャックが発生。DNS hack hits popular websites: Daily Telegraph, The Register, UPS, etc http://bit.ly/oszMws

MasafumiNegishi :つい最近、韓国の Gabia.comを攻撃した TurkGuvenligiのようです。

MasafumiNegishi :影響を受けたドメインの Whoisみると、いずれもレジストラは Ascioで、ドメイン管理は NetNamesのようだ(同じグループ会社)。まだプレスリリースなどは出ていないもよう。



その他気になったことはこのあたり。
_defcon_ :The DEF CON 19 Archive Page is up, slides posted!


ScanNetSecurity :日本の銀行を不正利用するSpyEyeウイルスに注意--8月度ウイルス届出状況(IPA/ISEC) http://lb.to/p2WUfK @ScanNetSecurity


avkhozov :#HackerDom announced #RuCTFE 2011 http://ructf.org/e/2011/


_nat :しかし、今年は、Comodo, StartSSL, DigiNotar とCAがやられるケースが多いな。多分、氷山の一角なんだろうな。 #pki


geekpage :ブログ書いた:解雇されたエンジニアが取引先システムに侵入


piyokango :7月末ぐらいから騒ぎになっていたネットバンキングの不正アクセス(SpyEye)に関する話題。/情報処理推進機構:情報セキュリティ:ウイルス・不正アクセス届出状況について(2011年8月分)http://bit.ly/rtEIFN


connect24h :ITpro セキュリティ - スマホ向けセキュリティ製品/サービス勢ぞろい(週末スペシャル) http://nkbp.jp/oq0n3J


indicatives :通信販売大手のセシール、約3万5千人分の顧客情報が外部に流出 と発表。(2011年9月5日20時41分 読売新聞)関係者が業者に売却か。 セシールはフジテレビの100%子会社フジテレビ「個人情報売るよ、金に換えるよ」フジの既婚板への報復だな...。


turusuke :XSSの攻撃手法いろいろ - うなの日記 http://htn.to/hGksqa

テーマ : セキュリティ
ジャンル : コンピュータ

9月2~4日のtwitterセキュリティクラスタ

GoogleのDNSサーバーのレコードが攻撃されたのか、違うレコードが表示されていたようです。何があったのでしょうか。
akedon :久しぶりに日記書いてみた。8.8.8.8 にDNSポイゾニング? > gmail.jp のDNS応答が…

totoromasaki :@null @takoratta @hidetokazawa @Fumi abuse@google 宛にメール(#864295328)を送りましたが、gmail.jp に於いて、whoisのDNS情報と、実際に使われてる nslookup のnsレコードに、差異が出てます。

akedon :gmail.jp のリソースレコードは 8.8.8.8 からは消えたっぽい、おつ>中の人


AJAXやJQueryなどでのXSSは単純でないものが多い気がしますので、対策する側は簡単ではないのだろうなと思います。うまく着地点が見つかればいいのですが。
ockeghem :日記書いた / PHPのイタい入門書を読んでAjaxのXSSについて検討した(1) - ockeghem(徳丸浩)の日記 http://htn.to/dNfP71

ockeghem :第2回はだいたい書いています。第3回は半分くらいで、対策がまだ書けてない。第3回は、JSON等の直接ブラウジングの話題です

hasegawayosuke :HTML側はjQuery 使ってても、やり取りするAjaxのデータ部分を直接ひらいてXSSとか。

ockeghem :@hasegawayosuke それは第3回に取り上げる予定です

hasegawayosuke :@ockeghem はい、そう期待して今はコメント差し控えていますw ただ、そのためには今の時点で「生データの原則」を強調し過ぎるのは…とちょっとだけ思いました。

ockeghem :Ajaxのセキュリティにどういう問題があって、どうすれば防げるかというのは一応おっかけているつもりだけど、今回のをきっかけに、「どう書くのが正しいのか」という議論の *きっかけ* にしたいです。いきなり正解が書けるとは思っていません

hasegawayosuke :Ajaxのセキュリティについて、XSSについては自分のなかでは正解もってるけど開発してる人の現実とはたぶん合致してないし、XSS以外のプライバシー的な面についてもっと勉強しないとマズい感じ。


