ディレクトリトラバース、パストラバーサルともいう。
相対パス記法を利用して、管理者や利用者の想定しているのとは別のディレクトリのファイルを指定するソフトウェアの攻撃方法。
相対パス記法を悪用したディレクトリトラバーサル攻撃を受ける場合、意図しないファイルが読み出され、情報が漏えいする、既存のファイルが破壊されるなどの危険があるので、外部から入力されたパス名の検査が必要になる。
クロスサイト・リクエスト・フォージェリとディレクトリ・トラバーサルについて勉強しました。本記事はこれらの攻撃についてまとめています。なお、私はセキュリティに関してはずぶの素人で本記事にも誤りが含まれているかもしれません。その際はコメントでご指摘いただけると幸いです。 クロスサイト・リクエスト・フォージェリ どんな攻撃? セッションが確立した状態で罠のリンクを踏むことにより、意図しない操作が実行されてしまう攻撃です。 どうやって攻撃するの? 攻撃者は罠のリンクを作成し、掲示板等に貼り付けることによって攻撃の準備をします。実際にセッションが確立された状態の人が罠のリンクを踏まない限り攻撃は成立しま…
はじめに 先日WordPressで新しくブログサイトを立ち上げたのですが、WAFの攻撃検知ログを見ると20.213.240.186というIPから以下のような攻撃の形跡が...。 結論としては対象のプラグインを入れていなかったために問題はなかったです。 内容 各プラグイン等の脆弱性を狙ったディレクトリトラバーサル攻撃のようですね。 いずれも大事な情報が入っているwp-config.phpファイルを狙っていました。 おわりに WAF入れていなかったら全然気づけなかったです(;´∀`)
【辞書】 ◆CWE-22 パス・トラバーサル (JVNDB) https://jvndb.jvn.jp/ja/cwe/CWE-22.html ◆ディレクトリトラバーサル (Wikipedia) https://ja.wikipedia.org/wiki/%E3%83%87%E3%82%A3%E3%83%AC%E3%82%AF%E3%83%88%E3%83%AA%E3%83%88%E3%83%A9%E3%83%90%E3%83%BC%E3%82%B5%E3%83%AB 【ニュース】 ◆「アタッシェケース」にディレクトリトラバーサルの脆弱性 - アップデートで修正 (Security NEXT, …
はじめに SQL インジェクションとは? 概要 リスク 発生件数 攻撃方法 対策 根本的な対策 プレースホルダの利用 静的プレースホルダ 動的プレースホルダ エスケープ処理 保険的な対策 入力値の制限 適切なデータベース権限の設定 詳細なエラーメッセージの非表示 WAF の導入 まとめ We are Hiring!! 参考資料 はじめに こんにちは! 株式会社ユーザベース BtoB SaaS Product Team(以下 Product Team)の山室・利根です。 ユーザベースの Product Team には、全社のセキュリティを担うチームとは別に、プロダクトセキュリティの底上げを担うセ…
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは3章の『失敗例』について、Ruby on Rails ではどうするかについてをまとめます。 SQL インジェクション OS コマンドインジェクション パス名パラメータの未チェック例(ディレクトリトラバーサル) 不適切なセッション管理例(セッション ID の推測) クロスサイト・スクリプティングの例(エスケープ処理) CSRFの例 HTTP ヘッダ・インジェクションの例 メールヘッダ・インジェクションの例 参考 SQL インジェクション 参考資料内の…
はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけるのが好きで、プライベートでも脆弱性を探しています。 弊社には「IPA経由で脆弱性を報告すると報奨金がもらえる」という素晴らしい福利厚生が存在するため、脆弱性調査のモチベーションが高まります! さて、今回2つの脆弱性を発見したのですが、脆弱性が公表されるに至った経緯が興味深いものだったので紹介していきます。 CVE-2023-40587: Pyramid…
HTTP サーバーってどんな仕組みで動いてるのかずっと気になっていたのですが、 『ふつうのLinuxプログラミング』に説明 + c での実装があったため、その理解を元に適当に Go でやってみました。 ふつうのLinuxプログラミング 第2版 Linuxの仕組みから学べるgccプログラミングの王道新品価格¥2,722から(2023/11/1 01:22時点) [目次] まとめ サーバーとは クライアント側 サーバー側 Go で実装 目標 標準ライブラリでの実装 環境 必要なシステムコールを意識して実装 おわりに まとめ 先に思ったことをつらつらとまとめておきます。 興味があればさらに読み進めて…
安全なウェブサイトの作り方を読んだので、理解した内容を自分なりにまとめておきます。資料 上記は3章構成になっていてそれぞれ長めの内容なので、ここでは1章の『ウェブアプリケーションのセキュリティ実装』の設計や実装レベルの解決や対策方法についてまとめます。 上記の内容に沿って、Ruby on Rails での実装方法についても合わせてまとめておこうと思います。 根本的解決と保険的解決 ウェブアプリケーションのセキュリティ実装 SQL インジェクション 概要 発生しうる脅威 根本的解決 保険的対策 OS コマンドインジェクション 概要 発生しうる脅威 根本的解決 保険的対策 パス名パラメータの未チェ…
ソース(member only): medium.com 脆弱性:JWT 訳: JSON Web トークンは、商用アプリケーションで広く使用されているアクセス トークンの一種で。 これらは JSON 形式に基づいており、トークンの整合性を保証するためのトークン署名が含まれていて。 今日は、JSON Web トークン (および署名ベースのトークン全般) を使用することによるセキュリティへの影響と、それらが攻撃者によってアクセス制御をバイパスするためにどのように悪用される可能性があるかについて説明し。 JSON Web トークンはどのように機能しますか? JSON Web トークンは、ヘッダー、ペ…
