水無月ばけらのえび日記

bakera.jp > 水無月ばけらのえび日記 > 2006年のえび日記 > 2006年11月

2006年11月

2006年11月30日(木曜日)

特殊な環境下?

更新: 2006年12月6日

JVN#08494205 Chama Cargo におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。ひたすら良くある XSS ですが、開発者の方のコメントを見ると……。

悪意の第三者に誘導され、ユーザのブラウザ上で任意のスクリプトを実行される可能性があります。

特殊な環境下で問題が発生しますが、問題が発生する環境や方法などの詳細は公開出来ません。

以上、Chama Cargo におけるクロスサイトスクリプティングの脆弱性について より

うーん、「特殊な環境下」ですか。

実はこれ、知り合いの方に「ちょっと脆弱性がないか見て欲しい」と頼まれて見たときに発見したものです。その時点では、これが「Chama Cargo」の問題なのか、そのサイトに固有の問題なのか判断できませんでしたので、その切り分けを行いました。具体的には、Google で「Chama Cargo」を使用しているサイトを検索し、上位のサイトをいくつか見て、同様の問題があるのかどうかを確認しています。その結果、全てのサイトで問題を確認できたので、環境固有の問題ではないと判断し、ソフトウエア製品の脆弱性として届出を行いました。

というわけなので、報告者としては「特殊な環境下で発生する問題ではない」ということを確認した上で届け出たつもりなのですが、開発者の方の認識は異なるようで……。カテゴリ別の商品一覧のページで問題が起きるのですが、ひょっとすると「カテゴリ別商品一覧のページを用意すること自体が特殊である」という認識なのかもしれません。

いずれにしても、「特殊な環境でしか問題が発生しないから、普通の人は大丈夫」と思われてしまいかねない記述になっているのは、ちょっと気になりますね。まあ、自分が「特殊な環境」に相当するのかどうかという情報も与えられていませんから、全員アップデートするしかないのでしょうけれども。

※……それはそれとして、JVN のドキュメントになんか違和感があるなあと思ったら、報告者名が敬称略になってますね。こだわりませんが……。身内と思ってもらっているのかなぁ。

※2006-12-06追記 : 敬称追加されたようです。ありがとうございます。

関連する話題: Web / セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

2006年11月29日(水曜日)

Wiki に画像の URL を貼ると……

会社の中で情報共有のために Wiki を利用することもあろうかと思いますが、困るのは Referer の漏洩。プロジェクト名や商品名など、社外に漏れては困る名前がページ名に使われることがありますが、Wiki の URL はページ名を URL エンコードしたものになっていたりします。そこから外部へのリンクがあると、Referer から情報が漏れてしまうことになります。

それはまずいので、外部へのリンクはリダイレクタを通るように細工して運用していたりするわけです。

ところが、とある外部サイトの画像の URL を Wiki に書いたところ、恐るべき事態が発生しました。URL の文字列がリンクになることを期待していたのですが、なんと勝手に img要素が作成されて、画像を参照してしまったのです。プレビューの時点で画像の URL にアクセスに行ってしまい、外部のサーバに Referer が送出されてしまいました。

幸い、その時のページ名には機微な情報は含まれていなかったので問題はありませんでしたが、これはけっこう厳しいですね。Referer の問題は抜きにしても、そもそも、画像の URL を紹介することが難しいわけですが……。

※いちおう、拡張子部分を URL エンコードするという技で回避はできるようです。たとえば、.png のかわりに .%70ng とするなど。

複数の Wiki クローンがこのような仕様になっているようですが、意図に反して画像になってしまったりしても問題ないという共通認識なのでしょうか。

関連する話題: Web / セキュリティ

2006年11月28日(火曜日)

AA

AAで図解!ずばり一目で全く解らないコンピュータセキュリティ (www.misuzilla.org)」。

……アホだなぁ (ほめ言葉)。

関連する話題: セキュリティ / 与太話

2006年11月27日(月曜日)

堀井雄二と並んだ

entertainments meister -vol.3 福井 信蔵 インタビュー (plaza.bunka.go.jp)」。なんと、Vol.2 は堀井雄二 (plaza.bunka.go.jp)ですよ。

関連する話題: 思ったこと

議事録ドリブン

興味深いと思ったのでメモ : 「議事録ドリブンで会議の効率アップ」。

たまに見る形式なのですが、感想が「ノートPCは良いなぁ」というようなものになってしまったりするのが悲しいところ。共有ノートPCは何かと使いにくいですし。

関連する話題: 思ったこと

2006年11月26日(日曜日)

