iPhoneアプリ「電波チェッカー」がUDIDを送信していることへの問い合わせまとめ(2010/06/12) 結局UDID偽装が可能であったことが発覚しました iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ」 http://bit.ly/bp7MaT ソフトバンクの公式iPhoneアプリ「電波チェッカー」がiPhoneのUDID(固有端末番号)を送信している理由についての問い合わせをまとめてみました 続きを読む
もいちどイチから! HTTP基礎訓練中 第1回 XSSは知ってても、それだけじゃ困ります? ― @IT
分かってるつもりではあるけれど…… クウはベンチャー企業で働くWebアプリケーションのエンジニア。でもそこは小さなベンチャー企業、セキュリティのことは分かっていながらも、動くものを納品するので精いっぱい……。今日は納品のため、客先でミーティングに参加していた。そしてお客様から受けた指摘は、こんな一言だった。 お客さん 「……で、このWebアプリケーション、セキュリティは大丈夫なんだよね?」 クウ 「は、はいっ! もちろんです!」 お客さん 「じゃあ、これからもよろしく頼むよ」 クウ、ユウヤ 「よろしくお願いしますっ!」 無事、お客さんとのミーティングを終えたクウとユウヤの2人は、近くの喫茶店で一息いれることにした。 クウ 「最近はセキュリティのことを聞かれることがかなり増えてきましたねぇ」 ユウヤ 「ああ、そうだね。営業の段階から『セキュリティはどう担保されているんだ?』なーんてことをいわ
MOONGIFT: Web2.0時代のセキュリティ査定ツール「Ratproxy」:オープンソースを毎日紹介
ブラウザが多用されるようになり、ローカルのアプリケーションだけだった時代では想定されなかったセキュリティリスクが出てきている。そして、それらの問題に対応するべく様々な情報がインターネット上に掲載されている。 レポート だが一般ユーザはもちろん、ITに詳しい人であっても、それらの情報を活用しているとは言い難い。情報を元に、どのような施策を行うか、それが重要だ。 今回紹介するオープンソース・ソフトウェアはRatproxy、グーグラーが開発したWebアプリケーションセキュリティ査定ソフトウェアだ。 Ratproxyはいわゆるプロキシとして動作するソフトウェアだ。デフォルトで8080を使って立ち上がる。後はブラウザのプロキシを設定して、様々なサイトを閲覧すれば良い。結果はログファイルに吐き出され(ファイル名を予めしておく必要がある)、その結果を解析してレポートを作成してくれる。 実行中 検査する項
[Think IT] 第2回:PHPのSQLインジェクションを実体験 (1/3)
【セキュリティ最前線】 セキュリティホールをついて遊ぶ 第2回:PHPのSQLインジェクションを実体験 著者:大垣 靖男 公開日:2008/1/18(金) PHPでSQLインジェクションを実体験 本記事では、セキュリティに対する課題を実体験していく。第2回となる今回は、いよいよ実際にテスト環境を構築し、攻撃を行う。標的となるのはWebシステムの開発で幅広く利用されている「PHP」だ。 PHP本体にはWebブラウザからの入力のデコード処理をはじめとして、Webシステム開発に必要不可欠な機能が組み込まれている。2008年1月3日に最後のPHP 4.x系のリリースとなる「PHP 4.4.8」がリリースされ、これ以降PHP 4.x系の開発は行われなくなった。現在はPHP 5.x系のPHP 5.2.5のみがPHPプロジェクトにより正式にサポートされている状態だ。 データベースサーバへのアクセスもWe
試訳 - コードをセキュアにする10の作法 : 404 Blog Not Found
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
リクエストをいじれば脆弱性の仕組みが見えるのだ!
telnetでリクエストを打つのは面倒…… クウ 「うーん。めんどくさい……」 ジュンさんにWebアプリエンジニアとして重要な基礎、HTTPのしくみを教えてもらったクウは、引き続きHTTPと格闘中だ。 クウはジュンさんに教わったとおりtelnetを使ってHTTPを勉強していた。しかし、telnetで静的ファイルの閲覧などは比較的簡単にできるのだが、肝心のWebアプリケーションの閲覧を行うには非常に面倒であった。 ユウヤ 「どうしたの?」 クウ 「HTTPの勉強しようと思ったんだけど、コマンドをいちいち打ち込むの大変なんだよね……」 ユウヤ 「なんかそういうの、簡単にできるツールあるんじゃないの?」 クウ 「ああ、そうか。よく考えたらそういうのありそうだね。ちょっと探してみよっと」 ユウヤ 「まあ、それはいいとしてだ。昨日頼んでおいた資料ってどうなった?」 クウ 「ああっ。ごめん! 共有サー
IPsec XAUTH 認証機能
VPN クライアントソフトウェア YMS-VPN1 および YMS-VPN1-LP10 では、Ver.2.2.1.03 以降でIPsec XAUTH 認証機能をサポートしています。 動作確認済みRADIUSサーバ 以下のRADIUSサーバでの動作を確認しています。なお、これらとの接続動作を保証するものではありません。 Steel-Belted Radius Enterprize Edition v5.4.0 FreeRADIUS v1.1.1 共通概念と用語定義 用語定義 内部 IP アドレス VPN の外側にいる IPsec クライアントがインターネット経由で VPN に参加する場合、まずインターネット接続に使用する外部の IP アドレスを用いてセキュリティゲートウェイにアクセスし、IPsec トンネルを生成します。 こうして生成した IPsec トンネルを用いて VPN にアクセスする
Perlを使って脆弱性を検証する:CodeZine
はじめに 今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。 対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。 必要な環境 Perl 5.8以上が動作する環境。基本動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。 解説内容 ソースコード解説 まず最初にソースコードの解説をします。 xss.pl
「PHPバグ月間」への対処法,危険な関数を無効にしよう:ITpro
PHPセキュリティ・レスポンス・チームを離脱したPHP開発者のStefan Esser氏が,3月にPHPのバグを公表し続けた活動「Month of PHP Bugs(PHPバグ月間)」をご存じだろう(関連記事:「3月は「PHPバグ月間」,元開発者がバグを毎日公開へ」,「PHPのぜい弱性を毎日公表するプロジェクト,ユーザ会のメンバーが日本語訳公開」)。Stefan Esser氏が公開したバグのいくつかは,危険な関数を無効にすることで回避可能である。 もし読者が自身のサーバーでPHPを使っている場合,エンジンの意図しない部分まで公開されていないか,その構成をチェックする必要がある。もしぜい弱な部分が公開されている場合は,そこからシステム全体,ひいては使っているネットワークの他の部分まで公開されてしまう可能性があるからだ。 使っているWebシステムが閉じている(つまり,他のユーザーによるファイル
Kozupon.com - Exec-Shieldでバッファオーバーフローをブロックする!
