CORS:Cross-Origin Resource Sharing


カテゴリー: Tips | 投稿日: | 投稿者: -->

備忘録的に。

HTTP アクセス制御(CORS:Cross-Origin Resource Sharing )について。

あるリソースが、始めに自身を提供したドメインとは異なるドメインのリソースを要求するとき、そのリソースはクロスオリジン HTTP リクエストを行う。
例)
http://domain-a.com から読み込まれた HTML ページが
http://domain-b.com/image.jpg に対して src でリクエストを行う場合

CORS は、Web サーバーがドメインをまたぐアクセスを制御する方法を規定することで、ドメイン間の安全な通信を保証する。
※サーバ側でAccess-Control-Allow-Originヘッダを利用

セキュリティ上の理由からブラウザは、スクリプトによって開始されるクロスオリジン HTTP リクエストを制限する。
※ブラウザ側で任意のOriginヘッダを設定して送信することはできない

つまり
Originで制御しているサーバがある場合は、ajax等ではアクセスできず
任意のヘッダを付与できるプログラムを作る必要がある。

以上

Internet Explorer (CVE-2016-0187)(MS16-053 )


カテゴリー: 脆弱性検証 | 投稿日: | 投稿者: -->

先月のだけど。
Internet ExplorerのJScriptとVBScriptエンジンの欠陥により、リモートから任意のコードを実行される脆弱性。

The Microsoft (1) JScript 5.8 and (2) VBScript 5.7 and 5.8 engines, as used in Internet Explorer 9 through 11 and other products, allow remote attackers to execute arbitrary code or cause a denial of service (memory corruption) via a crafted web site, aka “Scripting Engine Memory Corruption Vulnerability,” a different vulnerability than CVE-2016-0187.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2016-0189

こうなる。

本脆弱性を利用して、リモートから任意のコマンド(今回は電卓実行(calc.exe))の実行に成功。

対策は、Windows Updateを実施する。
https://technet.microsoft.com/library/security/MS16-053

無料SSL証明書


カテゴリー: 未分類 | 投稿日: | 投稿者: -->

無料SSL証明書がはやっているみたいなので、使ってみました。
設置までの実際の手順は以下のとおりです。

■秘密鍵の作成

[root@nippo tmp]# openssl genrsa -des3 -out nippo-corporation.co.jp.key 2048
Generating RSA private key, 2048 bit long modulus
..+++
………………..+++
e is 65537 (0x10001)
Enter pass phrase for nippo-corporation.co.jp.key:
Verifying – Enter pass phrase for nippo-corporation.co.jp.key:
[root@nippo tmp]#

■CSRの作成

[root@nippo tmp]# openssl req -new -key nippo-corporation.co.jp.key -out nippo-corporation.co.jp.csr
Enter pass phrase for nippo-corporation.co.jp.key:
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:JP
State or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:Toshima-ku
Organization Name (eg, company) [My Company Ltd]:Movesoft
Organizational Unit Name (eg, section) []:Network
Common Name (eg, your name or your server’s hostname) []:nippo-corporation.co.jp
Email Address []:

Please enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
[root@nippo tmp]#

■URLから申請
https://buy.wosign.com/free/
にアクセスし、必要情報を入力して、[Submit request]します。
すると、webmaster@ドメイン名宛に以下のメールが送信されます。

Hi,
This mail is intended for the person who requested verification of Domain control for WoSign SSL certificates.
The validation of the domain name is nippo-corporation.co.jp
Whois Email to receive verification code is webmaster@nippo-corporation.co.jp
Your verification code is [ここに必要コードが記載されている]
Copy and paste this code now into the form at your open browser window.
Thank you!
WoSign CA

■証明書のダウンロード
送られてきたコードを
https://buy.wosign.com/free/#myorder
で設定すると証明書一式がダウンロード可能になります。