掲示板/コメント機能微修正

システム微修正しました。内容は以下のとおり。

関連する話題: hatomaru.dll

2006年11月24日(金曜日)

2秒で POST する掲示板spam

石橋さんとやら、こんなログが残っておりましたよ。

2006-11-24 09:38:37 GET /hatomaru.aspx/htmlbbs/newpost - - 221.188.60.189 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) - - 200 0 0 9642 404 109
2006-11-24 09:38:37 GET /shared/style/bbs.css - - 221.188.60.189 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) - http://bakera.jp/hatomaru.aspx/htmlbbs/newpost 200 0 0 3203 291 31
2006-11-24 09:38:37 GET /shared/style/hatomaru.css - - 221.188.60.189 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) - http://bakera.jp/hatomaru.aspx/htmlbbs/newpost 200 0 0 9804 296 234
2006-11-24 09:38:37 GET /shared/style/ebibg.png - - 221.188.60.189 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) - http://bakera.jp/hatomaru.aspx/htmlbbs/newpost 200 0 0 591 293 140
2006-11-24 09:38:39 POST /hatomaru.aspx/htmlbbs/newpost - - 221.188.60.189 HTTP/1.1 Mozilla/4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1;+SV1;+.NET+CLR+2.0.50727) - http://bakera.jp/hatomaru.aspx/htmlbbs/newpost 200 0 0 4435 1576 500

新規投稿フォームを GET してから 2秒後に POST ですか。凄いスピードですね。こうして投稿された内容は、まあ言うまでもない感じのものであり……。

フォームを GET して内容を解析して POST しているようなのですが、ちょっと対策を考えてみますかね。

関連する話題: Web / 掲示板spam

2006年11月23日(木曜日)

110番

auのトラブルで、「110番」に電話が殺到!? (slashdot.jp) というお話が興味深いです。

メールが送れないトラブルがあったのですが、その際「送信できませんでした(110)」というエラーメッセージが表示され、それを見たユーザーが「110」と入力してしまったという話のようですね。

このエラーメッセージだと、何故送信できなかったのか、自分はどうしたら良いのかということが全く読み取れないのが問題です。ユーザにとって手がかりは「110」という文字列だけで、そのたった一つの光明に全てを賭けてみたくなる気持ちはよく分かります。

関連する話題: ユーザビリティ

2006年11月22日(水曜日)

痛い

ふくらはぎが妙に痛いのですが、21階から1階まで階段で避難したからという説が有力。

※避難訓練ですが。

関連する話題: 出来事

2006年11月21日(火曜日)

言うまでもなく不正アクセス?

野村直之 Web 2.0 for Enterprise : ついに "マッシュアップ・ウイルス”が登場 (itpro.nikkeibp.co.jp)」。興味深い内容ですが、私が気になったのはこのくだり。

いずれにせよ「手引き」をした時点,つまりWindowsファイアウオールや「セキュリティセンター」の機能を無効にする時点で,不正アクセス行為の禁止等に関する法律 ,いわゆる不正アクセス禁止法に抵触する犯罪行為であることは言うまでもありません。

「言うまでもありません」と言われている内容が理解できないのは、私だけでしょうか……。

「不正アクセス禁止法」の定義する「不正アクセス」の概念は、世間の人がその言葉から想像する概念と重なる部分もありますが、ずれている部分の方が大きいと思います。そのずれを意識しないでいると、「なにやら悪いことをしたんだから、当然、不正アクセスとして処罰できる」というような論調で議論してしまいがちです。ある行為が「不正アクセス」に該当するかどうかについて「当然」「言うまでもなく」と断じてしまうのは、ちょっと怖いと思ったりしています。

関連する話題: Web / セキュリティ / 法律 / ITpro

脆弱性の視野

セキュリティホールmemo (www.st.ryukoku.ac.jp)より。

ACCS 事件の場合、「サイトの脆弱性」というレベルでは「CGI 開発元が脆弱性の存在を把握していたにもかかわらず顧客に告知していなかった」のが真の原因でしょうし……。

コメントありがとうございます。技術的な話だけではなく、運用や背後の事情まで考慮する必要がありますね。カカクコム事件の時も脆弱性発覚後の対応に問題がありましたが、それは技術者レベルではなく運営者レベル、経営レベルの判断の問題だったわけで、そういうところも非常に重要だと思います。

※ACCS 事件については、さらに別のレイヤーで「プレゼン資料にモザイクがかかっていなかったのが真の原因」という話もあったような……。

関連する話題: Web / セキュリティ

2006年11月18日(土曜日)

