第2回 Androidのセキュリティー機構
Androidには、Androidアプリに必要以上の権限を持たせないように制限するための仕組みが備わっている。具体的には「権限の許可」と「ファイルのアクセス許可」である(図1)。前者は、アプリの動作に必要な権限についてアプリのインストール時にユーザーの許可を得る仕組みのことを指す。例えば、Androidアプリがインターネット接続やGPSによる位置情報取得のためには、それぞれの権限をアプリのインストール時にユーザーから許可を得る必要がある。 後者は、Linuxのディストリビューションのように、ファイルやディレクトリに対して、読み取り[r]、書き込み[w]、実行[x]などのアクセスを制限する仕組みを指す。Androidアプリが明示的に許可しない限り、アプリが生成するファイルは、他のアプリからのアクセスを制限するように設定されている。 これらの仕組みにより、Androidアプリはインストール時に
ハッシュテーブルに対する攻撃手法のはなし
ハッシュテーブル実装に対する攻撃とは 昨年12月末にドイツで開催されたCCC(Chaos Communication Congress)において、"Effective Denial of Service attacks against web application platforms"(Webアプリケーションに対する効率的なDoS攻撃)と題した発表が行われました。タイトルに「Webアプリケーション」とついてはいますが、この問題はWebアプリケーションに限ったものではありません。以下の三つの条件が揃ったアプリケーションであれば例外なく、DoS攻撃の餌食となる危険があります。 ハッシュテーブルというデータ構造を使っている ハッシュ値を計算するアルゴリズムが「脆弱」である ハッシュテーブルに登録するデータをプログラム外部から指定できる ハッシュテーブルとその問題 Wikipedia(日本語版)
共通脆弱性タイプ一覧CWE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性タイプ一覧CWE概説 CWE(Common Weakness Enumeration) ~脆弱性の種類を識別するための共通の脆弱性タイプの一覧~ >> ENGLISH 共通脆弱性タイプ一覧CWE(Common Weakness Enumeration)(*1)は、ソフトウェアにおけるセキュリティ上の弱点(脆弱性)の種類を識別するための共通の基準を目指しています。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.0が公開されました。 CWEでは、SQLインジェクション、クロスサイト・スクリプティング、バッファオーバーフローなど、多種多様にわたるソフトウェアの脆弱性を識別するた
セキュリティ診断ツール - 情報セキュリティWiki - セキュアなWebアプリケーション構築のために
セキュリティ診断ツール検証用Webアプリケーション OWASP Broken Web Applications Project (OWASPBWA) いわゆる「やられサイト」は古今東西、様々な言語や形態(ソースコード、VMイメージなど)で存在していますが、OWASPのこのプロジェクトをフォローすれば十分でしょう。 プロジェクトに含まれる「やられサイト」一覧 https://code.google.com/p/owaspbwa/wiki/UserGuide#Training_Applications 診断ツールの参考サイト 初心者Webアプリケーション開発者がチェックすべき情報源2013 Appendix A: Testing Tools - OWASP Web Application Vulnerability Scanners - SAMATE Webアプリケーション 有償 AppSca
Paros - 情報セキュリティWiki - セキュアなWebアプリケーション構築のために
はじめに Parosは、Javaで書かれたWebアプリケーション用セキュリティ評価ツールです(開発元:ProofSecure.com )。プロキシとして動作するため、サーバとクライアント間のHTTPおよびHTTPSデータ(Cookieやフォームフィールドを含む)を傍受し、変更することを可能にします。Parosの主な機能には、HTTPメッセージの閲覧/編集機能(クライアント証明書にも対応)、プロキシ連鎖機能(別のプロキシサーバへクライアントからのリクエストを転送する機能)、フィルタ機能、脆弱性スキャナ機能などがあります。 本ユーザガイドは、Paros の各種機能およびGUIインターフェースについて説明したものです。 対応プラットフォーム: Parosは、プラットフォームの種類を問わず、広範囲のユーザ向けに開発されたツールです。ただし、実行するには、Java Run Time Environm
