nezさんの思い出
一晩経って気持ちの整理がついたのでつらつらと書いてみる。
nezさんが、逝かれた。
あまり詳しくはかけないけど、状況的にしょうがないのかという思いと、その状況のときにやり取りした、最後の一言だけじゃなくて、もう少しかける言葉があったのではないかと、ちょっと後悔している。
nezさんと、最初にお見かけしたのは、たぶん、sambaのメーリングリストで2000年前後が最初じゃなかったかとおもう。
そのあと、connect24h-mlで、いろいろとパンチの効いた書き込みをしていただいて、その後、無線LANセキュリティ関係での連載やセキュリティ・キャンプ講師としてのご活躍は、みなさんもよくご存知かと思います。
書籍では、「平成27年度【春期】【秋期】情報セキュリティスペシャリスト試験によくでる問題集【午前・午後】」でご一緒させていただきました。
http://d.hatena.ne.jp/asin/4774169390
セキュリティ・キャンプの講師部屋での、教育に対する熱い思いが今でも思い出されます。
最後にお会いしたのも、2013年のセキュリティ・キャンプ全国大会が最後です。道後にも来られる予定と聞いていたので、久々にお会い出来るのを楽しみにしていたので、本当に残念です。
自分自身、ちょうど3年前の1月にバイクに後ろから轢かれて、家族全員を集中治療室の前で待たせてしまう事案が有りましたし、実は死はすぐそこにあるのかもしれません。
自分も、そろそろ、先が見えてきた年になったことを実感したので、nezさんの足跡に負けないように、足を踏みしめて歩いていかなければと思いました。
nezさん、安らかに。
平成27年度【春期】【秋期】情報セキュリティスペシャリスト試験によくでる問題集【午前・午後】
- 作者: 濱本常義,根津研介,宮本久仁男,杉谷智宏,園田道夫,上野宣
- 出版社/メーカー: 技術評論社
- 発売日: 2015/01/21
- メディア: 単行本(ソフトカバー)
- この商品を含むブログを見る
VMwareからVirtualBoxへの仮想マシンの移行法法
セキュリティ・キャンプ九州、セキュリティ・ミニキャンプ中国(広島)が無事に終わって、皆さん、お疲れ様でした。
今回は、Virtualboxのトラブルに始まって、そのトラブルで終わったという感じなので、後進のためにメモを残しておく。
過去にVMware Playerが無償で便利だったこともあって、多くのかたがVMware形式の仮想マシンをお持ちだと思います。
しかしながら、VMware Playerの非商用利用の厳格化で、コンプライアンス的に個人利用以外の利用を避けた方が良い状況なので、VMware Playerの仮想マシンのVirtualBoxの仮想マシンへの移行の手順をまとめておこうと思います。
単なるコンバートは、VMware Playerのovftoolでovf化すれば良いようです。Macならツールにパスが設定されていますがWindowsはパスが通ってないので、フルパスを書いてコマンド実行する必要があります。コンバートには10数分から数十分かかります。参考にしたサイトは以下です。
[VM] VMWAREのイメージをVIRTUALBOXで読み込むには(OVF経由での読み込み)
http://april.fool.jp/blogs/2013/08/vm-vmware%E3%81%AE%E3%82%A4%E3%83%A1%E3%83%BC%E3%82%B8%E3%82%92virtualbox%E3%81%A7%E8%AA%AD%E3%81%BF%E8%BE%BC%E3%82%80%E3%81%AB%E3%81%AF/
- ovfファイルの正規化
VMwre Playerのovftoolで作成したovfファイルは、VirtualBoxと相性がよくありません。正常に起動すればよいですが、うまくいかないときはどはまりになります。インポートには成功しますが、実際に仮想マシンの起動時にカーネルパニックや、HDDの起動エラーに今回は悩まされました。
VMwre Playerのovftoolで作成したovfファイルは、Virtualboxで正常にインポート後、再度、Virtualboxでエクスポートしてovfファイル化したほうが、Virtualboxのバギーさを吸収してくれるようです。ただ、ovfファイルのインポートには時間が掛かるし、Virutalboxの仮想マシンのvboxファイルをそのまま起動したほうが手間はかからないのですが、このvboxファイルがトラブルの元です。
VMware Playerが仮想マシンの実行がかなりアバウトで、Windows、Mac、OSが変わっても、バージョンが変わっても、ちゃんと仮想マシンを起動してくれるていたのですが、Virtualboxはかなりバギーです。VMware PlayerのVMXファイルが、可読性に優れた設定ファイルであったのに対して、VirutalBoxのVBOXファイルはXMLファイルで設定内容がよくわかりません。Dドライブで作った仮想マシンをCドライブの別のマシンで起動しようとするとエラーで上手く動かなくて、VBOXのファイルを手動で書き変えてもうまくいきませんでした。こういう仕様もあるので、WindowsとMacが混在するような演習時には、ovf ファイル化でインポートしたほうがトラブルは少ないと思われます。
- Virutaboxの仮想マシンから直接仮想HDDを指定する場合
ovfファイルをつかわずに移行しようとして、VMwareからVirtualBoxへの仮想マシンの移行に失敗することがあります。その場合、仮想HDDを指定すれば、上手く起動できることが有ります。仮想マシンがVirtualBoxで仮想マシンをタイプ(OS)とバージョンを合わせて作って、その際に「仮想ハードドライブを追加しない」設定で作成する必要があります。その後に仮想マシンイメージをHDDコントローラを合わせて、既存の仮想HDDを指定すれば良いようです。参考のURLを貼っておきます。OWASP BWA (The Broken Web Applications) の移行は、この方法でうまく行ったようです。
VirtualBoxでVMWareの仮想マシンイメージ(.vmdk)をそのまま読み込ませる方法
http://www.lanches.co.jp/blog/2083
- Virutalboxで同じ仮想マシンをコピーして起動したらUUIDが重複していると言われた場合
Virutalboxで同じ仮想マシンをコピーして起動したらUUIDが重複しているといわて起動できない場合があります。その場合は、下記のURLを参考にUUIDを指定しなおせば仮想マシンのHDDに、UUIDが再度指定されます。しかし、VBOXファイルは、旧UUIDが指定されているので、旧UUIDを新UUIDに置換しても上手く動きませんでした。心機一転、新規仮想マシンを作って「Virutaboxの仮想マシンから直接仮想HDDを指定する場合」の方法を実行してもらえれば上手く起動します。
VirtualBoxのVHDをコピーして起動したらエラー!UUID重複を回避する魔法のコマンドとは?
