水無月ばけらのえび日記

特殊な環境下?

更新: 2006年12月6日

「JVN#08494205 Chama Cargo におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」。ひたすら良くある XSS ですが、開発者の方のコメントを見ると……。

うーん、「特殊な環境下」ですか。

実はこれ、知り合いの方に「ちょっと脆弱性がないか見て欲しい」と頼まれて見たときに発見したものです。その時点では、これが「Chama Cargo」の問題なのか、そのサイトに固有の問題なのか判断できませんでしたので、その切り分けを行いました。具体的には、Google で「Chama Cargo」を使用しているサイトを検索し、上位のサイトをいくつか見て、同様の問題があるのかどうかを確認しています。その結果、全てのサイトで問題を確認できたので、環境固有の問題ではないと判断し、ソフトウエア製品の脆弱性として届出を行いました。

というわけなので、報告者としては「特殊な環境下で発生する問題ではない」ということを確認した上で届け出たつもりなのですが、開発者の方の認識は異なるようで……。カテゴリ別の商品一覧のページで問題が起きるのですが、ひょっとすると「カテゴリ別商品一覧のページを用意すること自体が特殊である」という認識なのかもしれません。

いずれにしても、「特殊な環境でしか問題が発生しないから、普通の人は大丈夫」と思われてしまいかねない記述になっているのは、ちょっと気になりますね。まあ、自分が「特殊な環境」に相当するのかどうかという情報も与えられていませんから、全員アップデートするしかないのでしょうけれども。

※……それはそれとして、JVN のドキュメントになんか違和感があるなあと思ったら、報告者名が敬称略になってますね。こだわりませんが……。身内と思ってもらっているのかなぁ。

※2006-12-06追記 : 敬称追加されたようです。ありがとうございます。

• 「特殊な環境下?」にコメントを書く

関連する話題: Web / セキュリティ / IPA / JPCERT/CC / 情報セキュリティ早期警戒パートナーシップ / クロスサイトスクリプティング脆弱性

Wiki に画像の URL を貼ると……

会社の中で情報共有のために Wiki を利用することもあろうかと思いますが、困るのは Referer の漏洩。プロジェクト名や商品名など、社外に漏れては困る名前がページ名に使われることがありますが、Wiki の URL はページ名を URL エンコードしたものになっていたりします。そこから外部へのリンクがあると、Referer から情報が漏れてしまうことになります。

それはまずいので、外部へのリンクはリダイレクタを通るように細工して運用していたりするわけです。

ところが、とある外部サイトの画像の URL を Wiki に書いたところ、恐るべき事態が発生しました。URL の文字列がリンクになることを期待していたのですが、なんと勝手に img要素が作成されて、画像を参照してしまったのです。プレビューの時点で画像の URL にアクセスに行ってしまい、外部のサーバに Referer が送出されてしまいました。

幸い、その時のページ名には機微な情報は含まれていなかったので問題はありませんでしたが、これはけっこう厳しいですね。Referer の問題は抜きにしても、そもそも、画像の URL を紹介することが難しいわけですが……。

※いちおう、拡張子部分を URL エンコードするという技で回避はできるようです。たとえば、.png のかわりに .%70ng とするなど。

複数の Wiki クローンがこのような仕様になっているようですが、意図に反して画像になってしまったりしても問題ないという共通認識なのでしょうか。

• 「Wiki に画像の URL を貼ると……」へのコメント (5件)

関連する話題: Web / セキュリティ

AA

「AAで図解!ずばり一目で全く解らないコンピュータセキュリティ (www.misuzilla.org)」。

……アホだなぁ (ほめ言葉)。

• 「AA」にコメントを書く

関連する話題: セキュリティ / 与太話

堀井雄二と並んだ

「entertainments meister -vol.3 福井 信蔵 インタビュー (plaza.bunka.go.jp)」。なんと、Vol.2 は堀井雄二 (plaza.bunka.go.jp)ですよ。

