スポンサーサイト 

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
  • [--/--/-- --:--]
  • スポンサー広告 |
  • トラックバック(-) |
  • コメント(-) |
  • この記事のURL |
  • TOP ▲

BlackHat Japan 2006 Briefings のメモ2 

●AJAXウェブアプリケーションへの攻撃: Web2.0の脆弱性
 アレックス・スタモス & ゼーン・ラッキー

Ajaxを使う際のセキュリティ面の懸念事項を紹介しており、特に以下の事項についてのお話があった。
  • XSS(Cross Site Scripting)
  • XSRF(Cross Site Request Forgeries)
  • FlashにおけるXHR(XMLHttpRequest)の制限

XSRFは、mixiの自動日記投稿で問題が顕在化していたのが記憶に新しい。
サーバ側へcrossdomain.xmlを設置しておくだけで、Flashのクロスドメイン制限が解除されるため、使用の際は十分注意が必要だとのこと。
(ググるとやばそうなサーバ一覧がずらずらと・・)
JavaScript周辺では、JSONPでクロスドメインを実現するサービスも出てきているため、この周りの知識はしっかり仕入れておきたい。

講演の最ではAjaxウェブサービス作成のフレームワークの紹介があった。
DWR、Atlas、Google Web Toolkitを紹介していたが、「これだ!」というものは無いらしい。
これらを使うにしても、XSSやXSRFに注意して開発を進める必要があるとのこと。


●イントラネットへの外部からの攻撃:進化するJavaScriptマルウェアとブラウザー奪取の危険性
 ジェレマイア・グロスマン

イントラネット上にある機器には、Webインタフェースから設定が行えるものが増えている。
その上でのXSSやXSRF等の脆弱性にも、十分に注意を払う必要がある。
またFWはHTTPを通す設定が多いため、イントラネット上のPCをマルウェアに感染させ、収集させた内部情報を外部にPOSTさせて、インターネット側でデータを受け取るという手法が流行りつつある。
実際にJavaScriptで80番、443番のポートスキャンを実行させるデモを行っていた。
FW等による境界セキュリティモデルだけで満足してはいけないというのが要点。


●国際化されたソフトウェアへの攻撃
 スコット・ステンダー

マルチバイト対応が進む中でのセキュリティ問題についての講話。
エンコード/デコードが行われる中で、想定外の攻撃を受ける場合がある。
例えばWin32APIのWC_NO_BEST_FIT_CHARSは無効にするのが望ましい。
有効にしている場合、対処を怠るとSQL Injectionに利用される場合がある。
エンコード/デコード周りの話は、知識もさることながら慣れが必要な気がするなぁ。


参考
【レポート】Black Hat Japan 2006 - 外部からイントラネット内にも攻撃可能、JavaScriptマルウェア (1) イントラネットには外部からアクセスできないという「認識」 (MYCOMジャーナル)
http://journal.mycom.co.jp/articles/2006/10/07/blackhat/

コメント

コメントの投稿















管理者にだけ表示を許可する

トラックバック

この記事のトラックバックURL

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。