間違い3「開発ガイドラインに頼る」
「方式設計の時点でセキュリティに関する開発ガイドラインを整備する現場は増えているが、十分に機能しているケースは少ない」とHASHコンサルティングの徳丸浩氏(代表取締役)はいう。SQLインジェクションなどの脆弱性を防ぐコーディングルールをまとめた開発ガイドラインは、脆弱性を作り込まないためにぜひ整備したいものだ。 付きっきりで教える しかし、せっかく用意したガイドラインも「開発メンバーに渡しただけでは決して浸透しない」(野村総合研究所 基盤ソリューション事業本部 DIソリューション事業部 主任システムアナリスト 関倫賢氏)。ガイドラインがあるからと、メンバーにセキュリティ対策を任せてしまうのは間違いだ。 この間違いを防ぐ方法は、大きく分けて二つある。一つは、メンバーへの教育を徹底すること。もう一つは、開発ガイドラインに頼らなくても、脆弱性を作り込まない仕組み作りである。 メンバーのコードを毎
WindowsのDLLだけが危ないのか? DLL hijacking vulnerability概説(前編)
はじめに 今回は、最近話題のDLL hijacking vulnerabilityと呼ばれるプログラムのDLL読み込みに関する脆弱性について解説したいと思います。この脆弱性は、"DLL preloading attack"と呼ばれたり"binary planting vulnerability"と呼ばれたりすることがありますが、これらは同じ問題の別称です。ここでは便宜上「DLL hijacking」という言葉で統一します。 この脆弱性は、スロベニアのセキュリティ会社Acros Security(Acros)が8月18日に公開したWindows向けApple iTunesの脆弱性"Remote Binary Planting in Apple iTunes for Windows"において、メディアの注目を集めました。前後して、UC Davisの研究者が同様の問題に関する学会発表を行っていた
文字列はNULL終端させる ――C/C++セキュアコーディング入門(3)
攻撃対象として狙われやすい文字列処理 文字列は、プログラムとユーザ、プログラムとプログラム間のインタフェースとして利用されるのをはじめ、XMLなどテキスト形式で表現された情報を処理する際にも利用されます。データのみならず、プログラムの挙動に直接影響する動作パラメタや設定情報など様々な情報がテキスト形式で表現されるにつれ、文字列を処理する機会が増加すると共に、文字列を処理すること自体の重要性が高まっています。 攻撃者にしてみれば、プログラムの挙動を操作しうる文字列処理の不備を突く機会も多く存在することになるため、文字列操作エラーを作り込まないことが求められます。文字列操作に関するプログラミングエラーはいくつかありますが、今回は基本的であるが間違いを犯しやすい文字列のNULL終端エラーについて解説します。 NULL終端エラー 文字列型を持たないC言語において、文字列は文字型の配列で表現されます
脆弱性体質の改善 ――C/C++セキュアコーディング入門(1)
はじめに 皆さんこんにちは。JPCERTコーディネーションセンターという組織でセキュアコーディングに関する取り組みに携わる筆者らが、これからこの連載を担当させていただくことになりました。どうぞよろしくお願いします。なお、JPCERTコーディネーションセンターは、情報セキュリティインシデントへの対応支援や、ソフトウエアの脆弱性(いわゆるセキュリティホール)に関する製品開発者間における公開日の調整や関連情報の公開なども行っています。 この連載では、バッファーオーバーフロー等の脆弱性をうっかり作り込んでしまったがために、数千万円ものコストをかけて、ユーザに告知し、製品を回収して、工場でファームウェアをアップデートする事態に陥ったり、あるいは脆弱性を放置してユーザを危険にさらし、それが明るみに出て「世間を騒がす」ことになったりしなくても済むように、そもそもの製品開発時からセキュアなプログラムを書く
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Javaプログラミングによる安全性を検証する
andiparos - Project Hosting on Google Code