脆弱性の分類と脆弱性の原因

Dreamweaver プロフェッショナル・スタイル (cssnite.jp)」という本が出ることになっておりまして、末尾の方には Dreamweaver とあんまり関係ない脆弱性関連の話が出てくるわけですが、脆弱性関係の文章を書いていていつも思うことがあります。

それは、脆弱性の分類がメチャクチャだということです。良く耳にする脆弱性の名前というものがあると思いますが (「クロスサイトスクリプティング」など)、それは「原因となった欠陥」だったり「攻撃手法」だったり「結果として起きたこと」だったりしていて、全くもって MECE な分類になっていないのです。

※MECE = Mutually Exclusive collectively Exhaustive で、「もれなく、重複無く」という程度の意味。

たとえば ACCS事件を見てみると、こんな感じになります。

起きたことは一つなのですが、脆弱性の名前らしきものが 3つ出てきており、3つが同時に当てはまっています。つまり、これら 3つは排他的ではないということです。

こんな風に「原因」「手法」「結果」に分けて考えると分かりやすいのかな……と思うのですが、原因を考えていくとさらに深い問題があります。たとえば、こんなケースを考えてみます。

手法は「パラメータ改竄」、結果は「クロスサイトスクリプティング」となりますが、「原因」について考えると……。

これらのうち、どちらか一つでもつぶせばクロスサイトスクリプティングは防げます。どちらの対応が良いのか、というのは難しい問題です。普通に考えると「数字でなければエラー」という対処のほうが良さそうに思えます。しかし純粋に「脆弱性を修正する」という観点だけで考えると、どちらの対策でも同じです。

もっと難しいのは設計に問題がある場合です。ACCS事件などは「パス名を適切にチェックしてエラーにする」という話以前に、「そもそも外部パラメータでファイル名を指定させること自体が問題」と思うわけです。後者の設計にこそ問題があると思うのですが、外部パラメータでファイル名を指定させることをやめると、仕様が大きく変わってしまいます。「脆弱性の修正」という枠に収まらなくなってしまいます。

もっと言うと「CGIを削除する」という対策だってあるわけです。そう考えると、どこまでが「脆弱性の原因」と呼べるものなのか、判断するのが難しいのではないかと思います。

関連する話題: Web / セキュリティ / 思ったこと / クロスサイトスクリプティング脆弱性 / Dreamweaver

2006年11月14日(火曜日)

黒船

日経ビジネス (business.nikkeibp.co.jp)」最新号に「毒性が勝る個人情報保護法」という記事が出ていて思ったのですが、「黒船 (www.amazon.co.jp)」の存在ってあまり知られていないのですかね。いや、「黒船」という名前は知られていなくて当然だと思いますが、このようなソフトが存在するということ自体が知られていない……?

関連する話題: 個人情報

2006年11月13日(月曜日)

また Google八分か?

更新: 2006年11月18日

やじうまWatch (internet.watch.impress.co.jp)」で紹介されていた「「水からの伝言」を信じないでください (www.gakushuin.ac.jp)」というサイトですが、

11 月 11 日前後から、このページが Google の検索にかからなくなっているようです。いわゆる「Google 八分」ではないかとの憶測もされていますが、単なる技術的な不具合の可能性も高いそうです。この段階で、憶測にもとづいて過剰反応するのは全く得策ではないと考えます。よろしくお願いします(11月13日)。

……だそうで、Google八分疑惑が持ち上がっている模様です。確かに、Google で http://www.gakushuin.ac.jp/~881791/fs/ を検索しても何もヒットしないので、インデクスに無い状態であることは間違いなさそうです。

コメントにもあるとおり、現時点では憶測でしかなく、確かな事は何も言えませんが……。

第11回トンデモ本大賞 (homepage3.nifty.com)にノミネートされて有名になった(?)「水は答えを知っている―その結晶にこめられたメッセージ (www.amazon.co.jp)」という本を批判する内容なので、作者や出版元からクレームが付いた可能性も考えられますね。繰り返しになりますが、現時点では憶測でしかありません。

※2006-11-18追記 : 現在では検索できるようになっています。Google八分ではなかった模様です。

関連する話題: Web / Google / トンデモ

XSS は Cookie 漏洩だけではない

「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起 (itpro.nikkeibp.co.jp)」という記事が。