• 「堀井雄二と並んだ」にコメントを書く

関連する話題: 思ったこと

議事録ドリブン

興味深いと思ったのでメモ : 「議事録ドリブンで会議の効率アップ」。

• 第1回　会議の何が問題なのか？ (www.itmedia.co.jp)
• 第2回　会議が終わったときに議事録は完成してますか？ (www.itmedia.co.jp)
• 第3回　この会議のゴールを知っているか？ (www.itmedia.co.jp)
• 第4回　会議をいきなりはじめてないか？ (www.itmedia.co.jp)
• 第5回　会議で「じゃあ、そういうことで……」と言ってないか？ (www.itmedia.co.jp)

たまに見る形式なのですが、感想が「ノートPCは良いなぁ」というようなものになってしまったりするのが悲しいところ。共有ノートPCは何かと使いにくいですし。

• 「議事録ドリブン」にコメントを書く

関連する話題: 思ったこと

掲示板/コメント機能微修正

システム微修正しました。内容は以下のとおり。

• コメントフォームからメールアドレス入力欄を削除
• コメント表示時、URL がリンクになった際の a要素に rel="nofollow" を設定。

• 「掲示板/コメント機能微修正」にコメントを書く

関連する話題: hatomaru.dll

2秒で POST する掲示板spam

石橋さんとやら、こんなログが残っておりましたよ。

新規投稿フォームを GET してから 2秒後に POST ですか。凄いスピードですね。こうして投稿された内容は、まあ言うまでもない感じのものであり……。

フォームを GET して内容を解析して POST しているようなのですが、ちょっと対策を考えてみますかね。

• 「2秒で POST する掲示板spam」へのコメント (1件)

関連する話題: Web / 掲示板spam

110番

auのトラブルで、「110番」に電話が殺到！？ (slashdot.jp) というお話が興味深いです。

メールが送れないトラブルがあったのですが、その際「送信できませんでした（110）」というエラーメッセージが表示され、それを見たユーザーが「110」と入力してしまったという話のようですね。

このエラーメッセージだと、何故送信できなかったのか、自分はどうしたら良いのかということが全く読み取れないのが問題です。ユーザにとって手がかりは「110」という文字列だけで、そのたった一つの光明に全てを賭けてみたくなる気持ちはよく分かります。

• 「110番」へのコメント (1件)

関連する話題: ユーザビリティ

痛い

ふくらはぎが妙に痛いのですが、21階から1階まで階段で避難したからという説が有力。

※避難訓練ですが。

• 「痛い」へのコメント (4件)

関連する話題: 出来事

言うまでもなく不正アクセス?

「野村直之 Web 2.0 for Enterprise : ついに "マッシュアップ・ウイルス”が登場 (itpro.nikkeibp.co.jp)」。興味深い内容ですが、私が気になったのはこのくだり。

「言うまでもありません」と言われている内容が理解できないのは、私だけでしょうか……。

• このケースで何が「特定利用」に該当するのか。

  ※ちなみに「特定利用」とは不正アクセス禁止法の用語で、「電気通信回線に接続している電子計算機の利用(当該電気通信回線を通じて行うものに限る)」と定義されている。

• 「特定利用」に該当する何かがあったとして、何号不正アクセスになるのか (どう考えても1号ではないのですが、2号か3号に該当するのかどうか)。
• 行為を問われるのはマルウェアの作成者なのか配布者なのか。

「不正アクセス禁止法」の定義する「不正アクセス」の概念は、世間の人がその言葉から想像する概念と重なる部分もありますが、ずれている部分の方が大きいと思います。そのずれを意識しないでいると、「なにやら悪いことをしたんだから、当然、不正アクセスとして処罰できる」というような論調で議論してしまいがちです。ある行為が「不正アクセス」に該当するかどうかについて「当然」「言うまでもなく」と断じてしまうのは、ちょっと怖いと思ったりしています。

• 「言うまでもなく不正アクセス?」へのコメント (3件)

関連する話題: Web / セキュリティ / 法律 / ITpro

脆弱性の視野

セキュリティホールmemo (www.st.ryukoku.ac.jp)より。

コメントありがとうございます。技術的な話だけではなく、運用や背後の事情まで考慮する必要がありますね。カカクコム事件の時も脆弱性発覚後の対応に問題がありましたが、それは技術者レベルではなく運営者レベル、経営レベルの判断の問題だったわけで、そういうところも非常に重要だと思います。

