ネット世界の安全と平和を守るエンジェルたちの秘密組織、『C.I.A』。 そのC.I.Aに見習いエンジェルまえのん(前田希美)がやってきた。頼れる先輩エンジェルみみ(黒田瑞貴)と一緒にガールズパワーでミッションにチャレンジ! 果たして、一人前のエンジェルになれるのか?!
ネットの安全特集2010春 - Yahoo! JAPAN
ネット世界の安全と平和を守るエンジェルたちの秘密組織、『C.I.A』。 そのC.I.Aに見習いエンジェルまえのん(前田希美)がやってきた。頼れる先輩エンジェルみみ(黒田瑞貴)と一緒にガールズパワーでミッションにチャレンジ! 果たして、一人前のエンジェルになれるのか?!
情報セキュリティ技術動向調査(2009 年下期):IPA 独立行政法人 情報処理推進機構
Web において使われる URI(URL)には様々な情報が埋め込まれるが、その埋め込みの際にはエスケープ(パーセントエンコード)が行われる。埋め込まれた情報は取り出されるときにアンエスケープ(パーセントデコード)される。 たとえば、四則演算を行う電卓の Web アプリケーションを考える。この電卓は HTML の form でユーザに式の入力を求め、式が入力されてサーバに送られたらその結果を表示する。ここで、式は "http://calc.example.org?q=式" というような URI にブラウザがアクセスすることによって、サーバに送られるものとする。この形式は HTML の form で用いられる application/x-www-form-urlencoded という形式であり、HTML の規格で定義される。この場合、"1+1" という式を URI に埋め込むには "+" とい
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法
■ クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 「クロスサイトリクエストフォージェリ」がにわかに注目を集めている。古く から存在したこの問題がなぜ今まであまり注目されてこなかったかについて考 えているところだが、引越しやら転勤やらでいまひとつ日記を書く時間がない。 しかし、 @ITの記事などのように混乱させる解説も散見されるので、一点だけ対策 方法について書いておくとする。 クロスサイトリクエストフォージェリ――Cross-Site Request Forgeries (CSRF)を防止する簡潔で自然な解決策は以下のとおりである。 前提 ログインしていないWeb閲覧者に対するCSRF攻撃(掲示板荒らしや、ユーザ登 録を他人にさせる等、サイト運営者に対する業務妨害行為)はここでは対象と しない。 ログイン機能を持つWebアプリケーションの場合、何らかの方法でセッション 追
カミンスキー氏が発表したDNSアタック手法と対策例 ― @IT
カミンスキー氏が発表したDNSアタック手法と対策例:DNSキャッシュポイズニングの影響と対策(前編)(1/4 ページ) 2008年7月に公開されたDNSキャッシュポイズニングの脆弱性。DNSの仕様に深く関係するこの手法に対して、エンジニアはどのように対策を打つべきでしょうか。この脆弱性の本質的な問題と対策、そして私たちが考えなくてはならないセキュリティの心構えなど、2回に分けてお送りします(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク、コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークや
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (1) XSS問題などを検出可能 | エンタープライズ | マイコミジャーナル
Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。以下、基本的な使い方や主要機能について紹介していこう。 Google社内で現役の脆弱性検知ツール - ratproxy Googleは1日(米国時間)、Webアプリケーションのセキュリティ監査を実施するツール「ratproxy」をリリースした。ratproxyはプロキシサーバとして動作するオープンソースソフトウェア。同ソフトウェアを経由してWebアプリケーションを操作することで、XSS(Cross Site Scripting)問題や不適切なXSRF(Cr
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
