ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起
各位 JPCERT-AT-2014-0001 JPCERT/CC 2014-01-15 <<< JPCERT/CC Alert 2014-01-15 >>> ntpd の monlist 機能を使った DDoS 攻撃に関する注意喚起 https://www.jpcert.or.jp/at/2014/at140001.html I. 概要 NTP Project が提供する ntpd の一部のバージョンには、NTP サーバの状態 を確認する機能 (monlist) が実装されており、同機能は遠隔からサービス運 用妨害 (DDoS) 攻撃に使用される可能性があります。 NTP は、通常 UDP を使用して通信するため、容易に送信元 IP アドレスを 詐称することができます。また、monlist 機能は、サーバへのリクエストに対 して大きなサイズのデータを送信元 IP アドレスへ返送するため、攻
CSRF 対策用トークンの値にセッション ID そのものを使ってもいい時代は終わりつつある - co3k.org
CSRF 脆弱性対策には攻撃者の知り得ない秘密情報をリクエストに対して要求すればよく、そのような用途としてはセッション ID がお手軽でいいよねという時代があったかと思います。 いや、もちろん、 CSRF 対策の文脈だけで言えば今も昔も間違いというわけではありません。セッション ID が秘密情報であるのは Web アプリケーションにおいて当然の前提ですので、 CSRF 対策としてリクエストに求めるべきパラメータとしての条件はたしかに満たしています。 たとえば 『安全なウェブサイトの作り方』 改訂第6版では以下のように解説されています。 6-(i)-a. (中略) その「hidden パラメータ」に秘密情報が挿入されるよう、前のページを自動生成して、実行ページではその値が正しい場合のみ処理を実行する。 (中略) この秘密情報は、セッション管理に使用しているセッション ID を用いる方法の他、
関東大雪!ジムニーが牽引した車とは、 - YouTube
2月14日、15日記録的大雪、 国道は押し固めらられた雪とシャーベット状の雪、 夜の冷え込みでこぶは凍りつき最悪な路面状況、 交差点内でスタックした大型をジムニーが救出に向かった。 無理だと思った最後のトライで奇跡が起きる。 脱出後も更なるスタックを回避する為、駐車場まで全力で駆け抜ける。 February 14, record 15-day snowfall, and a national highway are a frozen ski slope and the shape of sherbet. Jimny rescues the large model which carried out the stack in the worst road surface situation and the crossing. A miracle occurs by the last t
WordPressやMovable Typeの古いバージョンを利用しているウェブサイトへの注意喚起 掲載日:2013年9月13日 独立行政法人情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、昨今のウェブサイト改ざんの一因となっている、脆弱性が含まれる古いバージョンのCMS(*1)を使い続けているウェブサイトの届出が、6月からの累計で42件寄せられているのを受け、ウェブサイト運営者へ早急な対策を呼びかける為、注意喚起を発することとしました。 サイバー攻撃による被害を受けるリスクが高まっています。速やかな脆弱性対策の実施を! 1.概要 今年に入り、ウェブサイト改ざんの被害が急増しています(*2)。改ざんされてしまう要因の1つとして、CMSの脆弱性が悪用され、改ざんが行われる手口が報告されています。 IPAの脆弱性届出窓口(*3)には、攻撃に悪用された実例のあるCMS「WordPress」及び「Movable Type」について、古いバージョンがウェブサイトで使い続けられている旨の届出が、6月から9月上旬までの約3ヶ月間
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