※ACCS 事件については、さらに別のレイヤーで「プレゼン資料にモザイクがかかっていなかったのが真の原因」という話もあったような……。

• 「脆弱性の視野」にコメントを書く

関連する話題: Web / セキュリティ

脆弱性の分類と脆弱性の原因

「Dreamweaver プロフェッショナル・スタイル (cssnite.jp)」という本が出ることになっておりまして、末尾の方には Dreamweaver とあんまり関係ない脆弱性関連の話が出てくるわけですが、脆弱性関係の文章を書いていていつも思うことがあります。

それは、脆弱性の分類がメチャクチャだということです。良く耳にする脆弱性の名前というものがあると思いますが (「クロスサイトスクリプティング」など)、それは「原因となった欠陥」だったり「攻撃手法」だったり「結果として起きたこと」だったりしていて、全くもって MECE な分類になっていないのです。

※MECE = Mutually Exclusive collectively Exhaustive で、「もれなく、重複無く」という程度の意味。

たとえば ACCS事件を見てみると、こんな感じになります。

• 原因 : CGI はパラメータをそのまま open() に渡していた (パス名パラメータの未チェック)
• 手法 : input type="hidden" に指定されていた ng_file というパラメータの値を変更して送信 (パラメータ改竄)
• 結果 : 別のディレクトリに置かれていた、外部からアクセスされてはならないはずのログファイルの内容が表示された (ディレクトリ・トラバーサル)

起きたことは一つなのですが、脆弱性の名前らしきものが 3つ出てきており、3つが同時に当てはまっています。つまり、これら 3つは排他的ではないということです。

こんな風に「原因」「手法」「結果」に分けて考えると分かりやすいのかな……と思うのですが、原因を考えていくとさらに深い問題があります。たとえば、こんなケースを考えてみます。

• foo.cgi というデータを表示する CGI が存在する
• foo.cgi?page=1 foo.cgi?page=2 などというパラメータを渡すと、適切なページが表示される
• このとき、画面には「現在1ページ目」などと表示される
• foo.cgi?page=1%3cscript%3e……などというパラメータを渡すと、スクリプトが実行されてしまう

手法は「パラメータ改竄」、結果は「クロスサイトスクリプティング」となりますが、「原因」について考えると……。

• 画面に文字列を表示するときに < などは文字参照に変換すべきだったが、その変換を怠っていた (エスケープ漏れ)
• page= に数字以外の値が指定されたときにはエラーにするべきだったが、そのチェックを怠っていた (パラメータのチェック漏れ)

これらのうち、どちらか一つでもつぶせばクロスサイトスクリプティングは防げます。どちらの対応が良いのか、というのは難しい問題です。普通に考えると「数字でなければエラー」という対処のほうが良さそうに思えます。しかし純粋に「脆弱性を修正する」という観点だけで考えると、どちらの対策でも同じです。

もっと難しいのは設計に問題がある場合です。ACCS事件などは「パス名を適切にチェックしてエラーにする」という話以前に、「そもそも外部パラメータでファイル名を指定させること自体が問題」と思うわけです。後者の設計にこそ問題があると思うのですが、外部パラメータでファイル名を指定させることをやめると、仕様が大きく変わってしまいます。「脆弱性の修正」という枠に収まらなくなってしまいます。

もっと言うと「CGIを削除する」という対策だってあるわけです。そう考えると、どこまでが「脆弱性の原因」と呼べるものなのか、判断するのが難しいのではないかと思います。

• 「脆弱性の分類と脆弱性の原因」へのコメント (1件)

関連する話題: Web / セキュリティ / 思ったこと / クロスサイトスクリプティング脆弱性 / Dreamweaver

黒船

「日経ビジネス (business.nikkeibp.co.jp)」最新号に「毒性が勝る個人情報保護法」という記事が出ていて思ったのですが、「黒船 (www.amazon.co.jp)」の存在ってあまり知られていないのですかね。いや、「黒船」という名前は知られていなくて当然だと思いますが、このようなソフトが存在するということ自体が知られていない……?

• 「黒船」にコメントを書く

関連する話題: 個人情報

また Google八分か?