http://jisakupc-technical.info/windows/4513/
皆さんの参考になれば幸いです。
初心者Webアプリケーション開発者がチェックすべき情報源2015
毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。
去年に引き続き、最低限のものに絞ってみた。
上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。
必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。
書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリティ」と「実践 Fiddler」を掲載したけど,他に良い本があれば情報プリーズ。
この情報もあったほうが良いんじゃね?という情報も大歓迎。
■重点 ★Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html 安定の第7版2刷。Web開発の委託先仕様書の代わりにも使える。 セキュリティ実装 チェックリスト(Excel形式、18K)Excel 安全なSQLの呼び出し方(全40ページ、714KB) ウェブ健康診断仕様(全30ページ、784KB) ★発注仕様 OWASP Web システム/Web アプリケーションセキュリティ要件書 https://www.owasp.org/index.php/File:Web_application_security_requirements.pdf ただし、また上野宣。更新マダー。 ★書籍 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 http://www.amazon.co.jp/dp/4797361190/ 徳丸 浩 (著) ,価格:¥3,360 電子書籍版は安いし、持ち運べるし、良いと思います。 めんどうくさいWebセキュリティ http://www.amazon.co.jp/dp/4798128090/ Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳) 価格:¥ 3,129 実践 Fiddler http://www.amazon.co.jp/%E5%AE%9F%E8%B7%B5-Fiddler-Eric-Lawrence/dp/4873116163 Eric Lawrence (著), 日本マイクロソフト株式会社 エバンジェリスト 物江 修 (監訳) (翻訳), 長尾 高弘 (翻訳) 価格:¥ 3,456 とりあえず買っといて損はない。 ★脆弱性 OWASP Top 10 2013 (日本語) https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf Webアプリケーションを作る前に知るべき10の脆弱性 ■セキュアWebアプリケーション開発 ★IPA セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/vendor/programming/index.html 歴代プログラミング講座と、セミナー資料へのリンク集もあるから、Web開発のセキュリティプログラミングのポータルてして学んでいくとよい。 ただ、IPAさん的には「安全なウェブサイトの作り方」のほうが主力っぽいね。 関連 『セキュア・プログラミング講座(Webアプリケーション編)』ブートアップセミナー資料 http://www.ipa.go.jp/files/000030878.pdf 『セキュア・プログラミング講座(Webアプリケーション編)』マッシュアップセミナー資料 http://www.ipa.go.jp/files/000035950.pdf ★JPCERT:セキュアコーディング http://www.jpcert.or.jp/securecoding.html コンテンツてんこ盛り。以下、引用。 セミナー Android セキュアコーディングセミナー資料(英語版) Java セキュアコーディングセミナー資料 C/C++ セキュアコーディングセミナー資料 セキュアコーディングスタンダード CERT C セキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle 版 書籍 C/C++ セキュアコーディング C/C++ セキュアコーディング 第2版 CERT Cセキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle版 セキュアなソフトウエア開発を支援する資料 Java アプリケーション脆弱性事例解説資料 「Java セキュアコーディング 並行処理編」 OWASP「ソフトウエアセキュリティ保証成熟度モデル」 翔泳社 Codezine 連載集 「動けばいいってもんじゃない」 脆弱性を作り込まないコーディング(全6回) 実例で学ぶ脆弱性対策コーディング(全9回) HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書 https://www.jpcert.or.jp/research/html5.html 英語版も公開されている OWASP 蛇とはしご 日本語訳 https://www.owasp.org/index.php/OWASP_Snakes_and_Ladders ボードゲームを通してOWASP Top 10, OWASP Proactive Controls の価値を啓発するもの。モバイルアプリの開発に役立つ版もある。 「HTML5時代の「新しいセキュリティ・エチケット」」最新記事一覧 http://www.itmedia.co.jp/keywords/html5_sec.html 現在、4記事 ・重要! まずは「オリジン」を理解しよう ・単純ではない、最新「クロスサイトスクリプティング」事情 ・知っていれば恐くない、XMLHttpRequestによるXSSへの対応方法 ・これなら合格! 正しいリダイレクターの作り方 “誤認逮捕”を防ぐWebセキュリティ強化術 http://itpro.nikkeibp.co.jp/article/COLUMN/20130218/456762/ 遠隔操作ウイルス事案事例対策 [1]なりすましの攻撃手法 [2]CSRFとクロスサイトスクリプティング [3]HTTPヘッダーインジェクションとクリックジャッキング [4]DNSリバインディング [5]暗号化の“皮”を重ねて匿名性を確保する「Tor」 Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本 〜クロスサイトスクリプティング脆弱性とは?〜 http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html Webアプリケーションに潜むセキュリティホール http://www.atmarkit.co.jp/ait/kw/webapp_hisomu_securityhall.html もう、だいぶ古いんだけどね。 