その他気になったことはこのあたり。
MasafumiNegishi :20才と24才の男性2人がイギリスで逮捕。うち一人は Kaylaか? - Suspected hackers arrested over Anonymous/LulzSec internet attacks http://bit.ly/o0QSsA

MasafumiNegishi :ちなみに先程の Kaylaは LulzSecのコアメンバー6人のうちの1人で、2月の HBGary Federalへの侵入を主導した人物だと言われている。過去のインタビューなどでは16才の女性であると自ら語っていたが、実際には男性であると言われていた。


gloomynews :Wikileaksが米公電全部を修正なしで公開した件で、オーストラリア政府がアサンジ氏を起訴する可能性。同国の情報局員の身元が暴露されているとして、マクリーランド司法相が犯罪行為にあたると説明。 http://goo.gl/X5lW4※ガーディアン紙の陰謀か?!


piyokango :最近RSSのPRでよく表示される「セキュリティ対策にRSSを活用! - クリック1回でRSSに最新セキュリティ情報が集まる!OCNセキュリティ♪」を見てみたでござるの巻。 https://www.sec.ocn.ne.jp/


matsuu :[share]ほへー http://j.mp/o6FELb RSA、AES暗号をJavaScriptで実現できる「cryptico.js」


mayahu32 :[kernel][Alfheim]カーネルモードデバッガ「Alfheim」の開発に着手しました


hasegawayosuke :IPA 棚卸シリーズの一環。2007年の届け出。 "JVN#30221194: Sage において任意のスクリプトが実行される脆弱性"


jkwkc :TrueCrypt 7.1 was just released. http://truecrypt.org


roaring_dog :Check Point Experience Report:セキュリティはビジネスと人に立脚すべし、Check Pointが新構想 - ITmedia エンタープライズ

テーマ : セキュリティ
ジャンル : コンピュータ

9月1日のtwitterセキュリティクラスタ

台風が近づいているようで、蒸し暑くて嫌な天気です。

ウィキリークスが情報提供者情報までリークしてたみたいですね。すごい。
akof :栞:この流出はヤバい...匿名のはずのウィキリークス情報源がダダ洩れの疑い! http://j.mp/plBpr1

ntsuji :ウィキリークスリークス?w / ウィキリークスが機密扱いの情報提供者の実名を公表 - http://bit.ly/qKt2gf


こんなに自由度が高いのを知ってAndroidマシンがほしくなってきました。誰かくださいw
HiromitsuTakagi :韓国では、一足早くカレログのようなAndroidアプリが出ていたそうで、その名を「????」(オッパミッチ=お兄ちゃんを信じているよね)と言うそうで 、登場とともに日本での「カレログ」と似た反応が起きた様子で、違法性を指摘する声もあったとか。http://getnews.jp/archives/139066

dsp74118 :専門家のご意見を是非お願いします RT @Toshimitsu_Dan:専門家が見たら駄文なんですけどね。RT @doronpa55: Androidアプリ『カレログ』の違法性について、産総研のセキュリティ専門家 高木浩光先生が語る。 http://togetter.com/li/181339

biac :Micro Keylogger microkeylogger.com Win7 64bit対応、ロギングデータはこっそりメール送信とか。まぁ、こういったソフトもけっこう売られてるんだが、知名度は #カレログ の1万分の1以下だろうw


その他気になったことはこのあたり。
bulkneets :DNS Rebinding対策でブラウザはDNSのTTL無視する仕様があります。Amazon ELBはTTL60秒で最近まで別のサービスが使ってたIPアドレスに強制的に切り替わることがあります。その結果、管理者別のサービスに認証 Cookieとか送ったりしちゃいます。悪いのは誰?


