スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

9月17~19日のtwitterセキュリティクラスタ

三連休の合間ということで寝坊しました。

今頃大変なことになっている職場も多いかもしれませんが、軍事機密が多そうな重工が狙われた模様。
NobMiwa :セキュリティ業界が週明けから祭りの予感 「三菱重工 ウイルス感染で調査」 

piyokango :『外部からサーバーなどに侵入され、情報を抜き取られていた痕跡も見つかり』 読売では情報が抜かれたとの報道。 / “三菱重にサイバー攻撃、80台感染…防衛関連も : 社会 : YOMIURI ONLINE(読売新聞)” http://htn.to/ET9Eqe

tentama_go :こちらの記事だと台数書いてありますねー<三菱重工のウィルス侵入。少なくとも約80台だとか。拠点は「神戸造船所」、「長崎造船所」、「名古屋誘導推進システム製作所」(愛知県小牧市)などの製造・研究拠点8か所に、本社を加えた計9か所 http://j.mp/pKPpPF

8zz :ニュー速クオリティ: 三菱重工にサイバー攻撃、約80台のサーバーやパソコンがウイルスに感染 http://dlvr.it/m3f7N

MasafumiNegishi :気になったので読売の記事読んでみた。8月中旬に一部サーバーの感染に気づいてセキュリティ会社に調査を依頼。原子力や防衛関係のデータが保管されているサーバから情報が漏洩した可能性があり、発見されたウィルスはトロイの木馬など少なくとも8種類。長期間にわたる活動の可能性があるとのこと。

MasafumiNegishi :三菱重工の記事とならんで、1面と社会面で標的型攻撃の特集記事。京大の事例では高倉先生のコメントも。全体としては、「日本の中枢の情報はすでに外部に筒抜けになっているが、対応が遅れている。NISCはリーダーシップ発揮できていない。脅威の全体像を誰も把握していない。」といった内容。

NobMiwa :サイバー戦争といって準備を進めている米国に、これで尻を叩かれるのは間違いないか orz

NobMiwa :日本には情報を渡せない、だって、漏れちゃうんだもん、とか言われ、そして米国製のセキュリティ機器を買わされるハメに orz

bakera :[メモ] 三菱重工にサイバー攻撃? ガチのAPTというのもあり得ますが、どうでしょうか……。


@amachangさんのスライドから派生した、json_encodeの文字エスケープについての議論が興味深かったです。
ockeghem :考え方は同意/スライド12の==='image/gif'は!==では?/スライド19のpreg_replaceはd不要かと(json_encodeは/をエスケープするので) / “ウェブアプリのセキュリティをちゃんと知ろう” http://htn.to/mboz1N

amachang :@ockeghem 徳丸さん!ありがとうございます!GIFの件に関しては記述ミスでした><ただ、preg_replaceは意図的にそうしています。 json_encodeが/をエスケープすることはPHP側の出力の仕様であって(続く) http://htn.to/mboz1N

amachang :@ockeghem テンプレートとしてHTMLの値を埋め込んでいる以上、HTMLのCDATAセクションのリテラルを破壊する</はやはり、エスケープすべきだと思います。(続く) http://htn.to/mboz1N

amachang :@ockeghem たとえ、冗長であったとしても。そうしておくことで(HTML と PHP の仕様両方のサイドからきちんと書くことで)将来どちらかの仕様が変更された場合の対応もすばやくできると思っています。 http://htn.to/mboz1N

ockeghem :@amachang コメントありがとうございます。基本的な考え方は賛成なのですが、HTMLのCDATAをエスケープする手段は提供されておらず,結局JavaScriptのエスケープで対応しているところが鬱陶しいところですね。つまり、2つのエスケープは独立しておらず(続く)

ockeghem :@amachang (続き)2つのエスケープは独立しておらず、JavaScriptのエスケープで両方対応しているわけです。たとえば、/を単独で\u002Fと後からエスケープするとおかしくなりますよね。結局、json_encodeの出力を意識しながらやるしかないのでは?

amachang :@ockeghem ただ、 JavaScript が書かれている script 要素のエスケープとして考えた場合どうでしょうか。その場合このようなエスケープを無条件にしてもいいのではないでしょうか。 (続く)

amachang :@amachang すみません。あまりまとまりませんが。 HTML で埋め込んだコードに </ が含まれないことは、やっぱり json_encode 以外のところで保証したいです。 たとえば、 </ を含んでいたら error にするという処理とかはどうでしょか? (続く)

amachang :@amachang そうすると </ を含まないことを json_encode が保証していることを、 HTML として保証できるからです。なんかだらだら長い文章になってしまってすみません><

ockeghem :@amachang こちらこそおつきあい頂きありがとうございます。私も同じ問題意識を共有しています。だから、script要素内の文字列リテラルのエスケープにjson_encodeを用いることには違和感があります。色々難しいところですね