第1回 サーバのファイルが丸見え?! 第2回 顧客データがすべて盗まれる?! 第3回 気を付けたい貧弱なセッション管理 第4回 エラーメッセージの危険性 第5回 Webアプリケーションの検査テクニック 第6回 Webサイトのセッションまわりを調べる方法 第7回 攻撃されないためのセッション管理の検査方法 第8回 Webサイトの問い合わせ画面に含まれる脆弱性 第9回 オンラインショッピングにおける脆弱性の注意点 第10回 安全なWebアプリケーション開発のススメ 第11回 Webアプリケーションファイアウォールによる防御 第12回 mod_securityのXSS対策ルールを作成する 第13回 OSコマンドインジェクションを防ぐルールを作成する 最終回 Webアプリケーションの脆弱性を総括する Webアプリにおける11の脆弱性の常識と対策 http://www.atmarkit.co.jp/ait/articles/0909/01/news158.html クロスサイトスクリプティング対策の基本 http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html クロスサイトスクリプティング対策の基本(前編) クロスサイトスクリプティング対策の基本(中編) クロスサイトスクリプティング対策の基本(後編) ちょっと古いけど、安心の国分さんの記事なので掲載。 ■スマートフォンセキュリティ Javaセキュアコーディング入門 http://codezine.jp/article/corner/437 Androidアプリの配布パッケージapkの解析について Javaの参照型変数とセキュリティ スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について AndroidアプリにおけるDBファイルの正しい使い方 ハッシュテーブルに対する攻撃手法のはなし 整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正 ContentProviderのアクセス範囲 ――Dropboxにおける脆弱性の修正 Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果 イチから始める! Androidセキュリティ 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_androbasic.html スマートフォンで「できちゃうこと」って? 知ってるつもりで知らない端末のほんとの挙動 デバッグ情報にご用心! 要注意! 本当は怖い出力データ 見せたくないなら「持たせない」が鉄則! 『Androidアプリのセキュア設計・セキュアコーディングガイド』【2014年7月1日版】 http://www.jssec.org/report/securecoding.html Android Security - 安全なアプリケーションを作成するために http://www.taosoftware.co.jp/android/android_security/ OWASP モバイルセキュリティプロジェクト - トップ10モバイルコントロール https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit http://www.slideshare.net/uenosen/web-2010-3241609 Apple セキュアコーディングガイド https://developer.apple.com/jp/documentation/SecureCodingGuide.pdf
初心者Webアプリケーション開発者がチェックすべき情報源2014
毎年恒例の「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。
去年は手を広げすぎてかえって反応が悪かったので、最低限のものに絞ってみた。
上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。
必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているものを選択。
書籍としては、徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」、「めんどうくさいWebセキュリティ」と「実践 Fiddler」を掲載。
「HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書」を追加。
■重点 ★Webサイト構築 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/websecurity.html LASDECなどで公開されていたウェブ健康診断仕様が別冊に加わった。標準チートシートとして使える。 セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ウェブ健康診断仕様(全30ページ、784KB) ★発注仕様 OWASP Web システム/Web アプリケーションセキュリティ要件書 https://www.owasp.org/images/8/88/Web_application_security_requirements.pdf ただし、また上野宣。 ★書籍 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 http://www.amazon.co.jp/dp/4797361190/ 徳丸 浩 (著) ,価格:¥3,360 電子書籍版もある。 めんどうくさいWebセキュリティ http://www.amazon.co.jp/dp/4798128090/ Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳) 価格:¥ 3,129 実践 Fiddler http://www.amazon.co.jp/%E5%AE%9F%E8%B7%B5-Fiddler-Eric-Lawrence/dp/4873116163 Eric Lawrence (著), 日本マイクロソフト株式会社 エバンジェリスト 物江 修 (監訳) (翻訳), 長尾 高弘 (翻訳) 価格:¥ 3,456 ★脆弱性 OWASP Top 10 2013 (日本語) https://www.owasp.org/images/7/79/OWASP_Top_10_2013_JPN.pdf Webアプリケーションを作る前に知るべき10の脆弱性 ■セキュアWebアプリケーション開発 ★IPA セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/vendor/programming/index.html 歴代プログラミング講座と、セミナー資料へのリンク集もあるから、Web開発のセキュリティプログラミングの ポータルてして学んでいくとよい。 