UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
ZABBIX-JP - Un-Official Support Page
このサイトは統合監視ソフトウェア"Zabbix"の非公式日本コミュニティサイトです。日本におけるZabbixの普及を目標としています。 ZabbixはZabbix LLCにより開発され、日本国内のオフィシャルサポートはZabbix Japanが提供しています。 Zabbixオフィシャルリリース(ソースコード) 6.2.3 (2022/9/21) [ダウンロード] : [リリースノート] 6.0.9 (2022/9/21) [ダウンロード] : [リリースノート] 5.0.28 (2022/9/19) [ダウンロード] : [リリースノート] 4.0.44 (2022/9/19) [ダウンロード] : [リリースノート] Zabbixオフィシャルパッケージ (rpm, deb) Zabbix LLCのZabbix 4.0、5.0、6.0オフィシャルRPM(RHEL, CentOS, SUSE
Nmap Online - Highly customizable scanning of network hosts
Nmap Online Scanner uses Nmap Security Scanner to perform scanning. It was designed to rapidly scan large networks, although it works fine with single hosts too. We suggest you to read the Nmap's documentation, especially the Nmap Reference Guide. You can also be interested in some examples of the Nmap's usage. Nmap Online Scanner supports most of the functionality of Nmap Security Scanner. It can
Googleで効率よく新鮮な匿名プロキシを探す方法 - GIGAZINE
いわゆるCGIプロキシとかPHPプロキシを一気に探し出す方法です。既存のこういうプロキシサイトをリスト化しているサイトよりも優れている点は、常にGoogleのほこるGoogleボットが世界中のページを駆けめぐって常に新鮮なプロキシを探してくれるということ。 探索方法は簡単、「include form」「remove scripts」「accept cookies」「show images」という各フレーズを含むサイトを検索結果で出すだけ。 やり方の詳細は以下の通り。 I-Hacked.com Taking Advantage Of Technology - How to Find 100,000+ Web Proxies and the State of Internet Censorship in the U.S. 検索は次のようになります。このリンクをお気に入りに入れるかブックマークし
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
ウノウラボ Unoh Labs: 無料でここまでできる!OS毎のセキュリティ対策まとめ
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
高木浩光@自宅の日記 - 駄目な技術文書の見分け方 その1
■ 駄目な技術文書の見分け方 その1 はてなブックマークのホッテントリを見ていたところ、300を超えるユーザに登録された以下の記事があった。 今夜分かるSQLインジェクション対策, 上野宣, @IT, 2006年11月2日 また上野宣か。顔見知りなのでズバリいくことにする。 しかし、その対策はまだ本当に理解されていないように思える。 へえ。 終わりの方を見てみると、 Webアプリケーションの対策 入力値のSQLの特殊文字を適切にエスケープ 入力値=プログラム(プロセス)に外部から入ってくるもの シフトJISの場合には1バイト文字を整理 SQLの記述をなくすためにO/R(Object/Relational)マッピングを活用 攻撃者に役立つ情報を与えないために、不要なエラーメッセージ(データベースが出力するエラーなど)の表示を抑止 対策に「準備された文」(prepared statement)
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
【Black Hat Japan 2006】JavaScriptでイントラネット内の機器をハッキングするデモを紹介
「JavaScriptを使えば外部からイントラネットへの攻撃が可能になる」。東京で開催されたセキュリティ関連のイベント「Black Hat Japan 2006 Briefings」で2006年10月5日,米WhiteHat Securityの設立者であり,同社の最高技術責任者(CTO)であるJeremiah Grossman氏は,外部からイントラネット内の機器をハッキングするデモを行った。JavaScriptがオンになっていれば,イントラネット内といえどももはや安全ではないことを示すショッキングなデモとなった。 Grossman氏によると,攻撃者がWebページでJavaScriptを動作させるにはいくつかの方法があるという。「Webページのオーナーが意図的にJavaScriptを埋め込む」「クロスサイトスクリプティングのぜい弱性を利用する」「攻撃用のリンクを作成し,電子メールやインスタン
ハッカーの金鉱脈「SQLインジェクション」の正体
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
Eraser Settings – Eraser
