Archive for the ‘Security’ Category

EC-CubeのXSSとセッション固定の脆弱性について   12 comments

Posted at 2:31 pm in Security,XSS

こんにちは。暑いですね。相変わらずゴロゴロしておりますが、ゴロゴロしててもお腹も空くし、お金も減っていくんですよ。不思議ですね。

暑くてぐったりですね

暑くてぐったりですね

 

さて、昨日のことですが、EC-Cubeがアップデートされ、5つの脆弱性に関する修正がありました。

その中で「カート画面でのXSS脆弱性、及びセッション固定の脆弱性」という脆弱性について、報告者の立場から追加となる情報をいくつか書いておこうと思います。報告したのは今年の1月ですから4ヶ月でかけての修正となります。

なお、他の「パスワードリマインド機能における不適切な入力確認の脆弱性」、「一部環境における、管理画面の不適切な認証に関する脆弱性」、「お届け先複数指定画面でのXSS脆弱性」という脆弱性についての情報はありませんのであしからずご了承ください。つか誰か詳細を教えてください。
Read the rest of this entry »

Written by bogus on 5月 24th, 2013

googleの脆弱性を見つけて500ドルもらえるかもしれないライフハック   4 comments

Posted at 11:41 am in internet,Security,日記

こんにちは。お久しぶりですね。だんだん暑くなってきました。ぼくはScanに猫の連載をさせていただいたりしながら慎ましやかに暮らしておりますよ。

暑いので仕事はあんまり募集していませんが遊んでくれる人は大歓迎ですよ。

cats_2013-05-13_21

おはようございます。

さて、今日は去年の年末にGoogle mapsのXSSを見つけて報告してとっくに修正されていたにもかかわらず、なかなかgoogleのReword Recipientに掲載してもらえてなかったのですが、ようやく掲載されたのを記念して(もう2度とないと思いますからね)見つけたXSSと報告のあれこれについて書こうと思います。

とはいえ脆弱性としては別に大したもんではないのですが、まあ、そこは記念というか自慢というか、いいじゃないですか。

Read the rest of this entry »

Written by bogus on 5月 15th, 2013

Tagged with

ぼくがてきとうにかんがえたさいきょうのパスワード   2 comments

Posted at 6:17 pm in diary,internet,Security
cats_2013-04-07_2

春ですね

こんにちは。
ゴロゴロしてるうちにもう春だね。
ぼくはアラフォー無職街道を絶賛驀進中だよ。経済的な問題でいつか死ぬね。
そうならないようにハッカージャパンでちょっとだけ原稿書いてみたよ。読んでみてね。

このところgooとかyahoo!とかNTT東日本とかLINEとかが不正アクセスを受けてるみたいだね。
どうやらわるい人(スーパーハッカー!?)が、設定したパスワードを見つけ出したんだって。

運良くぼくのアカウントはクラックされてなかったけど、Webサービスのパスワードをどうすればいいのか悩んじゃうよね。

そこでぼくは、どんなパスワードを設定すればいいのか考えてみたよ。

●ユーザー名と同じ

ぼくがいちばんだと思ったのは、最強にわかりやすくて覚えやすい、これ、

ユーザー名=パスワード

だよね。

ぼくはbogusってユーザー名だからパスワードもbogus。
たぶんこれ、最強かも…超わかりやすいし。

・いいところ
おぼえやすい(ユーザー名と同じだしね!)
忘れても思い出しやすい(ユーザー名と同じだしね!)

・わるいところ
他人にも簡単に見つかっちゃうっぽい(ユーザー名と同じだしね!)

スーパーハッカーはこういうユーザーを狙ってたらしいよ。
世の中って大変だね。

●1234

アホなぼくでも簡単に思い出せる最強なパスワードだと思った

ユーザー名=パスワード

だけど、どうやら危険みたい。困ったね。

次に思いついたのが

1234

だよ。シンプルでわかりやすいよね。
好みに応じて0123とか1111とかもありだよね。
これなら銀行の暗証番号と使い回しがきくし便利だね。
・いいところ
おぼえやすい(短いしね!)
忘れても思い出しやすい(とりあえずわかんないと1234とか入れてみるよね)