■設置
通常のSSL証明書と同様に設置します。

■設置後のブラウザのSSL状態
2016-02-05_141512

■設置した証明書情報
2016-02-05_141314

以上。

ツイートボタンのツイート数機能の終了


カテゴリー: おしらせ | 投稿日: | 投稿者: -->

結構影響ありそうですね。
特定のURLを含むツイートの数を取得するJSON API「count.json」(http://urls.api.twitter.com/1/urls/count.json)の提供が2015年11月20日に提供終了します。

https://blog.twitter.com/ja/2015/buttons

上記に伴い、APIが不安定になり
画面表示が途中で切れてしまい、うまく表示されないことがあります。

また、サーバのログでは、以下のエラーが出ることがあります。

(70007)The timeout specified has expired: ap_content_length_filter: apr_bucket_read() failed

現在APIが不安定になっており、タイムアウトして画面が表示されない事象があります。
そのため、お使いのWordPressにて上記エラーが発生した場合、本APIを無効にする必要があります。

bash (CVE-2014-6271)


カテゴリー: 脆弱性検証 | 投稿日: | 投稿者: -->

これはやばい気がするなぁ。
bashの処理の欠陥により、リモートから任意のコードを実行される脆弱性。

GNU Bash through 4.3 processes trailing strings after function definitions in the values of environment variables, which allows remote attackers to execute arbitrary code via a crafted environment, as demonstrated by vectors involving the ForceCommand feature in OpenSSH sshd, the mod_cgi and mod_cgid modules in the Apache HTTP Server, scripts executed by unspecified DHCP clients, and other situations in which setting the environment occurs across a privilege boundary from Bash execution, aka “ShellShock.” NOTE: the original fix for this issue was incorrect; CVE-2014-7169 has been assigned to cover the vulnerability that is still present after the incorrect fix.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271

やってみた。

本脆弱性を利用して、リモートからコマンド実行できるスクリプトをウェブサーバに設置して、任意のコマンド(今回は/etc/passwdの出力)の実行に成功。

実証に成功した環境は以下のとおり。
CentOS 5.8
bash-3.2-32.el5
httpd-2.2.3-65.el5.centos

対策は、最新のバージョンにアップデートする。

三菱東京UFJ銀行のフィッシング詐欺


カテゴリー: 詐欺 | 投稿日: | 投稿者: -->

フィッシングがはやっているようなので。

【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!
インターネットバンキングのパスワードなどお客さまの情報を盗み取ろうとする
不審な電子メールが、不特定多数のお客さまに送信されています。

http://www.bk.mufg.jp/info/phishing/20131118.html?link_id=p_top_juyo_mail

やってみた。
三菱東京UFJ銀行フィッシングメール
三菱東京UFJ銀行
三菱東京UFJ銀行を語るフィッシングメール(詐欺メール)が来る。
※表示は正規のサイトに見えるが、リンク先は偽のサイトになっている

本メールのリンクをクリックするとフィッシングサイトが表示される。

ログイン名・パスワード・確認番号すべての入力を施され、情報を窃取される。
入力後は、正規のサイトのヘルプ画面にリダイレクトされる。

対策は、気をつけるしかないのかなぁ。

以下、詐欺メールの文面集。

こんにちは!

最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。
以下のページより登録を続けてください。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

――Copyright(C)2014 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――

こんにちは!

これは三菱東京UFJ銀行によって行っているユーザ番号の調査です。
あなたのユーザ番号は使用停止になっているかどうかをチェックしています。
あなたのユーザ番号は合法的であることが保障できるために、下記のリンクをクリックしてください。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

あなたのユーザ番号の承認が完成された後、三菱東京UFJ銀行よりあなたのユーザ番号をチェックしていただきます。

********************************
三菱東京UFJ銀行Eメール配信サービス
********************************
2014年「三菱東京UFJ銀行」のシステムセキュリティのアップグレードのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。
以下のページより登録を続けてください。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