XSS脆弱性が存在するサイト上に,偽のログイン画面や個人情報入力画面を作られることのほうが深刻だ

XSS大王の話で私が作った exploit が、まさにそんな感じでしたね。

補足すると、偽フォームを一から作るのではなく、本物サイトのフォームを利用しつつ送信先だけを改竄する攻撃もあります。action属性を書き換えるというのは序の口で、スクリプトで入力値をチェックするタイプのフォームに対し、入力値チェックの関数を上書きするという荒技も……。

XSS脆弱性が悪用されれば,ログイン画面やCookieを用意していない一般企業のホームページでも,偽の個人情報入力フォームを作られる恐れがある。どのようなサイトであっても,XSS脆弱性の被害は深刻になりうる。

個人的な経験としては、過去に

対象となるウェブサイトは、ウェブサイトの性質上、フィッシングに悪用されにくいと考えられますが、どのような悪用手法を想定していますでしょうか。具体的にご説明ください。

……などと質問されたことがあります。ご希望に応えて非常に具体的な exploit を作り、受理していただきましたが。

関連する話題: Web / セキュリティ

2006年11月11日(土曜日)

PS3

PS3 (www.amazon.co.jp) ですが、さっそく分解されていますね。

扇風機ですか……。

そうなると気になるのが消費電力ですが、

まず起動してそのままにした状態(クロスメディアバーが表示されている状態)では,約180W。ゲーム・ソフトのディスクを挿入し,ディスクを回すためのモータが動き出したあたりで約200Wに上がった。オープニング・ムービーが流れているところでは187W。レース・ゲームをしている最中は,だいたい190W~205W程度で推移していた。

次に,再生専用Blu-ray Discの映画タイトルを再生してみた。このときは約195Wだった。今回の機器設定とアプリケーションの場合は,380Wの最大消費電力に迫るケースはなかった。

……ということで、200W 前後と考えておけば良さそうですね。

関連する話題: ゲーム

2006年11月10日(金曜日)

決め手は「貫通力」

「何かツールを使っているのですか?」と質問されたりしたのでメモ。……一年以上前の記事ですが、「webアプリケーション脆弱性レポート (www.nikkeibp.co.jp)」より。

守りを固めるために必要なのは「貫通力」

(~中略~)

その中でも、特にWebアプリケーションの検査は、手作業でやる必要があると西村氏は強調する。例えばWebサイトでのオンラインショッピングは、買い物カゴに入れる、金額を確認する、決済するといった具合に、画面が次々に移っていく。しかし、機械による監視では、こうした画面遷移(せんい)を一つひとつ検査することが難しい。複雑な構造を持つWebサイトであればあるほど、手作業での検査が意味を持つのだ。

以上、守りを固めるために必要なのは「貫通力」 より

ツールじゃなくて貫通力と。そのすぐ後に「Webサイト攻略のマイスターが検査」という見出しが出てきますが、この表現も面白いですね。

関連する話題: Web / セキュリティ

ダンベル

依然としてバランスボール (www.amazon.co.jp)が流行りすぎの今日この頃ですが、今度はむらまささんにダンベルをオススメされたり。床を傷つけないラバーコートされているタイプのもの (www.amazon.co.jp)がオススメらしいです。

関連する話題: 出来事 / 会社 / バランスボール

2006年11月9日(木曜日)

mixiの画像参照問題修正?

mixi にメンテナンス終了のアナウンスが出ていますね。

このメンテナンスにより、以下のページにアップロードされた画像のURLが変更となり、当該ページでのみ表示される仕様に変更となりました。

・日記

・コミュニティトピック(掲示板)

・フォトアルバム

この仕様変更により、上記ページ以外の場所に画像URLを転載しても、画像が表示されない、または一定時間経過後に表示されなくなります。

えーっと、「画像が表示されない、または一定時間経過後に表示されなくなります」ということは、場合によっては外部からも一定時間見えてしまうということでしょうか。

仮にそうだとすると、どういう条件で見られるのでしょうか。また「一定時間」とはどのくらいの時間なのでしょうか。それが分からないと安心できないと思うのですが……。

※試しに mixi 日記に画像を貼ってみたので URL をメモ : http://ic50.mixi.jp/p/d757cf9dc84c62996bf25bbe1bd59ed55ef4c9fd32/45531200/diary/67/58/264466758_219s.jpg

関連する話題: Web / セキュリティ

発売日にパッチ?