・わるいところ
スーパーハッカーに結構簡単に見つけられそう(とりあえずわかんないと1234とか入れてみるよね)
何も考えず0から増やしていくと1235回で見つかっちゃう(コンピューターだと一瞬だよね)

知り合いのホワイトハッカー(かっこいい!)に聞いたんだけど、スーパーハッカーはこういうパスワードのユーザーを狙ってるらしいよ。

世の中って大変だね。

銀行みたいに3回失敗すると警察がくるようになればこれでもいいと思うけど、インターネットじゃそうもいかないみたいだね。

●password

うーん、さすがに4桁は見つかりやすいみたいだなあ… だんだん面倒になってきたね。
次に思いついたのが、パスワードだから

password

これは他の人には思いつけないスペシャルなパスワードだよね。

・いいところ
おぼえやすい
忘れても思い出しやすい(とりあえずわかんないとpasswordとか入れてみるよね)
8文字あるのでスーパーハッカーの無慈悲な連続攻撃には耐えられるかも(さすがにサービス側が止めるよね)

・わるいところ
スーパーハッカーに結構簡単に見つけられそう(とりあえずわかんないとpasswordとか入れてみるよね)

知り合いのホワイトハッカー(かっこいい!)に聞いたんだけど、スーパーハッカーはこういうパスワードのユーザーも狙ってるらしいよ。

ええーっ

困ったなあ。

じゃあ、この3つパスワード足せばいいんじゃね?

bogus1234password

 

お、そういう手もありますね。

ということで身近なパスワード3つくらい足せばいいんじゃないか思いました。

(飽きたので終わり)

Written by bogus on 4月 8th, 2013

「ハッカーの手口」でちっともハッカーの手口が紹介されていない件   6 comments

Posted at 8:34 pm in book,computer,diary,internet,Security

お久しぶりです。こんばんは。
ラックの株価がどんどん上がっていくのを指をくわえてみているこの数日です。株持ってる人ごちそうしてください。

cats_2013-03-06_6

遠くからチラ見の引きこもり

最近、Amazonギフト券をたくさん手に入れたので調子に乗ってます。で、電子書籍でも買うべ、と思って、初心者向けに説明するのによさげだと某サイトで紹介されていた「ハッカーの手口」という本を買ってみたのですが、これがいろいろ残念だったので、どこが残念に思ったのか、メモを公開します。

買おうとお思っている人は参考にでもしてみてください。

全体として
・「ハッカーの手口」について全く書かれていないので0点。
・タイトルだけ「ハッカー」にして、まえがきに『便宜上「ハッカー」という言葉を使用していますが、ハッカーの原義は「技術に詳しい人で」犯罪者を含意するものではありません。犯罪を行う人は「クラッカ」と呼ぶべきです、』という説明の後、すべて「クラッカ」の手口の説明ってのは「ハッカー」の手口を知りたいと思って買った読者をバカにしてないか?
・これを読んだだけの人にセキュリティの話とかされると困る

以下個々の項目について
Read the rest of this entry »

Written by bogus on 3月 6th, 2013

imgboard におけるクロスサイトスクリプティングの脆弱性について   no comments

Posted at 2:57 pm in internet,Security,XSS

こんにちは。もはや2月ですね。

相変わらずわたくしの方はゴロゴロと家の中を転がったりネコを愛でたりしています。たまには外に出てお友達に遊んでもらったりもしていますが、たまに原稿を書くほかは貯金を食いつぶす毎日でございます。

cats_2013-02-13_6

最近一番仲のいいお友達

で、それはいいとして14日にJVNから「imgboard におけるクロスサイトスクリプティングの脆弱性」という情報が公開されました。なんか見覚えあるなあと思ったら自分の名前も載っていました。東内です。ああそういえば結構前に報告してとっくに修正されてたあれだー。

Read the rest of this entry »

Written by bogus on 2月 15th, 2013

いくつかの地方自治体のWebサイトのXSS脆弱性について   2 comments

Posted at 8:43 pm in Security,XSS

こんにちは。さまよえる無職の山本です。もう花粉症が始まったのかひどい病気なのかわかりませんが右目がかゆくてたまりません。

それはともかく、年末にゴロゴロしながらテレビを見ていましたら、ある町のことが話題になりまして、そうなるととりあえずググってみるじゃないですか。そしたらその町のサイトなんかが出てくるからちょっと見てみるじゃないですか。
でちょっと見たら怪しい香りがするんですよねー。で、ちょっと調べてみたら、ありました。XSS。