特に旧プログラミング講座のほうがコーディング事例もあるので、より理解しやすい。 ★JPCERT:セキュアコーディング http://www.jpcert.or.jp/securecoding.html C/C++ セキュアコーディングセミナー資料 CERT C セキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle 版 翔泳社 Codezine 連載集 「動けばいいってもんじゃない」 脆弱性を作り込まないコーディング(全6回) 実例で学ぶ脆弱性対策コーディング(全9回) HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書 https://www.jpcert.or.jp/research/html5.html “誤認逮捕”を防ぐWebセキュリティ強化術 http://itpro.nikkeibp.co.jp/article/COLUMN/20130218/456762/ 遠隔操作ウイルス事案事例対策 [1]なりすましの攻撃手法 [2]CSRFとクロスサイトスクリプティング [3]HTTPヘッダーインジェクションとクリックジャッキング [4]DNSリバインディング [5]暗号化の“皮”を重ねて匿名性を確保する「Tor」 Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本 〜クロスサイトスクリプティング脆弱性とは?〜 http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html Webアプリケーションに潜むセキュリティホール http://www.atmarkit.co.jp/ait/kw/webapp_hisomu_securityhall.html 第1回 サーバのファイルが丸見え?! 第2回 顧客データがすべて盗まれる?! 第3回 気を付けたい貧弱なセッション管理 第4回 エラーメッセージの危険性 第5回 Webアプリケーションの検査テクニック 第6回 Webサイトのセッションまわりを調べる方法 第7回 攻撃されないためのセッション管理の検査方法 第8回 Webサイトの問い合わせ画面に含まれる脆弱性 第9回 オンラインショッピングにおける脆弱性の注意点 第10回 安全なWebアプリケーション開発のススメ 第11回 Webアプリケーションファイアウォールによる防御 第12回 mod_securityのXSS対策ルールを作成する 第13回 OSコマンドインジェクションを防ぐルールを作成する 最終回 Webアプリケーションの脆弱性を総括する Webアプリにおける11の脆弱性の常識と対策 http://www.atmarkit.co.jp/ait/articles/0909/01/news158.html クロスサイトスクリプティング対策の基本 http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html クロスサイトスクリプティング対策の基本(前編) クロスサイトスクリプティング対策の基本(中編) クロスサイトスクリプティング対策の基本(後編) ちょっと古いけど、安心の国分さんの記事なので掲載。 ■スマートフォンセキュリティ Javaセキュアコーディング入門 http://codezine.jp/article/corner/437 Androidアプリの配布パッケージapkの解析について Javaの参照型変数とセキュリティ スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について AndroidアプリにおけるDBファイルの正しい使い方 ハッシュテーブルに対する攻撃手法のはなし 整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正 ContentProviderのアクセス範囲 ――Dropboxにおける脆弱性の修正 Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果 イチから始める! Androidセキュリティ 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_androbasic.html スマートフォンで「できちゃうこと」って? ああああ知ってるつもりで知らない端末のほんとの挙動 デバッグ情報にご用心! 要注意! 本当は怖い出力データ 見せたくないなら「持たせない」が鉄則! Androidアプリのセキュア設計・セキュアコーディングガイド http://www.jssec.org/report/securecoding.html Android Security - 安全なアプリケーションを作成するために http://www.taosoftware.co.jp/android/android_security/ OWASP モバイルセキュリティプロジェクト - トップ10モバイルコントロール https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit http://www.slideshare.net/uenosen/web-2010-3241609
バカッター事例集
これはすばらしい。超使える。
【バカッター】【馬鹿発見器】twitterでの発言による逮捕者(書類送検者)まとめ
http://uguisu.skr.jp/recollection/twitter.html
【バカッター】【バカ発見器】ツイッターの主な暴露・炎上騒動のまとめ
http://uguisu.skr.jp/recollection/twitter2.html
【Twitter】ツイッターの決定的瞬間、お手柄撮影まとめ
http://uguisu.skr.jp/recollection/twitter3.html
GMO ロリポップ不正アクセス騒動をまとめてみた。(メモ)
昨日から、Wordpress関係のWeb改竄がJPドメインに対して行われています。低価格のblogサービスを提供しているサイトのロリポップやGMOのInterQなどが被害を受けているようです。
原因は.htaccessとwp-config.phpの初期パーミッションが
◆.htaccess → 644
◆wp-config.php → 444
だったようなので、同一サーバ内のユーザが侵入された場合、他のユーザの情報も閲覧可能であったため、wp-config.phpからDB情報(table名、ユーザID、パスワード)を取得して各ユーザのDBに不正アクセスしたのではないかと思われます。
公式見解が出ていないため、あくまで推測です。
最終的に
◆.htaccess → 644→604→600
◆wp-config.php → 444→404→400
へアクセス権を変更したようですが、それでも、不正アクセスを受けているのは、DB情報(table名、ユーザID、パスワード)がだだもれして、ハッカーサイトに情報が漏洩して、中華も参戦してやられ放題なのが、今の現状かな?
