Web アプリケーション

Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開

本日マイクロソフトは、Webアプリケーションがサービス拒否となる脆弱性に関するセキュリティ アドバイザリ 2659883 を公開しました。この脆弱性は、いくつかの Web アプリケーションベンダーに影響を与えますが、マイクロソフト製品では ASP.NET を含む IIS サーバーが脆弱性の影響を受けることを確認しています。現在、マイクロソフトはこの問題を解決するセキュリティ更新プログラムを開発中です。現時点ではこの脆弱性が悪用されたとの報告は受けておりませんが、マイクロソフトはこの脆弱性に関する詳細情報が一般に公表されていることを確認しています。   マイクロソフトは、セキュリティ更新プログラムがご利用可能になり次第、脆弱性の影響を受ける製品に対して早急にセキュリティ更新プログラムを適用することをお勧めします。この問題の影響を受ける環境や回避策などの詳細は、セキュリティ アドバイザリ 2659883をご参照ください。   脆弱性の概要 今回公表された脆弱性は、一般的に”ハッシュ衝撃攻撃 (Hash Collision Attack)” と呼ばれ、マイクロソフトのテクノロジーだけでなく、その他ベンダーの Web アプリケーションにも影響を与えます。マイクロソフト製品においては、攻撃者によって送信された細工した HTTP リクエストパケットを ASP.NET の Web サイトで受信するだけで、Web サイトの CPU リソースが一定時間 100% 消費されサービス拒否の状態になります。 マイクロソフトは現在、この問題を解決するセキュリティ更新プログラムを開発中です。また、今後の脅威に備え、マイクロソフトは引き続き、積極的に Microsoft Active Protections Program (MAPP) のパートナーと協力し、お客様を保護するために対応を実施します。   本件について更新情報がありましたら、このブログおよびアドバイザリでもお知らせします。   関連情報 マイクロソフト セキュリティ アドバイザリ (2659883): ASP.NET の脆弱性により、サービス拒否が起こる マイクロソフト サポート技術情報 2659883 Microsoft …

Web アプリケーションがサービス拒否となる脆弱性に関するアドバイザリ 2659883 を公開 Read More »

IIS & ASP 向け検査・対策ツールを公開

小野寺です。 ニュースとしては、比較的下火になっているかもしれない、SQL インジェクションの対策が済んでいないサイトが、まだまだ、残っています。 しかし、実際に対策を進めてみると「検査方法が分からない」「開発元がもうすでに・・・」「色々有ってコードが変更できない」といった様々なフィードバックというか悩みがでてきます。 現在のSQL インジェクションの問題の怖いところは、侵害されたサイトが、そのサイトの利用者にも被害を伝播させるところです。そして利用者側で自衛するのは大変難しいと言えます。現在発見されている多くのパターンは、セキュリティ更新を適用しておけば被害を受ける可能性は低くなりますが、ゼロではありません。将来、もしも未知の脆弱性が発見された場合、この多数のSQL インジェクションに耐性のないサイト群が犯罪者にとって都合のよい犯罪のプラットフォームになってしまう事も考えられます。 ということで、少なくとも先ずは、自分のところから何とかしようということになりまして、Internet Information Services (IIS) と ASP の対策・検査ツールを新たに提供することにしました。 (前置きが長かったです。) 1. Microsoft Source Code Analyzer for SQL Injection (SQLインジェクションに関するソースコード分析ツール)  このツールは、ASP のソースコードを静的に分析して、SQL インジェクションの原因となるような未検証の外部入力や、外部入力を直接使った SQL コマンド/ステートメントの構築等々を検出します。ツールでは、以下の6種類の点について検査し、警告を出力します。 80400 – Possible SQL Injection vulnerability through data that is read from the Request object without any input validation.  These warnings are very likely bugs that …

IIS & ASP 向け検査・対策ツールを公開 Read More »

セキュリティ デベロップメント “ライフサイクル”:裏側と表側

小野寺です。 セキュリティ デベロップメント (SDL: Security Development Lifecycle) って本当にやってるの?ということを、聞かれることがあるが、実は結構真面目にやっていたりします。 この辺りの現場の声を Web Application Security Forum の2日目 (7/5) で話すことになりました。といっても、話すのは私ではなく、ソニーの松並氏 とマイクロソフト最高技術責任者の加治佐が、開発の現場経験から話していきます。きっと、生々しい話になるのだろうと思っています。 私もその場で聞いてみたいのですが、その日はMicrosoft Security Response Alliance Conference に出席するために、シアトルに居る予定なのです。 そのほかにも、過去の事例から多くを学んだ企業がその経験を話すようなプログラムが組まれていたり、開発者向けのセッションも内容が濃くなっているようです。 最近の事件・事故やセキュリティの動向をみていると聞いておくべき内容になっているのではないでしょうか。

最近のWeb改ざんとかSQLインジェクションとか

小野寺です。 3月頃からSQLインジェクションが原因となるWebサイトの改ざんが報告されているのは皆さまご存じの通りです。4月に入って被害がさらに広がっているように感じています。まず、SQLインジェクションに対して殆ど認知されていないですし、その対策方法も知られていないのではないでしょうか。各方面ですでに啓発告知がなされてはいますが、その様な告知を受けている人は、ある程度セキュリティに興味があるか詳しい人である可能性が高く既に対策済みという場合が多いのではないかと思っています。 この点は、マイクロソフトも例外ではなく、前々から悩ましく思っています。とはいえ、届くところには伝えなければなりませんので、マイクロソフトからも管理者・開発者を含め我々から直接連絡の取れるお客様に広く注意喚起することにしました。 SQL インジェクション攻撃とその対策http://www.microsoft.com/japan/technet/security/guidance/sqlinjection.mspx 実際に、SQL インジェクション攻撃を受けているかは、Webサーバーの”適切に設定された”ログに現れてきます。最近広く行われている攻撃は、自動化ツールによるものとみられており、ログに以下のような文字列の断片が見られた場合は、攻撃を受けている可能性があります。  ;DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041005200450020004 (以下略) そのほか、特殊記号 (‘ ; –等)がログに残っている場合も同様に注意が必要でしょう。 問題は、実際に不正なコードをインジェクション(注入)されているかどうかの確認ですが・・・<iframe>や<script>タグをうまく使っているため目視による検証はあまり意味を持ちません、また、コンテンツファイル (*.htmlとか*.asp等)を検索しててもだめです。 問題のコードはデータベース側に埋め込まれることになりますので、関連するテーブルで文字列を格納可能な型の列を其々チェックすることをお勧めします。 最後に根本的な対処については、少なからずWebアプリケーションや、データベースロジックを変更することになりますので、サイトで紹介している資料等を参考に、早めの対応が肝要です。 すでに、Webが改ざんされてしまっている場合は、アプリケーション改修ももちろんですが、利用者保護も忘れずに。