PCパソコンの断・捨・離 いいことずくめのアプリ断捨離、不要なサブスクや悪意あるアプリも排除 2024.03.15
見落としがちなぜい弱性---Webアプリケーション編
■問題■次の二つの画面を見て,このWebアプリケーションにどのような問題があるかをお答えください。 典型的な例であるためご存知の方も多いかもしれない。この例では,表示するエラー・メッセージに問題がある。エラー・メッセージの内容から,ユーザーが存在するか否かを判別できる。このため,認証の安全性が低下してしまう。対策の一つは,「ログインに失敗しました」のみを表示するなど,メッセージに含まれる情報を必要最小限にすることである。 当社はWebアプリケーションのぜい弱性診断サービスを提供しているが,その現場では,こうした問題点によく出くわす。今回は,そのぜい弱性診断の経験から,ユーザーが見落としがちなぜい弱性について取り上げてみたい。 Webアプリケーションに存在するぜい弱性と聞かれたら,ITproセキュリティの読者の多くは,まず,SQLインジェクションやクロスサイト・スクリプティング(XSS)を挙
NHKとリニアと原発の関係。- セキュリティホール memo
復刊リクエスト受付中: ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票) 中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可) 陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票) 林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票) 田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定) RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。 今すぐ Really Simple Syndication がほしい人は、のい
あの「Lhaca」がアブない、日本標的のゼロデイウイルス発見:ITpro
米シマンテックは2007年6月25日(米国時間)、ファイル圧縮・解凍ソフト「Lhaca(ラカ)」のぜい弱性を悪用するウイルス(悪質なプログラム)が確認されたとして注意を呼びかけた。LZH形式(.lzh)のウイルスをLhacaで読み込むと、パソコンを乗っ取られる恐れがある。今回のウイルスが悪用するぜい弱性に対する修正プログラムなどは公表されていないので、「ゼロデイウイルス」といえる。 今回のウイルスは、日本のユーザーから6月22日に同社に送られたという。同社が解析したところ、何らかのぜい弱性を突くものであることが明らかとなった。その後の調査で、日本国内で広く使われているLhacaに、修正プログラムが未公開のぜい弱性があることが判明。今回のウイルスはそのぜい弱性を悪用するものだと分かった。同社の情報によれば、少なくてもLhaca(デラックス版)1.20に、今回のぜい弱性が存在するという。 同社
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
危険なOfficeファイルを“無害化”するツール、マイクロソフトが公開
マイクロソフトは2007年5月22日、Microsoft Office 2003の文書ファイルを、Office 2007のOpen XML形式に変換するツール「Microsoft Office Isolated Conversion Environment(MOICE)」を公開した(セキュリティアドバイザリ)。同ツールを使えば、Office 2003の文書ファイルに仕込まれた危険なプログラムを除去できる。「サポート技術情報 935865」のページなどから入手可能。 従来、Microsoft Officeのファイル形式には、通常のテキストファイル形式ではなく、独自のバイナリーファイル形式が採用されている。このため攻撃者は、Officeの文書ファイル中に、同製品のぜい弱性を悪用するようなプログラムを埋め込むことが可能だった。新版のOffice 2007では、XMLベース、すなわちテキストべース
Webページ作成ソフト「ホームページ・ビルダー」のCGIサンプルに脆弱性
日本IBMのWebページ作成ソフトウェア「ホームページ・ビルダー」に付属するCGIサンプルプログラムに脆弱性が存在する。 日本IBMが提供しているWebページ作成ソフトウェア「ホームページ・ビルダー」に付属するCGIサンプルプログラムに脆弱性が存在する。JVN(Japan Vulnerability Notes)が5月16日付で明らかにした。悪用されれば、リモートから任意のOSコマンドが実行される可能性がある。 ホームページ・ビルダーのサンプルフォルダに含まれているCGIサンプルプログラムの一部では、入力内容の検査が適切に行われない。もし、付属のCGIプログラムのうち「anketo.cgi」「kansou.cgi」「order.cgi」をWebサーバに設置し、実行可能な状態にしている場合、攻撃者が挿入した文字列を通じて、任意のOSコマンドを実行されてしまう恐れがある。 脆弱性の影響を受ける
第6回 便利で危険なCookieを見てみよう
あらためて言うまでもありませんが,インターネットは,とっても便利なものですね。でも,インターネットには,ウイルス,情報漏洩,なりすましによる詐欺など,様々な危険が潜んでいます。「危険の存在を知り,十分に注意して使いましょう!」とはよく言われることですが,存在を知っているだけでは,危険から身を守ることができません。危険が生じる仕組みを知っておく必要もあります。 今回は,インターネットで使われている「Cookie(クッキー)」の仕組みを知るための実験をやってみます。Cookieは,便利なものなのですが,ちょっと危険なものでもあります。 Cookieの実体は,どこにある? はじめに,Cookieとは何かを,簡単に説明しておきましょう。 何らかのWebページを閲覧すると,Webサーバーが皆さんのパソコンのメモリーやハードディスクに情報を書き込むことがあります。書き込むデータは,どのサイトにいつアク