当初、ホスティング会社としては、被害を受けたのは、あくまでユーザの設定ミス(本当は、システム側の初期設定ミスだと思う)という立場のようですが、昨今まれに見る初動の失敗ですね。
どうも、ロリポップはMySQLのDBへインターネットから接続し放題だったようですし、当初のロリポップが指導していた本事案のセキュリティ対策もピントはずれだったし、被害者にはもうしわけないですが、ものすごく、今年度を代表する事例となってしまいました。
昨日、facebookのほうにまとめていましたが、あまりに被害が広がっているので、情報提供の一助となればと、はてな の方に公開しておきます。
ちなみに、AWSなんかへの民族大移動も起きているみたいなんで、ロリポップさんは、本当にちゃんとやらないと、ユーザ、みんな逃げちゃうと思いますよ。ほんと。
気がついた情報はまた追記していきます。
【追記:】
当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について
http://lolipop.jp/info/news/4149/
[2013/08/30 19:13 追記]から、WordPressのプラグインの脆弱性から、特定ユーザに侵入、その後、wp-config.phpのパーミッションミスから、すべてのユーザのwp-config.phpファイルの中身を抜かれて、対策後は、漏洩したDB情報を元に不正アクセスが続いていたようです。
昨日の昼以降の対応は、悪く無いと思いますが、ファーストサーバの事例と同じく、未検証の設定を流し込んでしまって、被害が拡大したりと、緊急対応の準備が全く足りていなかったことで2時被害が出てしまっています。これもまた、良い事例になってしまいましたね。他山の石として、皆さん、事前対策が重要だということを学びましょう。
【2次被害】ロリポップサーバーの予告無しフルパス変更で影響が出た人続出
http://matome.naver.jp/odai/2137777056565722101
ロリポップのMySQLサーバのインターネット外部へのポート開放も、対策されたんですかね?
公式発表はないようですが・・・
[MySQL] ロリポップは、MySQLサーバにグローバルから接続できる(ものがある)?
http://d.hatena.ne.jp/ozuma/20120503/1335975957
■Web改竄情報 下記のURL参照は大丈夫ですが、ここから、ミラー閲覧注意。ウィルス感染する可能性があります。 Zone-H http://zone-h.org/archive wp-login.php が軒並みやられています。 JPドメイン Web改竄速報 http://izumino.jp/Security/def_jp.html ツイッターアカウント https://twitter.com/def_jp ■関連記事 【緊急警報!!】ロリポップとGMOのinterQのWordPressが軒並み乗っ取られてます http://www.landerblue.co.jp/blog/?p=8402 続) ロリポップのWordPress大量乗っ取りについての推測と対応 http://www.landerblue.co.jp/blog/?p=8416 ロリポップ騒動から、AWS移行で死んだ日 http://www.landerblue.co.jp/blog/?p=8448 サイト改ざん警報:WordPress でのパーミッション設定に気をつけろ! http://blogs.itmedia.co.jp/sakamoto/2013/08/wordpress-f918.html 【2次被害】ロリポップサーバーの予告無しフルパス変更で影響が出た人続出 http://matome.naver.jp/odai/2137777056565722101 もともと、Wordpressを狙った攻撃は4月〜多発しています。 WordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法 http://reynotch.blog.fc2.com/blog-entry-583.html ■ホスティング会社の見解 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/ 1)セキュリティ面の強化の為、下記のお客様のサーバー領域に設置されているWordPressにおいて、wp-config.php のパーミッションを「400」に変更いたしました。 2)全ファイルに対してウィルススキャンを実行し、不正なファイルを検知した場合、パーミッションを「000」に変更いたします。 ロリポップ!レンタルサーバーより、セキュリティに関する重要なお知らせです https://lolipop.jp/security/ 対策にadminユーザのユーザID名とパスワード変更が抜けている気がします。 あと、DBのID、パスワード変えろというのも抜けている気がする。 ■Wordpressのセキュリティ対策 HASHコンサルティング株式会社代表の徳丸浩が書く会社公式ブログです。 http://blog.hash-c.co.jp/2012/12/how-to-protect-your-wordpress-on-lolipop.html 安心の徳丸印。 「WordPressの守りを固める」のまとめの章の訳 http://ja.naoko.cc/2013/04/13/wordpress-brute-force-attack/ WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目 http://wp-d.org/2012/10/18/806/ WordPress のユーザー名 admin を変更してみる http://8bitodyssey.com/archives/4007 新規にAdmin権限のユーザを作って、移行する場合 WordPressのadminユーザー名を変更するプラグイン http://five-four.co.jp/design0003/ プラグ員を使って、adminユーザ名を変更 WordPressへの不正アクセスログを記録して見せてくれるプラグイン Crazy Bone http://www.msng.info/archives/2013/05/wordpress-crazy-bone.php WordPressのセキュリティを徹底強化 http://csspro.digitalskill.jp/チュートリアル/ワードプレス/wordpressのセキュリティ強化/ WordPress初心者向け セキュリティ強度をできる限り上げる方法 http://www.landerblue.co.jp/blog/?p=7410 WordPressのセキュリティ対策プラグイン10選 http://netaone.com/wp/wordpress-security/ WordPressでのセキュリティ対策 http://matome.naver.jp/odai/2133777080336131701 WordPressのセキュリティを見直して、“4つ”導入してみた!! http://andask.net/create/review-the-wordpress-security.html