1章 Web技術について ●ハイパーテキスト Webページの中に別のWebページへの参照を埋め込むことができる、Webを構成する文書。ハイパーテキストを作成する言語にHTML(HyperText Markup Language)がある。 ●APIとは ソフトウェア同士のやりとりを橋渡しする機能 ●静的ページと動的ページの違いは? 静的ページは同じコンテンツが送られる 動的ページとは要求(URL)によってコンテンツが変化するようなもの WebサーバはHTMLだけでなく画像などの静的ファイルを返すことができる ❓ Rubyはサーバーサイド・スクリプトか?それともクライアントサイド・スクリプトか? …
今回もIPAの資料をもとにパス名パラメータの未チェックによる脆弱性と対策についておさらいします。 パス名パラメータの未チェック/ディレクトリ・トラバーサル 発生し得る脅威 注意が必要なウェブサイトの特徴 根本的解決 保険的対策 パス名パラメータの未チェック/ディレクトリ・トラバーサル ウェブアプリケーションには、外部パラメータからのパラメータにウェブサーバ内のファイル名を直接指定しているものがあります。ファイル名指定の実装に問題がある場合、攻撃者に任意のファイルを指定され、ウェブアプリケーションが意図しない処理を行ってしまう可能性があります。 発生し得る脅威 サーバ内ファイルの閲覧・改竄・削除…
初めに 基本情報技術者試験の午前試験対策として、暗記が必要な部分について、個人的なチートシートを作ろうと思います。本記事はテクノロジ系です。午前中の範囲を一回通して学んだ方にとっては役に立つものになっていると思います。
いつか読み返した時に前日譚となるブログ。 この2ヶ月間勉強してきた応用情報技術者試験、ついに明日2023/10/08(日)が試験日だ。 相変わらず過去問ばかりやっていて、それが王道かつ正道であることに変わりはないが、一応、久しぶりに参考書を頭から舐めて単語集のチートシートを作ってみた。 単語を見て、内容を軽く誦んじられればok。 敢えてどのカテゴリに属する単語かは書いてないし、過去問に全然登場しないものも多いし、私の認識として怪しい部分だけ箇条書きにしているので万人に使えるものではないが、記念に公開しておく。 【応用情報技術者試験_午前問題チートシート】 基数変換 1の補数、2の補数 左論理シ…
ソース: infosecwriteups.com 脆弱性:BAC 訳: 403 Forbidden を回避する方法を。 https://www.belugacdn.com/blog/cdn/http-403-forbidden/ Mozilla のドキュメントによると、HTTP 403 Forbidden 応答ステータス コードは、サーバーがリクエストを理解している間、そのリクエストに対する承認を拒否したことを示し。 ただし、導入されているアクセス制御メカニズムが堅牢でない場合、攻撃者がセキュリティ対策を回避し、制限されたリソースにアクセスできる可能性があり。 403 をバイパスするには多くの…
Honeypotとは Welcome to Omotenashi Web Honeypotの略攻撃者をもてなし、サイバー攻撃を観察できるハニーポット github.com WOWHoenypotの特徴 主な仕組み デフォルト200 OK400系のエラーコードを返すと、攻撃者は通信を止めてしまうため、取れる情報が少ない→ 200 OKを返すことで、攻撃対象が存在すると誤認させる マッチ&レスポンス特定の通信に対して、特定の応答をするシグネチャを定義しておくことでハニーポットだと気づかれにくくする→(例:URIにwp-login.phpという文字列が含まれていたら、WordPressのログインペー…
1.情報処理安全確保支援士試験は、難易度が高い国家資格 2.情報処理安全確保支援士の資格に合格するための勉強法 3.情報処理安全確保支援士試験の勉強法①情報セキュリティの基礎学習 (1)参考書による学習 (2)インターネット記事での学習 (3)セミナーや通信教育による学習 (4)午前問題と他科目の学習 4.情報処理安全確保支援士試験の勉強法② 過去問の学習 5.情報処理安全確保支援士試験の勉強法③ セキュリティの実務および実機操作 6.プラス20点の勉強法 ①間違える原因は何? 7.プラス20点の勉強法 ②具体的な対策 【対策1】技術と知識を深く掘り下げて理解する 【対策2】正答を導くプロセス…
1.情報処理安全確保支援士試験は、難易度が高い国家資格 2.情報処理安全確保支援士の資格に合格するための勉強法 3.情報処理安全確保支援士試験の勉強法① 情報セキュリティの基礎学習 (1)参考書による学習 (2)インターネット記事での学習 (3)セミナーや通信教育による学習 (4)午前問題と他科目の学習 4.情報処理安全確保支援士試験の勉強法② 過去問の学習 5.情報処理安全確保支援士試験の勉強法③ セキュリティの実務および実機操作 6.プラス20点の勉強法① 間違える原因は何? 7.プラス20点の勉強法② 具体的な対策 【対策1】技術と知識を深く掘り下げて理解する 【対策2】正答を導くプロセ…
問36 SQL インジェクション攻撃による被害を防ぐ方法はどれか。 かなり昔に、SQLインジェクション脆弱性のあるプログラムを作ってしまったことがあります。というより、SQLインジェクション攻撃を想像できませんでした。のどかな時代でした。 ア 入力された文字が,データベースへの問合せや操作において,特別な意味をもつ文字として解釈されないようにする。 これがそうです。私は、 SELECT…FROM…WHERE 属性=[ブラウザから入力した値をそのまま使う] のようなプログラムを作っていたのでした。 イ 入力に HTML タグが含まれていたら,HTML タグとして解釈されない他の文字列に置き換える…