更新: 2006年11月18日

「やじうまWatch (internet.watch.impress.co.jp)」で紹介されていた「「水からの伝言」を信じないでください (www.gakushuin.ac.jp)」というサイトですが、

……だそうで、Google八分疑惑が持ち上がっている模様です。確かに、Google で http://www.gakushuin.ac.jp/~881791/fs/ を検索しても何もヒットしないので、インデクスに無い状態であることは間違いなさそうです。

コメントにもあるとおり、現時点では憶測でしかなく、確かな事は何も言えませんが……。

※第11回トンデモ本大賞 (homepage3.nifty.com)にノミネートされて有名になった(?)「水は答えを知っている―その結晶にこめられたメッセージ (www.amazon.co.jp)」という本を批判する内容なので、作者や出版元からクレームが付いた可能性も考えられますね。繰り返しになりますが、現時点では憶測でしかありません。

※2006-11-18追記 : 現在では検索できるようになっています。Google八分ではなかった模様です。

• 「また Google八分か?」へのコメント (5件)

関連する話題: Web / Google / トンデモ

XSS は Cookie 漏洩だけではない

「「XSS脆弱性は危険，Cookieを盗まれるだけでは済まない」専門家が注意喚起 (itpro.nikkeibp.co.jp)」という記事が。

XSS大王の話で私が作った exploit が、まさにそんな感じでしたね。

補足すると、偽フォームを一から作るのではなく、本物サイトのフォームを利用しつつ送信先だけを改竄する攻撃もあります。action属性を書き換えるというのは序の口で、スクリプトで入力値をチェックするタイプのフォームに対し、入力値チェックの関数を上書きするという荒技も……。

個人的な経験としては、過去に

……などと質問されたことがあります。ご希望に応えて非常に具体的な exploit を作り、受理していただきましたが。

• 「XSS は Cookie 漏洩だけではない」にコメントを書く

関連する話題: Web / セキュリティ

PS3

PS3 (www.amazon.co.jp) ですが、さっそく分解されていますね。

• 【PS3分解実況1】カバーを開けるにはコツがあった (techon.nikkeibp.co.jp)
• 【PS3分解実況2】12V/32Aの電源が現れる (techon.nikkeibp.co.jp)
• 【PS3分解実況3】扇風機が入っていた！ (techon.nikkeibp.co.jp)

扇風機ですか……。

そうなると気になるのが消費電力ですが、

• 【PS3】消費電力を測ってみた (techon.nikkeibp.co.jp)

……ということで、200W 前後と考えておけば良さそうですね。

• 「PS3」にコメントを書く

関連する話題: ゲーム

決め手は「貫通力」

「何かツールを使っているのですか?」と質問されたりしたのでメモ。……一年以上前の記事ですが、「webアプリケーション脆弱性レポート (www.nikkeibp.co.jp)」より。

ツールじゃなくて貫通力と。そのすぐ後に「Webサイト攻略のマイスターが検査」という見出しが出てきますが、この表現も面白いですね。

• 「決め手は「貫通力」」にコメントを書く

関連する話題: Web / セキュリティ

ダンベル

依然としてバランスボール (www.amazon.co.jp)が流行りすぎの今日この頃ですが、今度はむらまささんにダンベルをオススメされたり。床を傷つけないラバーコートされているタイプのもの (www.amazon.co.jp)がオススメらしいです。

• 「ダンベル」にコメントを書く

関連する話題: 出来事 / 会社 / バランスボール

mixiの画像参照問題修正?

mixi にメンテナンス終了のアナウンスが出ていますね。

えーっと、「画像が表示されない、または一定時間経過後に表示されなくなります」ということは、場合によっては外部からも一定時間見えてしまうということでしょうか。

仮にそうだとすると、どういう条件で見られるのでしょうか。また「一定時間」とはどのくらいの時間なのでしょうか。それが分からないと安心できないと思うのですが……。

※試しに mixi 日記に画像を貼ってみたので URL をメモ : http://ic50.mixi.jp/p/d757cf9dc84c62996bf25bbe1bd59ed55ef4c9fd32/45531200/diary/67/58/264466758_219s.jpg

• 「mixiの画像参照問題修正?」にコメントを書く

関連する話題: Web / セキュリティ

発売日にパッチ?