Exec-Shieldは、バッファ・オーパーフロー攻撃の特徴的な「プログラムのバグを突いて、そのプロセスを乗っ取る攻撃」をブロックするものである。 プログラムのバグを取り除くには、公開されているパッチを適用するか、バグが改善された新しいバージョンにアップグレードするしかない。ただし、このようなことができるのは、既に見つかったバグに対してのみ。まだ見つかっていないバグにバッチを適用したり、アップグレードしたりするのは不可能だ。こうした潜在的なバグに対処するための手段が、Exec-Shieldである。 1.バッファ・オーパーフローとは? 詳しくは、 ここ を参照して欲しい。バッファ・オーパーフロー攻撃とは、一言でいうと「悪人がプロセスがメモリ領域に確保したバッファをあふれさせ、そのプロセスに任意のコードを実行させて悪事を働くこと」と言える。 バッファとは、CPUの処理効率を高めるために
セキュアなLinux環境への近道――Damn Vulnerable Linuxの無防備さを極めろ! | OSDN Magazine
Damn Vulnerable Linux(DVL)には、セキュアなLinuxディストリビューションであれば備えていては“いけない”あらゆる要素が取りそろえられている。DVLの開発陣は、セキュリティホールの原因となる穴だらけの旧式ソフトウェアを意図的に寄せ集めることで、外部からの攻撃に対して無防備極まるLinuxディストリビューションをわざわざ生み出したのだ。もっともこのディストリビューション、一般ユーザのデスクトップ環境で使われることを前提としている訳ではなく、コンピュータセキュリティ用の教材として作られたのであるが。 DVLは、1枚のライブCDに収められた容量150MBのISO形式で配布されている。その母体とされたのは、コンパクトなLinuxディストリビューションとして人気の高いDamn Small Linux(DSL)であるが、その選定理由はこうしたサイズの小ささだけではなく、2.6
NHKとリニアと原発の関係。- セキュリティホール memo
Security Watch さんが店じまいされてしまったので、 個人で追いかけてみるテストです。 備忘録として書いておくつもりなので、 Security Watch さんのような詳細なものではありません。 基本的なターゲットは UNIX、Windows、Mac OS (priority 順) とします。 また、このページの内容はどのページにも増して無保証であることを宣言しておきます。全ての情報が集まっているわけもありません。 ここに載せる情報については、可能な限り 1 次情報源へのリンクを作成しておきます。 各自で 1 次情報源の内容を確認してください。 このページの内容をくれぐれも鵜飲みにしないように。 間違いを発見された方、記載されていない情報をご存知の方、ぜひおしえてください。よろしくお願いいたします。 このページの情報を利用される前に、注意書きをお読みください。
OpenSSLのインストールとキーペアの生成
OpenSSLはフリーのSSL実装で、mod_sslやApache-SSL、あるいはOpenSSHなどで必要になります。ApacheでSSLを使いたい場合は、OpenSSLのほかに、mod_sslまたはApache-SSLを導入する必要があります。 Apache 1.3.20 + mod_ssl 2.8.4インストールメモ Apache 1.3.6 + SSL 1.3.2 (Apache-SSL)インストールメモ INSTALLの手順通りコンパイルします。 $ tar xvfz openssl-0.9.6b.tar.gz $ cd openssl-0.9.6b $ ./config $ make $ make test rootになってインストールします。 $ su # make install 鍵の作成とサイト証明書の発行 パスフレーズで保護された秘密鍵を生成します。 $ su # cd
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
iPhoneアプリ「電波チェッカー」がUDID偽装可能だったことが発覚してからのまとめ
PHPでのセキュリティ対策についてのメモ - Liner Note
http://neta.ywcafe.net/000930.html
http://www.pc-view.net/Network/030708/index.html
Japan.internet.com デベロッパー - Rubyを使ってWebアプリケーションの脆弱性を早期に検出する
memo.blogdns.net is offline
memo.blogdns.net is offline