初心者Webアプリケーション開発者がチェックすべき情報源2013
毎年恒例の診断前準備として開発者向けに、「初心者Webアプリケーション開発者がチェックすべき情報源」を集めているので、皆さんにもご紹介。他に追加した方が良い情報源があった場合はご指摘いただけると助かります。
上から重要な順。★の付いている「重点」がとりあえず読んどけ、の必須。
必須のポイントは、短期間で大雑把に網羅的にポイントが整理されているもの。
書籍としては、昨年の徳丸本「体系的に学ぶ 安全なWebアプリケーションの作り方」に加えて、「めんどうくさいWebセキュリティ」と「実践 Fiddler」をノミネート、「HTTPの教科書」を入れるか迷ったけど、まだ読んでないので保留。長谷川さんあたりから、何でJavaScriptの本がないんじゃ!といわれそうだけど・・・
とりあえず、昨年懸案だったスマートフォン関係を追加した。
インフラ関係は除外しているんだけど、プラットフォーム診断分もあったほうが良いのだろうか・・・
あと、後半、まったく初心者向けじゃないけど、セキュリティキャンプ生向けにWebテストできるためのツール類を紹介。Webセキュリティ組の参考に、あと、ネットワークセキュリティ組もFiddler2を使うのはパケットの中身の可視化に良いと思うので、インストールして見られるのがよろしいかと。
■重点 ★Webサイト構築 安全なウェブサイトの作り方 改訂第6版 http://www.ipa.go.jp/security/vuln/websecurity.html LASDECなどで公開されていたウェブ健康診断仕様が別冊に加わった。標準チートシートとして使える。 セキュリティ実装 チェックリスト(Excel形式、33KB) 安全なSQLの呼び出し方(全40ページ、714KB) ウェブ健康診断仕様(全30ページ、784KB) ★発注仕様 発注者のためのWebシステム/Webアプリケーション セキュリティ要件書 http://www.tricorder.jp/security_requirement.html クリエイティブコモンズ・ライセンス 「Web システム セキュリティ要求仕様(RFP)」編 β 版 http://www.jnsa.org/active/2005/active2005_1_4a.html ★書籍 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践 http://www.amazon.co.jp/dp/4797361190/connect24h-22/ 徳丸 浩 (著) ,価格:¥3,360 電子書籍版もあるので,スマフォに常備とかよいかも。 めんどうくさいWebセキュリティ(追加!) http://www.amazon.co.jp/dp/4798128090/connect24h-22/ Michal Zalewski (著), 上野 宣 (監修), 新丈 径 (翻訳) 価格:¥ 3,129 ■セキュアWebアプリケーション開発 IPA セキュア・プログラミング講座 http://www.ipa.go.jp/security/awareness/vendor/programming/index.html セキュア・プログラミング講座(新版) http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html セキュア・プログラミング講座(旧版) WEBプログラマコース http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a00.html 新版にはプログラム例がごっそりに受けているので、初心者向けとしては情報の断裂があると思う。 旧版で見て、そのあとに新版も押さえておきましょう。 『セキュア・プログラミング講座(Webアプリケーション編)』ブートアップセミナー資料(追加) http://www.ipa.go.jp/files/000030878.pdf JPCERT:セキュアコーディング(追加!) http://www.jpcert.or.jp/securecoding.html C/C++ セキュアコーディングセミナー資料 CERT C セキュアコーディングスタンダード Java セキュアコーディングスタンダード CERT/Oracle 版 翔泳社 Codezine 連載集 「動けばいいってもんじゃない」 脆弱性を作り込まないコーディング(全6回) 実例で学ぶ脆弱性対策コーディング(全9回) “誤認逮捕”を防ぐWebセキュリティ強化術(追加!) http://itpro.nikkeibp.co.jp/bn/mokuji.jsp?OFFSET=0&MAXCNT=20&TOP_ID=456761 [1]なりすましの攻撃手法 [2]CSRFとクロスサイトスクリプティング [3]HTTPヘッダーインジェクションとクリックジャッキング [4]DNSリバインディング [5]暗号化の“皮”を重ねて匿名性を確保する「Tor」 Webアプリケーションにセキュリティホールを作らないための クロスサイトスクリプティング対策の基本 〜クロスサイトスクリプティング脆弱性とは?〜 http://www.atmarkit.co.jp/fsecurity/special/30xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/31xss/xss01.html http://www.atmarkit.co.jp/fsecurity/special/34xss/xss01.html Webアプリケーションに潜むセキュリティホール http://www.atmarkit.co.jp/fsecurity/rensai/webhole01/webhole01.html 第1回 サーバのファイルが丸見え?! 第2回 顧客データがすべて盗まれる?! 