kaito834 :Wireshark 1.5.1 からHTTP通信だけではなくSMB通信で転送したファイルもエクスポートできるようになったみたい。


suiseeda :PDF をブラウザに表示 でRange が送信されるぽい RT @suiseeda range 出すのはこれ?? Enable Fast Web View in a PDF http://adobe.ly/oSfn34


madonomori :更新: Opera、深刻度“High”の脆弱性を修正した「Opera」v11.51を公開 http://bit.ly/nBCkee


ucq :こんなしょぼいもん解析させるなよってくらいなマルウェアは滅べばいいのに


miryu :大手のサイトはエライ人とかスーパーハカーが脆弱性を見つけてくれるから安心して利用できる


ntsuji :( 谷)ノ ←なんとなくlulzsecっぽい

テーマ : セキュリティ
ジャンル : コンピュータ

8月31日のtwitterセキュリティクラスタ

寝坊しました。

引き続きカレログ関連。予想以上の叩かれっぷりに早速お詫びが出てますね。
wasaist :例のカレログのまとめ / Androidアプリ「カレログ」の鬼畜っぷりまとめ - NAVER まとめ http://htn.to/6m7C14

sakichan :カレログは反発を買ったが、これが「親が子どものスマートフォンにインストールするもの」という外見をまとった瞬間に、狂喜する教育専門家とか、インストール義務化を画策する地方政治家とかが出るんだろうなぁ…。

security_1topi :話題のパートナー追跡アプリ「カレログ」。その対抗策ともいえる位置情報偽装アプリ「Location Spoofer」。技術には技術で対抗するもよいですが、アプリや回線の向こうには「人」がいることを忘れてはならないですね。技術だけでは根本的に解決できないこともあるのかも。 #1tp

HiromitsuTakagi :カレログの革新性は、ステルスな設計にするにあたり、それを正当化する「彼氏が彼氏の友達に見られても大丈夫。男のメンツも守ってあげなきゃね♪」という抗弁を編み出した点にあると言えるだろう。カレ・カノというコンセプト全体自体が、そこに至るための後付けである可能性もあるのではないか。

cheebow :「「カレログ」からのお詫び」きてた [B!] "カレログ" http://karelog.jp


kernel.orgがやられてしまったようです。
_MDL_ :kernel.org compromised. http://pastebin.com/BKcmMd47

ivanristic :Kernel.org has been hacked (see site news) http://kernel.org // via Hacker News http://bit.ly/on1Ddd

sen_u :kernel.orgへのハッキング、17日間rootkitが潜伏? http://bit.ly/mRzgfN


FFFTPが開発終了とのこと。とはいえ世の中がSFTPやSCPに移行したかというとちっともそういうことはないですね。
risa_ozaki :国産のFTPソフトとしては最もよく知られているソフトの一つだった「FFFTP」の開発が終了しました。これは作者のSotaさんが明らかにしたもので、その理由は「開発を継続するためのモチベーションが維持できなくなった」とのこと- GIGAZINE http://j.mp/qQe86o

h_okumura :FFFTP開発終了,長い間ありがとうございました。皆さん危険なFTPやめてsecureなプロトコルに移行したということですよね http://www2.biglobe.ne.jp/~sota/


ようやくリリースされたApache2.2.20について。
ymzkei5 :Apache 2.2.20 は、Range: bytes=-1 を指定すると、Content-Range: bytes 0-1/x で返って来るままリリースされたのね。最後の1バイトではなく、最初の2バイトが返って来る。RFC的にはアレかも知れないが、セキュリティ診断的には便利w

tkusano :Apache HTTP Server 2.2.20 はこのままでいいのか、の議論はこちら


その他気になったことはこのあたり。
gohsuket :check RT @security4all Watching BlackHat USA 2011: SSL And The Future Of Authenticity by Moxie http://youtu.be/Z7Wl2FW2TcA


connect24h :「ISEC 2011 CTFに手も足も出なかったー」という方向けに情報を集めて見ました。(主に日本語)CTF参考資料(私メモ) #spcamp


kaito834 :Androidマルウェア向けの解析ツール「APKInspetor」、「DroidBox」の紹介記事。 / New Free Tools Simplify Analysis Of Android Malware - Dark Readi… http://htn.to/AENSPP


kjur :Windowsの信頼リストにあるStaat der Nederlanden Root/Overheid CAもDigiNotarと相互認証しちゃってるので影響あるんだそうだ。

eEye :New Versions of #Chrome and #Firefox Disable DigiNotar Root via @threatpost http://dlvr.it/jcKx7 #infosec

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
09-2011
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

08   10

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。