代官山蔦屋書店ECサイトのXSS - Heavy Moon
CCCが運営している代官山蔦屋書店はECサイトも運営している。 ドメインはtsite配下だ。 詳細は省くがそこにXSSの脆弱性があることを2014年7月5日の時点で確認した。 古典的な方法で確認する。 (参考:サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法) 商品検索の検索窓に『>'><script>alert('test')</script>』と入力し検索を実行する。 このようにポップアップウィンドウが表示される。 わかりやすくするとこういう状態。 この件に関して冒頭にも書いたように2014年7月5日の時点で確認しており、既にCCC側も状況を確認しているはずである。 既に2週間放置されていることで、脆弱性の情報を公開することよりも、脆弱性のある状況が放置されていることのほうが危険度が上回るのではないか?という判断をし本ブログを書くことにした。 ※archive.o
自分の個人情報を売って、年間最大180円のお小遣いをゲットできるよってお話 #TpointToolBar
TOP Security 自分の個人情報を売って、年間最大180円のお小遣いをゲットできるよってお話 #TpointToolBar 全国のTポイントファンの皆様に朗報です。 なんと、Internet ExplorerにTポイントツールバーという素敵なソフトウェアをインストールするだけで、年間最大180円ものお小遣いがゲットできます。 その対価として必要なのは、ちょっとした自分の個人情報。どのような個人情報かはTポイントツールバーの利用規約に詳しくは書かれています。ただし、現在あまりの人気に利用規約のページがつながりにくくなっているので、こちらで引用しておきますね。 第6条(履歴の収集) 1.利用者は、当社が提供した本ツールバーをインストールした利用者端末による全てのWEB閲覧履歴(閲覧したURL、検索キーワード、ファイル名及びアクセス日時等の履歴情報をいい、以下「WEB閲覧履歴」といいます
Librahack : 容疑者から見た岡崎図書館事件
出来事の詳細 3/13 新着図書データベースを作るためクローリング&スクレイピングプログラムを作成した ちょうどその頃、市場調査を行うためにECサイトのスクレイピングプログラムを作っていた。そのついでに、前々から構想していたLibra新着図書Webサービスを作ろうと思った。市場調査プログラムの一部をカスタマイズして、新着図書データベース作成プログラムを作った。この時、市場調査プログラムと新着図書データベース作成プログラムは同じプログラム内にあり、パラメータでアクションを指定して振り分けていた。 Webサービスを作ろうと思った動機は「なぜプログラムを作ったか」の通り。 Webサービスの概要は「どんなプログラムを作ろうとしていたか」の通り。 普段読む本を入手する流れ:1. Amazonの各カテゴリの売れ筋をチェックしてレビューを確認し読むかどうか決める(または、書評ブログや新聞などのメディアで
高木浩光@自宅の日記 - 今こそケータイID問題の解決に向けて
■ 今こそケータイID問題の解決に向けて 目次 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 Web開発技術者向けの講演でお話ししたこと 研究者向けの講演、消費者団体向けの講演でお話ししたこと 総務省がパブリックコメント募集中 ソフトバンクモバイル製のiPhoneアプリがUDIDを認証に使用していた件 6月初めのこと、ソフトバンクモバイルが「電波チェッカー」というiPhoneアプリを直々に開発して、iTunesストアで配布を始めたというニュースがあったのだが、それを伝えるITmediaの記事で、「取得された電波状況情報はiPhoneのUDIDとともにソフトバンクモバイルに報告される」と書かれているのが気になった。*1 「電波チェッカー」で検索して世間の反応を探ったところ、ソフトバンクモバイル社のCTO(最高技術責任者)の方が、Twitterで直々に市民と対話な
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
『【緊急】アメーバなう利用中の皆さんへ【ご注意!】』
お友達の書き込みに「こんにちはこんにちは!!」というものがあったら 絶対にクリックしないでください!!!! アメーバスタッフさんの記事によると、 その書き込みをクリックすると自分の日記にも 自動的に同じ内容の記事が投稿されるそうです! その結果、それを見た他のアメンバーさんにも、どんどん感染していきます! これはワームというウイルスで、 まるでチェーンメールのように悪質です!! その上、プロフィールなどの個人情報が漏洩する場合があるかもしれません! 詳細は不明ですが、とても不気味です…! 「こんにちはこんにちは!!」というタイトルの日記が いつのまにか投稿されていないか、 自分の「ブログ」と「アメーバなう」で、どうかご確認を! あったら即刻削除してください!!!!!! (1日のタイムラグの後にウイルス発動するという説もあります!) 現在、ameba管理者の方でも対応できないほどのスピードで
「PCでは見えないはず」に頼ることの危険性
“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿を考えます(編集部) 無視できない“ケータイWeb”セキュリティ はじめまして。今回からこの連載を担当することになりました徳丸浩といいます。この連載では、携帯電話向けWebアプリケーション(以後「ケータイWeb」と表記します)のセキュリティについて解説します。ここでいう携帯電話とは、iモードやEZweb、Yahoo!ケータイなど、日本で従来、広く利用されているサービスを指します。一方、いわゆるフルブラウザやiPhone、Android端末などは含みません。 ケータイWebは、一般のPCなどから利用されるWebと比較して、使用技術の90%くらいは共通
グーグルが収集している280項目以上のユーザーデータ一覧/グーグルのダークサイド?(後編) | Moz - SEOとインバウンドマーケティングの実践情報