第3回 気を付けたい貧弱なセッション管理 第4回 エラーメッセージの危険性 第5回 Webアプリケーションの検査テクニック 第6回 Webサイトのセッションまわりを調べる方法 第7回 攻撃されないためのセッション管理の検査方法 第8回 Webサイトの問い合わせ画面に含まれる脆弱性 第9回 オンラインショッピングにおける脆弱性の注意点 第10回 安全なWebアプリケーション開発のススメ 第11回 Webアプリケーションファイアウォールによる防御 第12回 mod_securityのXSS対策ルールを作成する 第13回 OSコマンドインジェクションを防ぐルールを作成する 最終回 Webアプリケーションの脆弱性を総括する Webアプリにおける11の脆弱性の常識と対策 http://www.atmarkit.co.jp/fjava/rensai4/webjousiki11/webjousiki11_1.html 一部、難があったところが全部直ってる。 脆弱なWebアプリケーション http://thinkit.co.jp/free/tech/7/1/1.html 旧版IPA ISEC『セキュア・プログラミング講座』著者の長谷川さんの記事。 第1回 Webアプリケーションの脆弱性 第2回 ファイル流出 第3回 パラメータからの情報流出 第4回 セッション乗っ取り 第5回 インジェクション攻撃 第6回 各種の問題 クロスサイトスクリプティング対策の基本(追加) http://www.atmarkit.co.jp/ait/articles/0211/09/news002.html クロスサイトスクリプティング対策の基本(前編) クロスサイトスクリプティング対策の基本(中編) クロスサイトスクリプティング対策の基本(後編) ちょっと古いけど、安心の国分さんの記事なので掲載。 ■携帯Web ケータイWebのセキュリティ 第1回 「PCでは見えないはず」に頼ることの危険性 http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb01/keitaiweb01.html 第2回 間違いだらけの「かんたんログイン」実装法 http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb02/keitaiweb01.html 第3回 実は厄介、ケータイWebのセッション管理 http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb03/keitaiweb01.html 最終回 ケータイWebの今後を安全に保つには http://www.atmarkit.co.jp/fsecurity/rensai/keitaiweb04/keitaiweb01.html ちょっと古いが、ガラケーからスマートフォンへの移行で情報の隔絶が おこりそうなのであえて掲載。 ■スマートフォンセキュリティ(追加!) Javaセキュアコーディング入門 http://codezine.jp/article/corner/437 Androidアプリの配布パッケージapkの解析について Javaの参照型変数とセキュリティ スマートフォンアプリへのブラウザ機能の実装に潜む危険 ――WebViewクラスの問題について AndroidアプリにおけるDBファイルの正しい使い方 ハッシュテーブルに対する攻撃手法のはなし 整数オーバーフロー検出の3つのアプローチ ――mezzofantiのバグ修正 ContentProviderのアクセス範囲 ――Dropboxにおける脆弱性の修正 Androidアプリ開発者なら押さえておきたい Javaセキュアコーディングの意味と効果 イチから始める! Androidセキュリティ 連載インデックス http://www.atmarkit.co.jp/fsecurity/index/index_androbasic.html スマートフォンで「できちゃうこと」って? 知ってるつもりで知らない端末のほんとの挙動 デバッグ情報にご用心! 要注意! 本当は怖い出力データ 見せたくないなら「持たせない」が鉄則! Androidアプリのセキュア設計・セキュアコーディングガイド http://www.jssec.org/report/securecoding.html Android Security - 安全なアプリケーションを作成するために http://www.taosoftware.co.jp/android/android_security/ OWASP モバイルセキュリティプロジェクト - トップ10モバイルコントロール https://docs.google.com/document/d/1QOWOrsAo-33bHLdAZksKa4F_8_A_6XndoDF6ri4na_k/edit ■Webセキュリティ診断 OWASP Guide 1.1.1 日本語訳 https://sourceforge.net/project/showfiles.php?group_id=64424&package_id=62287 OWASP Top 10 - 2010 http://owasptop10.googlecode.com/files/OWASP%20Top%2010%20-%202010%20Japanese-A4.pdf 和訳 OWASP Top 10 2013 RC1リリース&日本語訳(ちょっとだけ)(追加!) http://d.hatena.ne.jp/sen-u/20130220/p1 正式版が公開されるのを正座して待ちましょう。 安全な Web アプリ開発の鉄則 2006 http://www.nic.ad.jp/ja/materials/iw/2006/proceedings/T21.pdf 高木先生のプレゼン資料。コンテンツとしては古いけど、今でも色あせていない。 自分でできるWebアプリケーション脆弱性診断 - デブサミ2010 http://www.slideshare.net/uenosen/web-2010-3241609 LASDEC ウェブ健康診断 https://www.lasdec.or.jp/cms/12,1284.html IPAの安全なウェブサイトの作り方に統合。 以下、解説なしで見てわかる人向け。 書いてあることの意味がわからなかったら、徳丸本を読め。 ■ツール類 Fiddler2 Web DeBugger http://fiddler2.com/fiddler2/ Local Proxy Web DeBugger MSのIEの中のひと作。徳丸本でも定番。 Windows限定。 