「プレイステーション ３」 １１月１１日からシステムソフトウェアアップデート開始 (www.jp.playstation.com)……だそうで、発売と同時にパッチが出ると。だったら最初からアップデートした状態で出荷しろよ……と思いますが、スケジュールがそれを許さなかったのでしょうね。

そういえば、もう明後日なのですね。

• 「発売日にパッチ?」にコメントを書く

関連する話題: ゲーム / PS3

ゲームセンターCX DVD-BOX 3

ゲームセンターCX DVD-BOX 3 (www.amazon.co.jp)、出るようです。

封入特典 : 有野課長名刺(台紙付き) ……ってちょっと欲しいですね。

• 「ゲームセンターCX DVD-BOX 3」にコメントを書く

関連する話題: ゲーム / DVD / ゲームセンターCX

dynabookのサイト直った

「東芝のサイトが恐ろしくセキュリティ的に激しく超超超超超ヤバイ」という話ですが、修正された模様です。

ちなみに「"g" を忘れている」というのは何の話だったのかというと、貫通方法から推測されたプログラムミスの話です。最初の問題修正後、「パラメータとして渡される URL に %22 などが含まれているとその文字は削除される」という仕様になっていたのですが、%22 を2個以上渡すと最初の1個しか削除されなかったため、%22 を複数書くと貫通することができたのでした (ちなみに %3c や %3e なども同様)。

推測ですが、プログラマは本来

というような処理を意図していて、しかしながら実際には

と書いてしまっていたために、誤動作していたものと思われます。つまり、末尾の "g" を忘れていると。

※とは言っても完全に想像の域を出ません。そもそも Perl なのかどうかすら分かりませんし。

それから実はもう一つ貫通方法がありました。「渡された URL が http://dynabook.com で始まらない場合は蹴る」という処理が行われていたのですが、この処理では駄目です。なぜなら、http://dynabook.com.bakera.jp などという URL が通ってしまうからです。

今では「URL が http://dynabook.com/ で始まらない場合は蹴る」という処理になっていて、別ドメインへの誘導は行えなくなった模様です (たぶん)。

ともあれ、私が把握していた範囲については直ったということで。

• 「dynabookのサイト直った」にコメントを書く

関連する話題: Web / セキュリティ

偽装請負

けっこう話題になったような気がするのですが、意外に知られていないような気がするのでメモ : IT業界のタブー「偽装請負」に手を染めてませんか (itpro.nikkeibp.co.jp)。

「情報サービス業に於ける請負の適正化のための自主点検表 (www.roudoukyoku.go.jp)」なんてのもありますね。発注先の従業員が、発注元の従業員から直接指示を受けて作業しているのはまずいということで。

※労働者派遣業には厳しい規制があるのですが、請負の形を取ると規制を回避できてしまうという脆弱性があり、脆弱性を突いて不正アクセスするのは違法だという話。

• 「偽装請負」にコメントを書く

関連する話題: 法律

バーナム効果

話題に出たのでメモ ……「究極の血液型心理検査 (www.senrigan.net)」。少し前に話題になっていた、「バーナム効果」の実証サイトです。およそ9割の人が「当たった」と判断したということで、まあ良く当たると。

そういえば、「古畑任三郎」にも「乙女座でA型といえば……」というネタがありましたね。

※3rd season DVD-Box (www.amazon.co.jp)に収録の「黒岩博士の恐怖」のオープニングのモノローグ。

• 「バーナム効果」にコメントを書く

関連する話題: 心理学 / 古畑任三郎

Flash で HTTP 要求ヘッダを改竄する話

「FlashでHTTPリクエストヘッダ操作 (d.hatena.ne.jp)」。

ということで、やはり「できるっぽい」ようですね。

あと問題は、これが Flash の仕様であって今後もそのままなのか、Flash Player の問題と認識されていて修正の見込みがあるのか、という点ですが……。

• 「Flash で HTTP 要求ヘッダを改竄する話」へのコメント (5件)

関連する話題: Web / セキュリティ / CSRF / Flash

Refererを捏造「させる」方法?