「プレイステーション 3」 11月11日からシステムソフトウェアアップデート開始 (www.jp.playstation.com)……だそうで、発売と同時にパッチが出ると。だったら最初からアップデートした状態で出荷しろよ……と思いますが、スケジュールがそれを許さなかったのでしょうね。

そういえば、もう明後日なのですね。

関連する話題: ゲーム / PS3

ゲームセンターCX DVD-BOX 3

ゲームセンターCX DVD-BOX 3 (www.amazon.co.jp)、出るようです。

封入特典 : 有野課長名刺(台紙付き) ……ってちょっと欲しいですね。

関連する話題: ゲーム / DVD / ゲームセンターCX

2006年11月8日(水曜日)

dynabookのサイト直った

「東芝のサイトが恐ろしくセキュリティ的に激しく超超超超超ヤバイ」という話ですが、修正された模様です。

ちなみに「"g" を忘れている」というのは何の話だったのかというと、貫通方法から推測されたプログラムミスの話です。最初の問題修正後、「パラメータとして渡される URL に %22 などが含まれているとその文字は削除される」という仕様になっていたのですが、%22 を2個以上渡すと最初の1個しか削除されなかったため、%22 を複数書くと貫通することができたのでした (ちなみに %3c や %3e なども同様)。

推測ですが、プログラマは本来

$url =~ s/"//g;

というような処理を意図していて、しかしながら実際には

$url =~ s/"//;

と書いてしまっていたために、誤動作していたものと思われます。つまり、末尾の "g" を忘れていると。

※とは言っても完全に想像の域を出ません。そもそも Perl なのかどうかすら分かりませんし。

それから実はもう一つ貫通方法がありました。「渡された URL が http://dynabook.com で始まらない場合は蹴る」という処理が行われていたのですが、この処理では駄目です。なぜなら、http://dynabook.com.bakera.jp などという URL が通ってしまうからです。

今では「URL が http://dynabook.com/ で始まらない場合は蹴る」という処理になっていて、別ドメインへの誘導は行えなくなった模様です (たぶん)。

ともあれ、私が把握していた範囲については直ったということで。

関連する話題: Web / セキュリティ

偽装請負

けっこう話題になったような気がするのですが、意外に知られていないような気がするのでメモ : IT業界のタブー「偽装請負」に手を染めてませんか (itpro.nikkeibp.co.jp)

偽装請負とは,書類上は請負契約もしくは業務委託契約(以下,請負契約)でありながら,開発・運用担当者を実質的に「派遣」として働かせて利益を得る行為のことをいう。ちなみに客先に常駐すること自体は違法ではなく,労働者への指示や時間管理をしていることが問題となる。

情報サービス業に於ける請負の適正化のための自主点検表 (www.roudoukyoku.go.jp)」なんてのもありますね。発注先の従業員が、発注元の従業員から直接指示を受けて作業しているのはまずいということで。

※労働者派遣業には厳しい規制があるのですが、請負の形を取ると規制を回避できてしまうという脆弱性があり、脆弱性を突いて不正アクセスするのは違法だという話。

関連する話題: 法律

バーナム効果

話題に出たのでメモ ……「究極の血液型心理検査 (www.senrigan.net)」。少し前に話題になっていた、「バーナム効果」の実証サイトです。およそ9割の人が「当たった」と判断したということで、まあ良く当たると。

そういえば、「古畑任三郎」にも「乙女座でA型といえば……」というネタがありましたね。

3rd season DVD-Box (www.amazon.co.jp)に収録の「黒岩博士の恐怖」のオープニングのモノローグ。

関連する話題: 心理学 / 古畑任三郎

2006年11月7日(火曜日)

Flash で HTTP 要求ヘッダを改竄する話

FlashでHTTPリクエストヘッダ操作 (d.hatena.ne.jp)」。

「Cookie」、「Host」等、致命的っぽいの以外は普通に"上書き"できそうです。

そして、「Cookie」、「Host」等の場合は小細工をすることで、"上書き"されます。Cookieはダサい方法でやってるので、Webアプリによっては処理したりしなかったり。。

ということで、やはり「できるっぽい」ようですね。

あと問題は、これが Flash の仕様であって今後もそのままなのか、Flash Player の問題と認識されていて修正の見込みがあるのか、という点ですが……。

関連する話題: Web / セキュリティ / CSRF / Flash

2006年11月6日(月曜日)

Refererを捏造「させる」方法?

