MBSD Blog (寺田 健, Takeshi Terada)

2020.09.01

• AES-GCMモード

GCM（Galois/Counter Mode）はブロック暗号における利用モードの1つです。ECBやCBCといったモードとは異なり、GCMは「認証付き」のモードです。イメージとしては、改竄防止のMAC（Message Authentication Code）が暗号にくっついているようなモードです。
今回は、Webアプリ等で（特にPHPで）GCMを利用するにあたっての注意点を書いてみます。PHPでは7.1以降のバージョンでGCMが利用できます。

2020.09.31

• Webアプリスキャナ - XSS診断機能の紹介

弊社では（既製の製品ではなく）独自開発したWebアプリスキャナを使用しており、品質や作業効率の向上のため、そのツールを毎年少しずつ改善させています（開発には主に筆者があたっています）。
本記事では、今年（2020年）の4～6月に開発した「XSSのトドメを刺す」機能について簡単に紹介します。

2019.09.18

• OWASP Global AppSec DC 2019 参加報告

9月12～13日に米国ワシントンDCで開かれたOWASPカンファレンスに参加しました。OWASPのカンファレンスにはRegionalとGlobalの2種類がありますが、今回参加したのは年に数回開かれるGlobalの一つで、世界中からWebセキュリティの研究者が会して発表を行う場です。以下、筆者が参加した初日のセッションについて簡単に報告します。

2019.08.16

• USENIX Security '19参加報告

先日のBlack hatの参加報告に書いたように、今年はDefconの代わりに別のカンファレンスに参加しました。8/12～16にカルフォルニアのサンタクララで行われたUSENIXカンファレンス（28th USENIX Security Symposium）がそれです。USENIXは大学の研究者などが成果を発表する、アカデミック寄りのカンファレンスです。
筆者の事情により実質的に参加できたものは少ないのですが、Web Attacksのトラックの簡単なメモを公開します。

2019.08.16

• Black Hat USA 2019 参加報告（Web編）

8/7～8にラスベガスで開催されたBlack Hat USAに参加してきました。筆者が参加したのは2016, 2017に引き続き3度目です。今年もWeb関連のブリーフィングを中心に報告します。
Burpの開発元であるPortSwigger社のJames Kettle氏の講演です。
発表した攻撃は、フロントエンドにプロキシなどが存在する場合に成立しえます。

2019.06.05

• ヘッドレスブラウザとSSRF

ヘッドレスブラウザは、サーバ環境などでHTMLをレンダリングするためにバックグラウンドで動作させるブラウザです。
筆者も昨年診断ツールに組み込んだのを契機に使用し始めました。使ってみるとなかなか面白いので、今年は社内での学習用の「やられサイト」にも組み込んでみました。今回はこのやられサイトを題材にして、ヘッドレスブラウザとSSRF（Server-side request forgery）について書きます。

2018.09.18

• ImageMagickを使うWebアプリのセキュリティ - 3. XSS・アクセス制御

本記事はImageMagick関連の記事の3本目です。ImageMagickの既知の脆弱性、システム情報の漏洩などの問題を扱った1つ目の記事、DoSを扱った2つ目の記事も参照ください。
最終となる3回目の今回は、XSSとアクセス制御を取り上げます。前提とする環境などは前回・前々回と同じです。

2018.09.07

• ImageMagickを使うWebアプリのセキュリティ - 2. DoS

本記事はImageMagick関連の記事の2本目です。ImageMagickの既知の脆弱性、システム情報の漏洩などの問題を扱った1つ目の記事はこちらです。
2回目の今回は、画像のアップロード機能を利用したDoS攻撃を取り上げます。前提とする環境などは前回と同じです。また前記事の方法で画像の形式をJPEG, GIF, PNGの3種類に絞っているとします。

2018.08.31

• ImageMagickを使うWebアプリのセキュリティ - 1. 既知の脆弱性、システム情報の漏洩

Webサイトの診断でImageMagickを使ったアップロード画像の処理を見ることがあります。診断の結果、特有の興味深い挙動が見つかることもあるため、今回時間を取って検証してみました。
その結果を3回に分けて記事にします。1回目の本記事では、既知の脆弱性、システム情報の漏洩の問題を取り上げます。2回目はDoS、最後の3回目はアクセス制御やXSSを中心としたいわゆるWebアプリのセキュリティを取り上げます。