Fiddler徹底解剖(追加!) http://www.hagurese.net/blog/default.aspx?pn=Fiddler%E3%81%A8%E3%81%AF 実践 Fiddler(追加!) http://www.amazon.co.jp/dp/4873116163/connect24h-22/ Eric Lawrence (著) 日本マイクロソフト株式会社 エバンジェリスト 物江 修 (監訳) (翻訳), 長尾 高弘 (翻訳) 価格: ¥ 3,360 今日から使う Fiddler(追加!) http://blogs.msdn.com/b/osamum/archive/2013/07/01/fiddler-1-2.aspx http://www.slideshare.net/osamum/get-startfiddler "XSStest21" [Fiddler2 Extension] by yamagata21 http://yamagata.int21h.jp/tool/XSStest21/ 試してないけどFiddler2の拡張追加機能。yamagata21さん作。 FiddlerとWatcherでWebサイトのセキュリティをチェックする http://news.mynavi.jp/articles/2010/04/21/fiddler/index.html Youtube Fiddler2 http://www.youtube.com/results?search_query=fiddler2 BurpSuite http://portswigger.net/burp/ Local Proxy Web DeBugger Pro版はスキャナ付き。多機能すぎてかえってチューニング難しい。 burp suiteによる初歩のWeb監査(追加!) http://ameblo.jp/principia-ca/entry-11193827251.html Burpsuite (Burp Proxy) の使い方(追加!) http://root99.blogspot.jp/2008/06/webburpsuite.html Youtube Burp Suite(追加!) http://www.youtube.com/results?search_query=Burp+suite その他使い方が分からない人はこちら参照。 Pangolin Automatic SQL Injection Tool http://nosec.org/en/productservice/pangolin/ まともなSQL Injectionスキャナ。悪用厳禁。テスト環境のみ使用推奨。 外で使うと一発アウトです。 使い方 http://www.youtube.com/results?search_query=Pangolin+Automatic+SQL+Injection+Tool&oq=Pangolin+Automatic+SQL+Injection+Tool&gs_l=youtube.3...2479.3181.0.3550.3.3.0.0.0.0.78.221.3.3.0...0.0...1ac.EuR1dW5I8U4 w3af(追加!) http://w3af.org/ いまいち使えないと思うんだけど、使いこなしている人いる? OWASP Zed Attack Proxy Project(追加!) https://www.owasp.org/index.php/OWASP_Zed_Attack_Proxy_Project 最新版はメニューが日本語対応しているらしい。使っていないけど。。。忘れないで!って言う人がいるから。 OWASP_Zed_Attack_Proxy(追加!) http://www.checksite.jp/tool/vs/zap/ OWASP ZAP 〜 フリーの Web アプリケーション脆弱性診断ツール(追加!) http://www.websec-room.com/2013/04/06/835 Flash Based XSSについて(追加!) http://subtech.g.hatena.ne.jp/mala/20130604/1370328779 http://subtech.g.hatena.ne.jp/mala/20130604/1370328780 http://subtech.g.hatena.ne.jp/mala/20130604/1370328781 Flashの診断って、たまにあるからね。 Watcher http://websecuritytool.codeplex.com/ Web-security scanner SQL Injection DB http://websec.ca/kb/sql_injection チートシート作成用の参考に ■やられサーバ XAMPP DVWA http://www.dvwa.co.uk/ http://code.google.com/p/dvwa/ http://code.google.com/p/dvwa/wiki/README やられWebサーバ。 何ができるの? http://www.youtube.com/watch?v=oMV0JZVxvdQ badstore(追加!) http://www.badstore.net/ VirtualBox で Badstore.net を起動する方法 http://www.websec-room.com/2013/03/28/821 VMWare Player で Badstore.net を起動する方法 http://www.websec-room.com/2013/03/28/796 ■ホワイトボックス監査関係(追加!) 古すぎて使えないけど。。。商用版なら一応使い物になるのだが、商用のCxSuiteやCoverityは使えるって話だけど、どうなんだろうね。まぁ、Source読める人には、該当個所GrepしてSource読んだほうが早いかもね。 効率的なソースコード検査技術の調査 http://www.ipa.go.jp/files/000013694.pdf 効率的なソースコード検査技術利用ガイド http://www.ipa.go.jp/files/000013696.pdf セキュアな実行コードの生成・実行環境技術に関する調査 http://www.ipa.go.jp/files/000013695.pdf ■コミュニティ(追加!) The Open Web Application Security Project(OWAPS) https://www.owasp.org/index.php/Japan ■その他 ソフトウエアセキュリティ保証成熟度モデル(OpenSAMM)(追加!) http://www.opensamm.org/downloads/SAMM-1.0-ja_JP.pdf パーセントエンコードコンバータ http://www.tagindex.com/cgi-lib/encode/url.cgi URLエンコード・デコードツール「URLDecEnc」v1.01 http://www.forest.impress.co.jp/article/2008/02/14/okiniiri.html