私はログインできるわけじゃないんですが、まあ、変なタグや画像は埋め込めちゃうわけじゃないですか。anonymousにかぶれてるような中学生なんかが見つけてしまったら「Hacked By Silence200」みたいなのを埋め込まれて(昨日やってるのをtwitterで見かけました)拡散されてしまうわけじゃないですか。ああ、恥ずかしい。

それに、後述するようにCMSなので、管理する人はきっとログインするはずなので、ログインしてから変なURL踏んでしまったら、セッションハイジャックされるじゃないですか。いやーん。

cats_2012-12-16_1

年末ゴロゴロしているときのお話です

 

Read the rest of this entry »

Written by bogus on 1月 23rd, 2013

江ノ島に行ってゆたかくんに会ってきたよのこぼれ写真   2 comments

Posted at 12:32 pm in diary,Security,ねこ

江ノ島のゆたかくんに会いに行って会えず、すごすご退散した話は、前のエントリで書かせていただきましたが、

そのエントリを見たScanの方にお声がけいただき、2度目のチャレンジをして、ついに会ってきました。そのことは

【フォトレポート】江ノ島の階段を上って、遠隔操作ウイルス事件のゆたかくんに会ってきました

に書かせていただきましたので、ぜひご覧ください。

そしてそこでは掲載しきれなかったゆたかくん写真とゆたかくん以外の写真を掲載しておきます。

ゆたかくん

ごはんを垂らすゆたかくん

Read the rest of this entry »

Written by bogus on 1月 22nd, 2013

今年見つけて公表された脆弱性についてまとめてみた   5 comments

Posted at 7:14 pm in internet,Security

こんにちは。世間はそろそろ冬休みですが、私はすでに冬休みです。仕事ありません。

cats_2012-12-16_7


仕事ないので寝逃げ

仕事がない=収入もないのでお腹が減らないように毛布をかぶってじっとしているこの数日なので、このままでは年を越す前に猫のご飯代もなくなってしまうのではといろんな意味で震えています。

Read the rest of this entry »

Written by bogus on 12月 17th, 2012

BIGACEの脆弱性について   no comments

Posted at 11:46 am in internet,Security

こんにちは。
もう12月ですね。寒いですね。もうすぐ冬休みですね。
ぼくはもうすぐ強制冬休みです。仕事ください。

チラ見せ

しばらく何にも書いてなかったので、先日修正されたと報告が来ていたBIGACEというCMSのセッションフィクセーション(セッション固定)脆弱性というのについて書こうかと思います。報告したのを見ると5月なのですっかり忘れているので(見つけたのはもっと前)、思い出しつつ書こうかと思います。

マイナーなCMSなので、あまり使っている人はいないと思いますが、まあ、そういうこともあるんだなあと、ちょっと考えていただければ。

JVNはこれですね。
http://jvn.jp/jp/JVN60931933/index.html
CVEのIDはCVE-2012-5173です。
それはそうと英語版の報告者の綴りが間違ってるので他と合わせてもらえるとうれしいです>IPAの人

Read the rest of this entry »

Written by bogus on 12月 3rd, 2012

無線LANセキュリティの教科書2013発売されました   2 comments

Posted at 11:11 am in book,internet,Security

こんにちは。10月から11月にかけてヒーコラ言いながら原稿を書いてラフを切った「無線LANセキュリティの教科書2013」が発売されましたよ。今回の試みは初めてイラレでラフを切ったこと。意外と何とかなった&必勝ガイドの人の気持ちがちょっとわかりました。最近会ったガイドの人たちはももクロとAKBの話しかしてなかったので、人がどんなふうにラフ作ってるのかは不明です。会社変わったから心機一転して手引きになってるかもしれません。原点回帰ですね。

そんな、このエントリを主に読まれているセキュリティクラスタの人にとって本当にどうでもいいことは置いといて、ちょっとだけ内容の紹介をしたいと思います。

無線LANセキュリティの教科書2013

Read the rest of this entry »

Written by bogus on 11月 14th, 2012