訪問したウェブサイトのコンテンツ分析Googleアカウント個人ユーザーに関する情報を集めるためのリソースとして使われる登録情報登録した日付ユーザー名パスワード予備のメールアドレス住所(国)顔写真利用情報友人グーグルサービスの利用状況ログイン回数Googleツールバー訪問したすべてのウェブサイト固有のアプリケーション番号404エラーとなったページを全部グーグルに送信ツールバー同期機能グーグルのアカウントに自動入力情報を保存ウェブフォームの構造をグーグルに送信セーフブラウジングセキュリティに関する警告への応答を保存自動入力フォームデータを保存スペルチェックはグーグルサーバーにデータを送信ウェブの履歴グーグルの検索結果ページから閲覧した全ウェブサイト日付時刻検索クエリクリックした広告利用したサービスGoogle翻訳グーグルのサーバーに送ったテキストすべてGoogle Finance株式のポートフ
高木浩光@自宅の日記 - 日本のインターネットが終了する日
■ 日本のインターネットが終了する日 (注記:この日記は、6月8日に書き始めたのをようやく書き上げたものである。そのため、考察は基本的に6月8日の時点でのものであり、その後明らかになったことについては脚注でいくつか補足した。) 終わりの始まり 今年3月31日、NTTドコモのiモードが、契約者固有ID(個体識別番号)を全てのWebサーバに確認なしに自動通知するようになった*1。このことは施行1か月前にNTTドコモから予告されていた。 重要なお知らせ:『iモードID』の提供開始について, NTTドコモ, 2008年2月28日 ドコモは、お客様の利便性・満足の向上と、「iモード(R)」対応サイトの機能拡充を図るため、iモード上で閲覧可能な全てのサイトへの提供を可能としたユーザID『iモードID』(以下、iモードID)機能を提供いたします。 (略) ■お客様ご利用上の注意 ・iモードID通知設定は
徳丸浩の日記 - そろそろSQLエスケープに関して一言いっとくか - SQLのエスケープ再考
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2007年11月26日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 本稿ではSQLインジェクション対策として、SQLのエスケープ処理の方法について検討する。 最近SQLインジェクション攻撃が猛威を振るっていることもあり、SQLインジェクションに対する解説記事が増えてきたようだが、対策方法については十分に書かれていないように感じる。非常に稀なケースの対応が不十分だと言っているのではない。ごく基本的なことが十分書かれていないと思うのだ。 SQLインジェクション対策には二通りある。バインド機構を使うものと、SQLのエスケープによるものだ。このうち、SQLのエスケープについて、十分
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
安全なWebアプリケーションの実現に向けて − @IT
高橋さんの唐突な一言で星野君たちはセミナーを受講することに。いままでのおさらいをするにはちょうどいい機会なのですが、集合場所にはまだ誰も来ていないようです……。 赤坂さん 「ごめーん。待ったぁー?」 星野君 「遅いですよ~」 赤坂さん 「ごめんねー。ちょっと寝坊しちゃってー」 赤坂さんはいつになく眠そうだ。 星野君 「いっつも寝坊してますよね」 赤坂さん 「まあ、いいじゃないー。間に合ったんだしさー」 星野君 「そうですね。さて……」 赤坂さん 「じゃあ、行こうかー」 星野君 「え。行っちゃうんですか?」 この日、星野君たちはセミナー会場に来ていた。テーマは「Web開発とセキュリティ」。なぜセミナー行くことになったのかといえば、例のごとく高橋さんの思いつきのような発言がきっかけだ。 高橋さん 「ねぇ。そろそろ仕事一段落するよね?」 星野君 「え?あ、はい」 高橋さん 「じゃあさ、今度の金曜
ハッカーの金鉱脈「SQLインジェクション」の正体
最近,「SQLインジェクション」の危険性について語られる機会が増えているが,SQLインジェクションの正体,その問題点,そしてそれを防ぐための方策について詳しく理解している人はまだ多くない。ここでは,SQLインジェクションとは何かを明確に定義し,どのようにして行われるかを説明し,SQLインジェクションから組織を守る方法を読者に伝えることによって,この状況を改善したい。 SQLインジェクションとは何か SQLインジェクションとは,アプリケーションに含まれるコーディング・エラーが原因となって引き起こされるぜい弱性,または欠陥である。SQLインジェクションは,ユーザーが入力したデータを使ってアプリケーションがSQLステートメントを作成し,それをSQL Serverに送信して実行する場合に発生する。この欠陥が及ぼす影響は,コーディング・エラーの性質によって様々である。 具体的に言うと,その影響は,エ
トラックバックスパムよけにも使える「mod_security」
Apacheをセキュアにするモジュールで「mod_security」というのがあるそうで。いわゆるWeb Application Firewall (WAF)というものに分類される仕組みなのですが、非常に機能が強力。ヘッダ、GET、POST、レスポンスを含むINとOUTの全リクエスト(HTTPS含む)に対してフィルタリング可能。通常では記録されないPOSTのログも記録可能。 で、この機能を使えばトラックバックスパムもサーバ側で始末できるので、PHPなどが動いて判定する前に処理でき、トラックバックスパムによる負荷が軽くなるというわけ。 設定の詳細などは以下の通り。mod_security用のブラックリストもダウンロードできるので設定も簡単です。 公式サイトは以下。 ModSecurity (mod_security) - Open Source Web Application Firewal
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
たられば on Twitter: "朝の会議でベネッセ絡みの情報流出案件が出て、社内ネット担当が呼ばれ「ウチは大丈夫?」と聞かれ、「あれはコストを削って外注したSEにDBのアクセス権がある社内PCを貸与しなきゃ回らない仕事を出したのが原因。セキュリティというより福利厚生か経営案件」と言ってて拍手しそうになった。"
行動ターゲティング広告はどこまで許されるのか インターネット-最新ニュース:IT-PLUS