Eraser is a customisable program which allows you to change settings that fit your threat model. Nonetheless, the default settings that come with Eraser out-of-the-box are relatively safe for the majority of users. Note that for settings to take effect, you need to select the Save Settings button at the top-right of the settings page. Some settings also require a restart to take effect. Shell Inte
Power Usersアカウントが持つ恐ろしい「力」
Windowsのユーザー・アカウントを「Power Users(標準ユーザー)」グループに所属させるのは,ユーザーに与える権限を最低限に抑えながら,それでいて権限の小ささに伴う様々な苦痛を回避できる一般的な手法である。Power Usersグループのメンバーであれば,ソフトウエアのインストールや電源とタイムゾーンの設定変更,ActiveXコントロールのインストールといった,「Users(制限ユーザー)」のメンバーには許可されていない様々なアクションが可能である。ただしその一方で,セキュリティが犠牲になることも忘れてはならない。 なぜならPower Usersグループのメンバーは,自分自身をすべての権限を持つAdministrator(管理者)に昇格できることが,多くの記事によって指摘されているからだ(例:マイクロソフトのサポート技術情報「Windows Server 2003,Window
ITmedia News:ソフトウェアキーボードでも避けられない個人情報窃盗
Expired:掲載期限切れです この記事は,Associated Press との契約の掲載期限(30日間)を過ぎましたので本サーバから削除しました。 このページは20秒後にNews トップページに自動的に切り替わります。
[Winny]Winnyネットワークをダウンさせる方法の提案 - Tomo’s HotLine
IT技術を中心に、暮らしに役立つ情報からクラシック音楽の解説まで気軽に情報発信しています。 WEBサイトはhttp://toremoro21.world.coocan.jp/ Twitterは@toremoro21です。 第2回DHT勉強会の講師として、DHT(分散ハッシュテーブル)のセキュリティ対策についてレクチャーを行ったが、オーバーレイなシステムについては、セキュリティの研究をもっと積極的に行うべきだと思った。意外にこの分野で研究をしている人が日本では少なかったりする。 ところで、DHTのセキュリティ対策を考えている際にWinnyのネットワークをダウンさせる効率のよい方法も考えたので、皆様の意見を聞きたいと思う。 □悪意のノードの混入でシステムダウンは可能か? そもそもの考察の発端はDHTにおいてどの程度悪意のノードが混入した場合、システムがダウンするかを検討したことである。実は相当
![[Winny]Winnyネットワークをダウンさせる方法の提案 - Tomo’s HotLine](https://cdn-ak-scissors.b.st-hatena.com/image/square/b4e38426fa9529bdb687a0c8ea1406a0f5bee683/height=288;version=1;width=512/http%3A%2F%2Ftoremoro.tea-nifty.com%2F.shared-cocolog%2Fnifty_managed%2Fimages%2Fweb%2Fogp%2Fdefault.png)
“ダイヤルは2度回せ”,レッツがFAXの誤送信を防ぐ装置を発売
レッツ・コーポレーションは9月15日,FAXの誤送信を防ぐ装置「SeCURITY FAX 新Double Dial 64」と「同512」を発表した。同装置を使うことで,誤った番号へFAXを送信し顧客の個人情報を流出させてしまうといった事態を防げる。9月下旬に出荷を始める。 Double Dialは,FAX機と電話回線の間につないで使う。まずDouble Dialで送信先の電話番号を入力しておき,そのあとでFAX機で送信作業を行う。両者の番号が一致しない場合,Double Dialはエラーを表示し発信をストップする仕組みだ。 同社によると,金融機関などでは誤送信を防ぐため,送信を行う者に別の者が立会って発信番号をチェックするケースさえあるという。Double Dialを使えば,一人の作業でも誤送信を抑制できるため,業務の効率化につながると同社はアピールする。 Double Dialに短縮ダイ
Open Tech Press | ハードディスクの中身を誤って消した場合のファイル復旧方法
先日、私は自宅のデジタルビデオとデジタル写真をバックアップするためのディスク容量を十分に確保しようと思い、新しいハードディスクを買って自宅のLinuxサーバーに増設した。保存しようとするすべてのファイルを1つのハードディスクに移動し、新しいバージョンのLinuxにアップグレードするために古いハードディスクのパーティションを切り直した。オペレーティングシステムの再インストールを終えた後、バックアップハードディスクをマウントしたわけだが、そこで中身が空だということが判明した。どういうわけか、全データをバックアップしたハードディスクと、消去するハードディスクとを取り違えてしまったのだ。こうして外部メディアへのバックアップを失敗したおかげで、写真とビデオのバックアップをすべて失ってしまった。 私はしばらく呆然としていたが、なんとか立ち直り、ファイル復元の方法を探すことにした。失ったファイルやパーテ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://neta.ywcafe.net/000678.html
http://www.typemiss.net/blog/kounoike/20061019-100
http://www.multithread.jp/archives/000582.php
http://neta.ywcafe.net/000665.html