先進あるいは新解釈に基づくサイバーセキュリティ動向を当社スペシャリストがわかりやすく解説します。
MBSD's cyber-experts discuss the latest or a new interpretation of cyber security trends.
![]() GCM(Galois/Counter Mode)はブロック暗号における利用モードの1つです。ECBやCBCといったモードとは異なり、GCMは「認証付き」のモードです。イメージとしては、改竄防止のMAC(Message Authentication Code)が暗号にくっついているようなモードです。 |
![]() 弊社では(既製の製品ではなく)独自開発したWebアプリスキャナを使用しており、品質や作業効率の向上のため、そのツールを毎年少しずつ改善させています(開発には主に筆者があたっています)。 |
![]() 9月12~13日に米国ワシントンDCで開かれたOWASPカンファレンスに参加しました。OWASPのカンファレンスにはRegionalとGlobalの2種類がありますが、今回参加したのは年に数回開かれるGlobalの一つで、世界中からWebセキュリティの研究者が会して発表を行う場です。以下、筆者が参加した初日のセッションについて簡単に報告します。 |
![]() 先日のBlack hatの参加報告に書いたように、今年はDefconの代わりに別のカンファレンスに参加しました。8/12~16にカルフォルニアのサンタクララで行われたUSENIXカンファレンス(28th USENIX Security Symposium)がそれです。USENIXは大学の研究者などが成果を発表する、アカデミック寄りのカンファレンスです。 |
![]() 8/7~8にラスベガスで開催されたBlack Hat USAに参加してきました。筆者が参加したのは2016, 2017に引き続き3度目です。今年もWeb関連のブリーフィングを中心に報告します。 |
![]() ヘッドレスブラウザは、サーバ環境などでHTMLをレンダリングするためにバックグラウンドで動作させるブラウザです。 |
![]() 本記事はImageMagick関連の記事の3本目です。ImageMagickの既知の脆弱性、システム情報の漏洩などの問題を扱った1つ目の記事、DoSを扱った2つ目の記事も参照ください。 |
![]() 本記事はImageMagick関連の記事の2本目です。ImageMagickの既知の脆弱性、システム情報の漏洩などの問題を扱った1つ目の記事はこちらです。 |
![]() Webサイトの診断でImageMagickを使ったアップロード画像の処理を見ることがあります。診断の結果、特有の興味深い挙動が見つかることもあるため、今回時間を取って検証してみました。 |
![]() 3月22日(木)~3月23日(金)にシンガポールのMarina Bay Sandsで開催されたBlack Hat Arsenal Asia 2018に、セキュリティテストツール「GyoiThon」のプレゼンターとして参加してきました。 |
![]() 夏のセキュリティカンファレンスと言えば…、皆さん何が思い浮かぶでしょうか? Black Hat USA・Defconですよね(きっと)。MBSDのプロフェッショナル事業部からは、今年も複数メンバがこれらのカンファレンスに参加してきました。 |
![]() URLのハンドリング処理のバグは、しばしばセキュリティ上の問題の原因となってきました。筆者が昨年報告したSafariのXSSもその一つの例です。本日は、この脆弱性の詳細を書きます。 URL handling bugs have sometimes caused security problems. One example is the XSS bug of Safari I reported a year ago. This blog post describes the bug details. |
![]() ご存知の方もいるかと思いますが、MySQLはバージョン5.6, 5.7あたりから色々と挙動が変わりました。 A number of changes were introduced in MySQL v5.6 and 5.7. |
![]() 先日アメリカのラスベガスでBlack Hat USAとDefconが開催されました。ご存知の方も多いと思いますが、いずれも20年ほどの歴史を持つ技術志向のセキュリティカンファレンスであり、世界で最も注目を浴びるカンファレンスと言えると思います。例年通りMBSDからも数名のエンジニアやコンサルタントが参加し、筆者2名も初参加組としてラスベガスまで行ってきました。 |
![]() 3月31日(木)~4月1日(金)にシンガポールのMarina Bay Sandsで開催されたBlack Hat ASIA 2016 & Arsenalに参加してきました。Arsenalは聴講だけではなく、プレゼンターとしても参加しました。本Blogでは、筆者らが初めて参加したArsenalの様子と、Briefingsの中から筆者が特に興味を持った研究発表を紹介します。 |
![]() Today's topic is attacks against browser's XSS filter. XSS filter is a security function built in browsers. It aims to reduce the actual exploitation risk when web applications are vulnerable to XSS. 今回はブラウザのXSSフィルタへの攻撃を取り上げます。XSSフィルタはブラウザに内蔵されたセキュリティ機能です。WebアプリケーションにXSS脆弱性がある場合に、それが実際に攻略されるリスクを減らしてくれます。 |
![]() HTTPヘッダインジェクションは、リクエストパラメータの操作等により、HTTPのレスポンスヘッダに改行文字(CR,LF)を挿入し、ヘッダフィールドを追加したり、ボディを操作したり、新たな偽のHTTPレスポンスを作り出したりする(HTTPレスポンス分割)攻撃、あるいは脆弱性です。 HTTP Header Injection is a class of vulnerability (or attack), which can allow attackers to add new header fields, manipulate HTTP body data, or smuggle new HTTP response (HTTP response splitting) by injecting line-breaks or newline characters (CR, LF) into HTTP response headers via manipulating request parameters and the like. |