大日本印刷が860万件流出の対策公表、新センターでログを毎日管理
大日本印刷は4月28日、取引先から預かった863万件の個人情報が流出した問題について、対応策を公表した。2月20日にカード会社1社の顧客情報、3月12日になって43社で合計863万7405件もの情報が不正に持ち出されていたことを発表している(関連記事)。 流出問題が起こった本社電算室の個人情報取り扱い業務は、昨年9月に東京・北に新設した「神谷ソリューションセンター」へと全面的に移管した。同センターはセキュリティを強化した設備設計となっており、その上で運用面を強化した。 具体的には、(1)個人情報の取扱者の限定、(2)データ書き出し防止とチェック機能の強化、(3)外部のITベンダーなどによる監査、といった運用面の対策を打った。個人情報を記憶媒体に書き出す担当者を大日本印刷および同社子会社の計4人に限定。個人情報を書き出しできるエリアを決め、同エリア内では扱うデータに暗号化を施す。データ書き出
「長期休暇前にはセキュリティの確認を」、関係組織が注意喚起
セキュリティ組織のJPCERTコーディネーションセンター(JPCERT/CC)と情報処理推進機構セキュリティセンター(IPA/ISEC)は2007年4月25日、ゴールデンウィークのような長期休暇中および休暇明けはセキュリティに特に注意するよう呼びかけた。 長期休暇中は時間的に余裕があるため、インターネットを利用する機会が多くなる可能性が高い。このため、JPCERT/CCやIPA/ISECでは、休暇に入る前に、基本的なセキュリティ対策が施されていることを改めて確認するよう勧めている。 具体的には、「OSやアプリケーションの修正プログラムの適用」「ウイルス対策ソフトのパターンファイル(ウイルス定義ファイル)の更新」「重要なデータのバックアップ」――以上が実施されていることを確認する。 加えてIPA/ISECでは、いわゆる「ワンクリック詐欺(ワンクリック不正請求)」に注意するよう改めて呼びかけて
Photoshopに深刻な脆弱性
Adobe Photoshopの脆弱性が発覚。仏FrSIRTによると、細工を施したファイルをユーザーが開くと、攻撃者がシステムを完全に制御することができてしまう。 Adobe Photoshopに深刻な脆弱性が報告され、仏FrSIRTが4月24日、アドバイザリーを公開した。問題を悪用されるとDoS状態に陥ったり、任意のコードを実行される恐れがあるという。 脆弱性は、不正な「BMP」「DIB」「RLE」ファイルを処理する際のバッファーオーバーフローエラーが原因で発生する。細工を施したファイルを脆弱性のあるアプリケーションでユーザーが開くと、攻撃者がシステムを完全に制御することができてしまう。 影響を受けるのはPhotoshop CS3とCS2。公式パッチは今のところリリースされていない。FrSIRTの危険度評価は4段階で最も高い「Critical」となっている。
PostgreSQLセキュリティアップグレード、ユーザは迅速な対応を | エンタープライズ | マイコミジャーナル
The PostgreSQL Global Development Groupは23日(スウェーデン時間)、PostgreSQLの最新版を公開した。公開されたバージョンはそれぞれ8.2系、8.1系、8.0系、7.4系、7.3系の最新版となる8.2.4、8.1.9、8.0.13、7.4.17、7.3.19。同アップデートはSECURITY DEFINER機能における脆弱性を修正したセキュリティアップデートリリースになる。 今回のリリースは各系統のマイナーアップデートとなるが、セキュリティ問題への対応がなされているほか、いくつかのバグ修正も含まれるため、ユーザはリリースノートを熟読のうえで迅速にアップグレードを実施されたい。脆弱性が発見された機能を使う場合には、アップデートの実施後にデータベースの設定を行う必要がある。リリースノート、CVE情報、TechDocs手引書などを参考にして作業を進め
Flash完成! でも最後の仕上げを忘れずに - @IT
とうとう星野君が作成していたFlashが完成! 早速赤坂さんはそれを見せてもらいました。しかし赤坂さんの見方はちょっとベクトルが違っていました……。 Flashをめぐる赤坂さんの探求、番外編最終回!
Oracleが4月の定例パッチを予告,37件の脆弱性を修復
米Oracleは米国時間4月10日,四半期に1度提供する定例パッチ(Critical Patch Update)の予告リリースを発表した。各種製品を対象にした37件の脆弱性を修正するアップデートを4月17日に公開する。 同アップデートにより修正するセキュリティ・ホールは,「Oracle Database」で13件,「Oracle Enterprise Manager」で2件,「Oracle Workflow Cartridge」と「Oracle Ultra Search」で各1件,「Oracle Application Server」で5件,「Oracle E-Business Suite」で11件,「PeopleSoft」および「JD Edwards」製品で4件。 これらのうち7件のセキュリティ・ホールは遠隔地からの危険にさらされる可能性がある。 そのほか,Oracle Applicat
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
テクノロジー : 日経電子版
マイクロソフト、開発段階からのセキュリティ対策の成果を強調
テクノロジー : 日経電子版
マイクロソフト セキュリティ情報の事前通知
テクノロジー : 日経電子版
NTTデータ公式サイト