CSRFとリファラー (www.freeml.com)」というお話。未確認ですが、Flash 経由でリクエストを出す際には Flash 側で HTTP 要求ヘッダに任意のフィールドを追加することができて、Referer: も追加できるのだそうで。そうだとすると、Referer: チェックによる CSRF 対策が突破される可能性がありますね。

ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。

関連する話題: Web / セキュリティ / CSRF / Flash

2006年11月5日(日曜日)

base要素でいろいろ

InternetExplorer6::base要素のstyle属性が全要素に効くのでJavaScriptも記述し放題 (d.hatena.ne.jp)」というお話。残念ながら IE7 ではうまく (?) 動作しないようで、検証できていませんが……。

base要素style属性なんて存在しないはずなのに、それが解釈されてしまうという時点で問題ですね。しかも、this.innerText に body要素の innerText が入っている? そもそも、style属性中の expression の中で呼ばれた this はどうなるのが正しいのか、よく分かりませんが。

関連する話題: Web / セキュリティ / HTML

ふたばの教室

またマンガですが。

Amazon のレビューの評価はやや低めですが、私は好きだなぁ。

関連する話題: マンガ / 買い物

2006年11月4日(土曜日)

非常識なお問い合わせフォーム

監修 日本常識力検定協会 いまさら人には聞けない 大人の常識力トレーニングDS (www.amazon.co.jp)」がちょっと気になったので、日本常識力検定協会のサイト (www.josikiryoku.com)を見てみたのですが、お問い合わせフォーム (www.josikiryoku.com)が凄いです。

まず、郵便番号、住所、電話番号の入力が必須です。返答にこれら全てが必要とは思えないのですが、これらの情報をどのように利用するのかは何処にも書かれていません。また、トップページには「セキュリティSSL対応」と書いてあるにもかかわらず、フォームはSSL保護なし。いちおう送信先は HTTPS のようですが、全く別のドメインになっているという……。ついでに言うと、スクリプト無効環境では送信できないというおまけ付きです。

日常生活の中で、あまりにも常識が欠如している今日この頃ですが、いかがお感じになりますか。

以上、日本常識力検定協会とは? より

確かに、あまりにも常識が欠如していると思いました。フォームについての基本的な「常識」を、もっとひろめる必要がありますね。

関連する話題: Web / セキュリティ / アクセシビリティ / SSL/TLS

マンガ諸々

そんな場合じゃないだろ、と言われそうですがいろいろ購入。

関連する話題: マンガ / 買い物 / あたしンち

2006年11月1日(水曜日)

安全なウェブサイトの作り方 改訂第2版

安全なウェブサイトの作り方 改訂第2版 (www.ipa.go.jp)が出たようで。

また、ウェブアプリケーションの脆弱性について、新たに、CSRF(Cross-Site Request Forgeries/クロスサイト・リクエスト・フォージェリ)とHTTPヘッダ・インジェクションの解説を追加しました。本資料で取り上げている内容は、ウェブサイトに関する届出件数の約9割を網羅しています。

「HTTPヘッダ・インジェクション」は聞き慣れないと言えば聞き慣れないですが、きれいにまとまっていると思います。

HTTP応答ヘッダに CR+LF がインジェクションできてしまい、それによって HTTPレスポンス分割や任意の Cookie 発行や任意のレスポンスボディ生成ができるようなケースは良くあります。これを届け出ると、「HTTPレスポンス分割」と「クロスサイトスクリプティング」の 2件として扱われていました。これは 1件の「HTTPヘッダ・インジェクション」として処理された方が分かりやすいと思いますし、今後はそうなるのでしょう。たぶん。

ちなみに、とても厳密に言うと、RFC2616 の定義では

Response = Status-Line ; Section 6.1

*(( general-header ; Section 4.5

| response-header ; Section 6.2

| entity-header ) CRLF) ; Section 7.1

CRLF

[ message-body ] ; Section 7.2

となっていて、ステータス行はヘッダとは別の扱いになっています。そう考えると、「Status: 200 OK」をインジェクションする技は「ヘッダ」インジェクションではないということになりそうな気もしますが、まあ、そこまで厳密にならなくても良いでしょう。

関連する話題: Web / セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / CSRF / RFC

最近の日記

関わった本など

インクルーシブHTML+CSS & JavaScript 多様なユーザーニーズに応えるフロントエンドデザインパターンデザイニングWebアクセシビリティ - アクセシブルな設計やコンテンツ制作のアプローチコーディングWebアクセシビリティ - WAI-ARIAで実現するマルチデバイス環境のWebアプリケーションウェブの仕事力が上がる標準ガイドブック 5 WebプログラミングWeb Site Expert #13Dreamweaver プロフェッショナル・スタイル [CS3対応] (Style for professional)

その他サイト