サイボウズの報奨金に半年で158件の報告、2015年は特定攻撃を増額
サイボウズは2015年1月27日、2014年6月に開始した「脆弱性報奨金制度」に関する説明会を開催した。同制度は、同社の製品サービスについて、社内で検出していない未知の脆弱性を発見・報告した善意の協力者に報奨金を支払うもの。2014年は、6月19日~12月25日の期間に報告を受け付けた。その結果、158件の未知の脆弱性が見つかり、総額687万円の報奨金を支払ったという。2015年は、特定の攻撃に関する脆弱性の報奨金を増額するとともに、報奨金を振り込むまでの期間を短縮する。 同制度は、同社のパッケージ製品とAPI、クラウドサービス基盤「cybozu.com」で稼働する各サービス、同社指定ホームページについて、社内検証や第三者機関による検証で発見されてない未知の脆弱性を、外部の協力者に発見・報告してもらうための仕掛けである。報告された脆弱性について、共通脆弱性評価システム「CVSS v2」の評
遠隔操作ウイルスによる連続威力業務妨害等事件 :警視庁
事件の概要 平成24年6月29日から9月10日にかけて、インターネット掲示板「2ちゃんねる」を利用して、第三者のパソコンを遠隔操作ウイルス「iesys.exe」に感染させるなどし、感染したパソコンから無差別殺人や航空機爆破等の犯罪予告を内容とする脅迫文を、市役所等のウェブサイトに投稿し、また、メールで送信することにより、市役所や会社の業務が妨害されるなどの事件が連続して発生しました。 平成24年6月29日、神奈川県横浜市役所のウェブサイト上に、横浜市内の小学校に対する無差別大量殺害予告が行われた結果、同校の業務が妨害されました。 平成24年7月29日、大阪府大阪市中央区役所のウェブサイト上に、通称オタロードにおける無差別大量殺害予告が行われた結果、同区役所職員の業務などが妨害されました。 平成24年8月1日、航空会社のウェブサイト上に、成田国際空港を離陸し、ニューヨークへ向け航行中の航空
これは酷すぎる!警察・検察の「反省」なんてみんなウソっぱちだった ネットなりすまし殺人予告 誤認逮捕の被害者が「恐怖の取調室」を語った(週刊現代) @gendai_biz
これは酷すぎる!警察・検察の「反省」なんてみんなウソっぱちだった ネットなりすまし殺人予告 誤認逮捕の被害者が「恐怖の取調室」を語った 「警察・検察をハメてやりたかった、その動機が100%です」---真犯人は犯行声明でそう語った。ネット犯罪の進化に、警察はまるで対応できていない。そして、悲劇の冤罪事件が起きた。 他人事ではありません 世間を騒がせている「ネットなりすまし殺人予告事件」で、大阪府警に誤認逮捕された北村真咲さん(43歳)の弁護人は、北村さんの怒りをこう代弁する。 「北村さんは、今回の事件に関して逮捕前から一貫して捜査に協力し、かつ否認していました。にもかかわらず、北村さんは逮捕・勾留されてしまい、著しい肉体的、精神的、経済的打撃を受けました。捜査に協力していたのに安易に身体拘束に踏み切った捜査機関(大阪府警)に対し、強い憤りを覚えます。 また、逮捕された後も、捜査機関は北村さん
「はまちやが使い勝手とセキュリティのアドバイス」についての覚書
2012/05/15 ブログ記事「10万円で使い勝手とセキュリティのアドバイスをしようと思います」の詳細です。 ・このサービスは、依頼者のWebサービスを、はまちや個人が実際に使用し、使い勝手とセキュリティに関するアドバイスのレポートを行うものです。 ・依頼される対象のWebサービスは、依頼者本人または依頼される組織が所有するものに限らせて頂きます。 ・作業時間は6時間、作業後、レポートを作成し、作業日から一週間以内にレポートをお送りします。 ・レポートの提出は基本的にメールで行いますが、書面をご希望の際には、別途、印刷したものを郵送にてお送りします。 ・料金は10万円、税込みです。 ・作業日は、ご相談の上で決定しましょう。 ・依頼のキャンセルは、作業日前日までにお伝え頂ければ可能ですが、作業開始後のキャンセルはお受けできませんのでご了承ください。 ・作業は基本的にインターネット経由で行い
時事ドットコム:改正不正アクセス禁止法が成立=フィッシング処罰化
改正不正アクセス禁止法が成立=フィッシング処罰化 改正不正アクセス禁止法が成立=フィッシング処罰化 インターネット上に金融機関などの偽サイトを開設し、IDとパスワードを入力させて盗み取る「フィッシング」の処罰化などを盛り込んだ改正不正アクセス禁止法が30日、参院本会議で全会一致で可決、成立した。 改正法は、不正利用する目的で他人のIDやパスワードを取得、保管する全ての行為を禁止。フィッシングについては、偽サイトを開設し不正取得の「準備行為」をしただけで処罰できる。(2012/03/30-18:14)