「CSRFとリファラー (www.freeml.com)」というお話。未確認ですが、Flash 経由でリクエストを出す際には Flash 側で HTTP 要求ヘッダに任意のフィールドを追加することができて、Referer: も追加できるのだそうで。そうだとすると、Referer: チェックによる CSRF 対策が突破される可能性がありますね。

ユーザ側の対策としては、スクリプトと ActiveX を無効にすることですかね……。

• 「Refererを捏造「させる」方法?」へのコメント (8件)

関連する話題: Web / セキュリティ / CSRF / Flash

base要素でいろいろ

「InternetExplorer6::base要素のstyle属性が全要素に効くのでJavaScriptも記述し放題 (d.hatena.ne.jp)」というお話。残念ながら IE7 ではうまく (?) 動作しないようで、検証できていませんが……。

base要素に style属性なんて存在しないはずなのに、それが解釈されてしまうという時点で問題ですね。しかも、this.innerText に body要素の innerText が入っている? そもそも、style属性中の expression の中で呼ばれた this はどうなるのが正しいのか、よく分かりませんが。

• 「base要素でいろいろ」へのコメント (2件)

関連する話題: Web / セキュリティ / HTML

ふたばの教室

またマンガですが。

• ふたばの教室 1 (www.amazon.co.jp)

Amazon のレビューの評価はやや低めですが、私は好きだなぁ。

• 「ふたばの教室」にコメントを書く

関連する話題: マンガ / 買い物

非常識なお問い合わせフォーム

「監修 日本常識力検定協会 いまさら人には聞けない 大人の常識力トレーニングDS (www.amazon.co.jp)」がちょっと気になったので、日本常識力検定協会のサイト (www.josikiryoku.com)を見てみたのですが、お問い合わせフォーム (www.josikiryoku.com)が凄いです。

まず、郵便番号、住所、電話番号の入力が必須です。返答にこれら全てが必要とは思えないのですが、これらの情報をどのように利用するのかは何処にも書かれていません。また、トップページには「セキュリティSSL対応」と書いてあるにもかかわらず、フォームはSSL保護なし。いちおう送信先は HTTPS のようですが、全く別のドメインになっているという……。ついでに言うと、スクリプト無効環境では送信できないというおまけ付きです。

確かに、あまりにも常識が欠如していると思いました。フォームについての基本的な「常識」を、もっとひろめる必要がありますね。

• 「非常識なお問い合わせフォーム」にコメントを書く

関連する話題: Web / セキュリティ / アクセシビリティ / SSL/TLS

マンガ諸々

そんな場合じゃないだろ、と言われそうですがいろいろ購入。

• あたしンち 12 (www.amazon.co.jp)
• みおにっき (www.amazon.co.jp)
• とらぶるクリック!! (www.amazon.co.jp)

• 「マンガ諸々」にコメントを書く

関連する話題: マンガ / 買い物 / あたしンち

安全なウェブサイトの作り方　改訂第2版

安全なウェブサイトの作り方　改訂第2版 (www.ipa.go.jp)が出たようで。

「HTTPヘッダ・インジェクション」は聞き慣れないと言えば聞き慣れないですが、きれいにまとまっていると思います。

HTTP応答ヘッダに CR+LF がインジェクションできてしまい、それによって HTTPレスポンス分割や任意の Cookie 発行や任意のレスポンスボディ生成ができるようなケースは良くあります。これを届け出ると、「HTTPレスポンス分割」と「クロスサイトスクリプティング」の 2件として扱われていました。これは 1件の「HTTPヘッダ・インジェクション」として処理された方が分かりやすいと思いますし、今後はそうなるのでしょう。たぶん。

ちなみに、とても厳密に言うと、RFC2616 の定義では

となっていて、ステータス行はヘッダとは別の扱いになっています。そう考えると、「Status: 200 OK」をインジェクションする技は「ヘッダ」インジェクションではないということになりそうな気もしますが、まあ、そこまで厳密にならなくても良いでしょう。

• 「安全なウェブサイトの作り方　改訂第2版」へのコメント (1件)

関連する話題: Web / セキュリティ / IPA / 情報セキュリティ早期警戒パートナーシップ / CSRF / RFC