bakera :@ockeghem @amachang ちなみにHTML4.01 AppendixB.3.2では、「</」を「<\/」と出力する例が挙げられています。json_encodeでたまたま / が消えても、それとは別に常に </ を変換するというのは良い習慣だと私は思います。

ockeghem :@bakera @amachang つまり、どっちみちjson_encodeの処理内容を知ってないと正しい処理ができないのが気持ちわるいなーと。脆弱性になるよりはよいというのはもちろんありますが

ockeghem :json_encodeはPHP5.2.0からサポートされているようですが、HP5.2.0(Windows版)で確認したところ、/もエスケープ対象でした。しかし、文書化されてないこの仕様に頼るのは確かに気持ち悪いですね

rryu2010 :@ockeghem json_encode()のマニュアルに明示的に書かれていない挙動に頼るのはイヤな感じがします。JSON_UNESCAPED_SLASHESというオプションがあるのでデフォルトはエスケープされるというのが関数の仕様になっているのだとは思いますが……

ockeghem :@rryu2010 はい。なので、マニュアルに書かれているJSON_HEX_QUOTを使って、<を\u003cに変換すれば、</が現れることはなくなります…そもそもscript要素内を動的生成することがどうかとも思いますけどね

bakera :@ockeghem @amachang すみません、json_encodeの処理内容を知らないと正しい処理ができない、という意味が良く分かりませんでした。json_encodeの結果が何であれ、機械的に </ があれば <\/ にするという処理で良いと思うのですが。

bakera :@ockeghem 激しく同意です。そもそもの考え方として、JSONに必要なエスケープと、script要素内のCDATAに必要なエスケープは別と考えた方が良いと思っています。前者が運良く後者を兼ねていたとしても、後者は後者でやるという考え方には意味があると思います。

ockeghem :@bakera @amachang ごめんなさい。それであれば問題ないです。議論の発端になったスライドは、</を\u003c\u002fに変換しているので、それはまずい場合もあるだろうということです

rryu2010 :@ockeghem タグのエスケープはJSON_HEX_TAGの方ではないでしょうか。オプションの内容が例での出力結果から推測するしかないので、いまいち確信が持てないですが。

ockeghem :@rryu2010 おっとそうでした。amachangのslideshareのコメントにはそう書いていたのに、間違えました。確かに、ドキュメントが例示でしか書かれていないのは気持ち悪いです。そういうこともあって、json_encodeをこの目的で使いたくない気がします

bulkneets :json_encodeで<>を処理すると今までエスケープ適用順序いい加減でも大丈夫だったのがダメになったりする事例はありますよ

bulkneets :json内の文字列を全部htmlエスケープしたいんやーと書かれた[% json | html %]が<>を数値参照にするとある日突然機能しなくなる


具体的なやり方はあんまりつぶやかない方が。
Alice1017 :ツクログに普通にXSS脆弱性があって「あーあ」ってなってる

Alice1017 :だいたいmaxlengthだけでXSSができないとおもってるんじゃねえよww 見事に<censored>ってなってる◯◯◯◯に脆弱性があったww

Alice1017 :脆弱性報告ってそのサービスの運営会社にしたほうがいいんですか?それとも無難にIPAに報告すればいいのかなー

mincemaker :ゼロデイ公開が一番最悪ですよ。


その他気になったことはこのあたり。
kjmkjm :全てのPUPをマルウェアだと言っちゃうと、たとえばVNCもマルウェアになっちゃうんだよね。 mcafee.com/japan/pqa/aMcA… あと、たとえばVirusScan Enterpriseって、初期状態ではそもそもPUPをマルウェアとしては検出しないんだよね。


piyokango :総合・・・。 / “アンチウイルスソフト総合防御力ランキング2011年8月版 - hogehoge速報” http://htn.to/cqrnM2


unixfreaxjp :[Exploit] Sandbox Bypass Vulnerability in Adobe Reader X.- http://x90.es/1rS


sen_u :Nimdaウイルス10周年 http://bit.ly/oJmXk4


ItSANgo :“萩原栄幸が斬る! IT時事刻々:ハッシュ値の有効性 ITに疎い裁判官が起こした問題 (1/2) - ITmedia エンタープライズ” http://htn.to/bVkFR2


piyokango :FireSheepのAndroid版という感じなんでしょうか。 / “Droidsheep : Android Application for Session Hijacking ~ THN : The Hacker News” http://htn.to/yh8U1Z


piyokango :“サイバー攻撃対策、日米初協議…中国に対抗 : 政治 : YOMIURI ONLINE(読売新聞)” http://htn.to/cJ3NeZ


tya_neko :マジコンはaircrackのDSだけのために使うのよ


sen_u :GPSトラッキングソフトのお陰でPCを盗んだ犯人が捕まる http://bit.ly/q3Zp4a


MasafumiNegishi :時事ドットコム:政府HPにサイバー攻撃=満州事変80年で呼び掛けか-中国サイトに書き込み
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
11-2017
SUN MON TUE WED THU FRI SAT
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

10   12

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。