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/7241c583676d54fc052c4388a6edd25e4c7f280b/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2Fgihyojp-ogp.png)
セキュリティテストで使えるFirefoxのアドオン - プログラマの思索
小川 明彦, 阪井 誠 : チケット駆動開発 日本のソフトウェア開発の現場で生み出された「チケット駆動開発」という概念を、数多くの実例を元にモデル化・体系化を試みた最初の本。 小川 明彦, 阪井 誠 : Redmineによるタスクマネジメント実践技法 Redmineによるチケット駆動開発の実践技法に関する最初の本。アジャイルなソフトウェア開発への適用方法、TestLinkによるテスト管理手法についても言及。 清水 吉男: 「派生開発」を成功させるプロセス改善の技術と極意 組込システム開発をベースとして、ソフトウェア開発特有のスタイルである派生開発、特にXDDPについて解説した世界でも稀な本。既存製品を保守するのではなく継続的に機能追加していく昨今の開発では、派生開発特有の問題を意識しなければならない。XDDPはプロセス論だけでなく、要件定義などの上流工程の品質改善にも役立つので注意。 Le
Kanatoko (@kinyuka) | Twitter
最高品質のウェブセキュリティサービスをお届けする。ScutumとVAddyの中の人でつ。
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか
■ クロスサイトリクエストフォージェリ(CSRF)対策がいまいち進まなかったのはなぜか 4月27日の日記「クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法」で、 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古くから存在したこの問題がなぜ今まであまり注目されてこなかったかについて考えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 と書いた。あれから2か月以上が経ってしまったが、今書いておく。 端的に言えば、「CSRF対策は所詮、荒らし対策にすぎない」 と考えられてきたためではないか。 荒らし対策をするしないは運営者の自由 あるサイトに脆弱性を発見した者が、その運営者に対してその脆弱性を直して 欲しいと希望することが、どのくらい妥当かというのは、その脆弱性によって 生じ得る危険性の種類によって異なる。 たとえば、IPA の脆弱性届出状
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
高木浩光@自宅の日記 - 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない
■ 暗黙的に形成する事実標準の話と回避策の話を混同してはいけない 「ぼくはまちちゃん」 ――知られざるCSRF攻撃, 上野宣, @IT, 2005月4月27日初版、2006年11月8日修正版 ●リファラーで発信元をチェック HTTPリクエストを受けたとき、そのリクエストがどこのWebページから発行されたものかを示すリファラー(REFERER)と呼ばれる情報を得ることができる。この情報を活用し、本来意図したWebページ以外からのリクエストを拒否することで、CSRFによる外部からのリクエストを防ぐことができる。 ただし、ユーザーがリファラー情報を出力しないブラウザを使っている場合、このチェックを導入すると正当な操作でも受け付けなくなってしまう。 懸念されるリファラー情報偽装に対する問題だが、以前はリファラー情報を発行するのは攻撃を踏んでしまった自分自身なので、リファラー情報を偽装する動機がなく
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
誤認逮捕巡り少年に補償決定 遠隔操作で家裁浜松支部 - 日本経済新聞
HTML5 Security Cheatsheet
html5security - Project Hosting on Google Code
http://blog.monoweb.info/article/2012021823.html
Amazon.co.jp: 体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践: 徳丸浩: 本