2018.03.27

• Black Hat Arsenal Asia 2018への出展（GyoiThon）

 3月22日(木)～3月23日(金)にシンガポールのMarina Bay Sandsで開催されたBlack Hat Arsenal Asia 2018に、セキュリティテストツール「GyoiThon」のプレゼンターとして参加してきました。
 本Blogでは、筆者らが出展したツール「GyoiThon」の概要、そして実際の出展時の様子や出展に際して工夫した点などを紹介します。
 Black Hat Arsenalとは、「先進的なセキュリティに関するツールの展示会」であり、独自開発したツールを訪問者の目の前でダイレクトに紹介することができるイベントです。今回は、30件の先進的なツールがArsenalでの展示ツールとして採用されています。なお、弊社のArsenal出展は、Black Hat Arsenal Asia 2016のSAIVSに続き2回目となります。

2017.08.03

• Black Hat USA 2017 & Defcon 25 参加報告（Web編）

夏のセキュリティカンファレンスと言えば…、皆さん何が思い浮かぶでしょうか？ Black Hat USA・Defconですよね（きっと）。MBSDのプロフェッショナル事業部からは、今年も複数メンバがこれらのカンファレンスに参加してきました。
例年通り様々な分野の発表があったのですが、この記事では（執筆者の趣味により）「Web系」の発表に焦点をあてて、その概要を紹介したいと思います。

2016.09.21

• Safariのリダイレクト処理のXSS脆弱性 CVE-2016-4585

URLのハンドリング処理のバグは、しばしばセキュリティ上の問題の原因となってきました。筆者が昨年報告したSafariのXSSもその一つの例です。本日は、この脆弱性の詳細を書きます。

• Safari's URL redirection XSS - CVE-2016-4585

URL handling bugs have sometimes caused security problems. One example is the XSS bug of Safari I reported a year ago. This blog post describes the bug details.

2016.09.05, 2016.09.09

• 最近のMySQLにおけるSQLインジェクションテスト

ご存知の方もいるかと思いますが、MySQLはバージョン5.6, 5.7あたりから色々と挙動が変わりました。
この記事では、これらの変更のうちSQLiの検出/攻略方法に影響するものについて書きます。主に取り上げるのは、v5.6においてデフォルトのsql_modeに追加されたSTRICT_TRANS_TABLESモードについてです。

• SQL Injection testing in the recent MySQL

A number of changes were introduced in MySQL v5.6 and 5.7.
In this post, I would like to discuss some of the changes that can affect how we detect and exploit SQLi vulns in MySQL-based web applications. The main topic is STRICT_TRANS_TABLES mode which was added to the default sql_mode in v5.6.

2016.08.26

• Black Hat USA 2016 & Defcon 24 参加

 先日アメリカのラスベガスでBlack Hat USAとDefconが開催されました。ご存知の方も多いと思いますが、いずれも20年ほどの歴史を持つ技術志向のセキュリティカンファレンスであり、世界で最も注目を浴びるカンファレンスと言えると思います。例年通りMBSDからも数名のエンジニアやコンサルタントが参加し、筆者2名も初参加組としてラスベガスまで行ってきました。

2016.04.14

• Black Hat ASIA 2016 & Arsenal 参加

 3月31日(木)～4月1日(金)にシンガポールのMarina Bay Sandsで開催されたBlack Hat ASIA 2016 & Arsenalに参加してきました。Arsenalは聴講だけではなく、プレゼンターとしても参加しました。本Blogでは、筆者らが初めて参加したArsenalの様子と、Briefingsの中から筆者が特に興味を持った研究発表を紹介します。

2016.04.07

• Information theft attacks abusing browser's XSS filter

 Today's topic is attacks against browser's XSS filter. XSS filter is a security function built in browsers. It aims to reduce the actual exploitation risk when web applications are vulnerable to XSS.

• ブラウザのXSSフィルタを利用した情報窃取攻撃

 今回はブラウザのXSSフィルタへの攻撃を取り上げます。XSSフィルタはブラウザに内蔵されたセキュリティ機能です。WebアプリケーションにXSS脆弱性がある場合に、それが実際に攻略されるリスクを減らしてくれます。

2015.07.30

• LWSとHTTPヘッダインジェクション

 HTTPヘッダインジェクションは、リクエストパラメータの操作等により、HTTPのレスポンスヘッダに改行文字（CR,LF）を挿入し、ヘッダフィールドを追加したり、ボディを操作したり、新たな偽のHTTPレスポンスを作り出したりする（HTTPレスポンス分割）攻撃、あるいは脆弱性です。

• LWS and HTTP Header Injection

 HTTP Header Injection is a class of vulnerability (or attack), which can allow attackers to add new header fields, manipulate HTTP body data, or smuggle new HTTP response (HTTP response splitting) by injecting line-breaks or newline characters (CR, LF) into HTTP response headers via manipulating request parameters and the like.