――Copyright(C)2014 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――

りそな銀行のフィッシング詐欺


カテゴリー: 詐欺 | 投稿日: | 投稿者: -->

フィッシングがはやっているようなので。

最近、銀行を装いインターネットバンキングのログインIDやパスワード等の情報を盗みとろうとする不審なメールが不特定多数の皆さまに発信されているとの報道があります。
※クレジットカード情報の入力を促し、盗みとろうとする手口も発生していますのでご注意ください。
偽の電子メールの本文に添付されているURLへアクセスすると、当社インターネットバンキングのフィッシングサイトに繋がり、ID・PW等を不正に詐取されてしまう可能性があります。
偽の電子メールについては以下の通りご対応ください。
・絶対に開かない
・開いてしまった場合は、すぐに削除する
・添付のURLには絶対にアクセスしない

http://www.resona-gr.co.jp/resonabank/direct/gochui/detail/20110907.html

やってみた。
りそな銀行フィッシングメール
りそな銀行を語るフィッシングメール(詐欺メール)が来る。
※表示は正規のサイトに見えるが、リンク先は偽のサイトになっている

本メールのリンクをクリックするとフィッシングサイトが表示される。

ログイン名・パスワード・秘密の質問の回答の入力を施され、情報を窃取される。
入力後は、正規のサイトにリダイレクトされる。

対策は、気をつけるしかないのかなぁ。

以下、詐欺メールの文面集。

こんにちは!

2014年「そな銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。

以下のページより登録を続けてください。

https://mp.resona-gr.co.jp/mypage/MPMB010X010M.mp?BK=0010

お使いのメールアドレスを確認してください
メールアドレスを確認する

Adobe Flash Player(CVE-2014-0515)


カテゴリー: 脆弱性検証 | 投稿日: | 投稿者: -->

たくさん出るねぇ。
Adobe Flash Playerの処理の欠陥により、リモートから任意のコードを実行される脆弱性。

Buffer overflow in Adobe Flash Player before 11.7.700.279 and 11.8.x through 13.0.x before 13.0.0.206 on Windows and OS X, and before 11.2.202.356 on Linux, allows remote attackers to execute arbitrary code via unspecified vectors, as exploited in the wild in April 2014.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0515

こんな感じ。

ブラウザでアクセスするだけで、任意のコード実行に成功。(Neutral8x9eRさんから引用)

実証環境は以下のとおり。
Windows 7 SP1
Internet Explorer 10
Adobe Flash Player 13,0,0,182

対策は、最新バージョンをインストールする。
http://helpx.adobe.com/jp/security/products/flash-player/apsb14-13.html

Wireshark(CVE-2014-2299)


カテゴリー: 脆弱性検証 | 投稿日: | 投稿者: -->

Wiresharkも色々あるのね。
Wiresharkの処理の欠陥により、リモートから任意のコードを実行される脆弱性。

Buffer overflow in the mpeg_read function in wiretap/mpeg.c in the MPEG parser in Wireshark 1.8.x before 1.8.13 and 1.10.x before 1.10.6 allows remote attackers to execute arbitrary code or cause a denial of service (application crash) via a large record in MPEG data.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-2299

こんな感じ。

パケットキャプチャファイルを実行させることで任意のコード(今回はcalc.exe(電卓))の実行に成功。

実証環境は以下のとおり。
Windows XP SP3 (English)
Wireshark 1.8.12/1.10.5より低いバージョン

対策は最新のものにバージョンアップする。
http://www.wireshark.org/download.html

Apache Struts(CVE-2014-0094)


カテゴリー: 脆弱性検証 | 投稿日: | 投稿者: -->

これもまた騒がれてますねぇ。
Apache Strutsの処理の欠陥により、リモートから任意のコードを実行される脆弱性。

The ParametersInterceptor in Apache Struts before 2.3.16.1 allows remote attackers to “manipulate” the ClassLoader via the class parameter, which is passed to the getClass method.

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0094

やってみた。

本脆弱性を利用し新たにバックドアを設置して、任意のコマンド(今回はwhoami)実行に成功。

イメージはこんな感じ。

(IPAから引用)

実証に成功した環境は以下のとおり。
Windows 8.1 Pro 64bit
Java 1.8.0_05
Tomcat 6.0.39
Struts 2.3.14

対策は、Apache Struts 2.3.16.2以上にバージョンアップする。
http://struts.apache.org/download.cgi