NorseCorpTaking proper care of your body after a massage is crucial to maximize its benefits. Effective post-massage care can prolong relaxation, enhance muscle recovery, and contribute to your overall …
SQLインジェクションゴルフ - なんと3文字で認証回避が可能に
昨日のエントリ「SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?」にて、認証回避の攻撃文字列が5文字にできる(「'OR'1」)ことを示しましたが、@masa141421356さんと、やまざきさん(お二人とも拙著のレビュアーです)から、idとpwdにまたがった攻撃例を示していただきました。やまざきさんの例は、MySQL限定ながら、なんと3文字です。これはすごい。 @masa141421356さんの攻撃例 @masa141421356さんのツイートを引用します。 @ockeghem 大抵のDBでid=''OR' AND pwd='>' ' が通ると思います(id側に「'OR」, pwd側に「>' 」で6文字)。長さ0の文字列がNULL扱いされないDBなら最後のスペースを消して5文字です。 — masa141421356 (@masa141421356) June
多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入した
Webサイトの改ざん事件が多発しています。Webサイトに対する基本的なセキュリティ施策を実施していればまず被害にあうことはないとは思うものの、全ての手口が公開されているわけではないので、何となく「嫌な感じ」もします。 【参考】 Web サイト改ざんに関する注意喚起(JPCERT/CC) 2013年6月の呼びかけ 「 ウェブサイトが改ざんされないように対策を! 」(IPA) @Police ウェブサイト改ざん事案の多発に係る注意喚起について(pdf) 5月から多発しているHP改ざんインシデントをまとめてみた。 - piyolog 当方のサイト(会社、個人)は、一通りのセキュリティ施策は実施しているつもりですが、絶対に改ざんされないかというと、改ざんされることは想定しておかなければならないと考えています。 当方のセキュリティ施策の例 FTPをやめ、sshのみで管理運用 sshのパスワード認証を
機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
パスワードリマインダが駄目な理由
昨日、某著名サイトのパスワードリマインダの方式が変更になっていることに気がつきました。 旧: 現在のパスワードをメールで送信する(パスワードリマインダ) 新: パスワード再設定の画面のURLをメールで送信する(パスワードリセット) 新しい方式(パスワードリセット)の方が優れていますが、それでは何故パスワードリマインダは駄目で、パスワードリセットの方がよいのでしょうか。このエントリではその理由について説明します。 パスワードリマインダのリスク 良く指摘されるように、パスワードリマインダの場合、2つの問題があります。 現在のパスワードをメール送信できるということは、パスワードをハッシュ値で保存していない証拠である メールは平文通信なので、パスワードを書いたメールが盗聴されると被害が甚大になる これらのうち、パスワードの保存方法については別稿にゆずるとして、このエントリでは盗聴のリスクについて検
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
情報漏えいを防ぐためのモバイルデバイス等設定マニュアル | アーカイブ | IPA 独立行政法人 情報処理推進機構
本ページの情報は2018年9月時点のものです。 モバイルデバイス紛失や盗難などの際の情報漏えいを防止する手段としては、デバイスや格納してある情報に暗号化の設定を適切に施しておくことが有効です。 「情報漏えいを防ぐためのモバイルデバイス等設定マニュアル」は、モバイルデバイスの紛失などによる情報漏えいトラブルの回避策を利用者が自ら行えるよう、情報の重要度にあわせた対策と、端末や可般媒体ごとの対策を平易な記述と表現で解説しています。 本マニュアルは、「解説編」と「実践編」の2部構成としています。 解説編 情報漏えいを防ぐためのモバイルデバイス等設定マニュアル 解説編 暗号設定を適切に実施するために、情報セキュリティの責任者や担当者のみならず、一般従業員層にも出来れば最低限知っておいてほしい暗号化の必要性や仕組み、情報漏えい対策として正しく安全に機能させるために必要なことなどを、平易な表現でまとめ
IPAから「クリックジャッキング」に関するレポート出ました
Webアプリケーションのセキュリティの分野で「新しい攻撃手法」は実はそれほど多くないのですが、比較的新しく対応が求められているものとしてクリックジャッキングがあります。クリックジャッキングは、CSRFと同じように「Webアプリケーションのサーバー側機能」を利用者(被害者)に実行させる手法です。CSRFは、当該機能を実行するHTTPリクエストを送信させる罠を使いますが、クリックジャッキングの方は、iframe等に当該機能を呼び出す画面を表示しておき、利用者(被害者)に実行ボタンを押させる(=クリックジャック)手法です。クリックジャッキングに関しては従来詳しい解説がありませんでしたが、この3月26日にIPAから「クリックジャッキング」に関するレポートが公開されました。 このレポートから、クリックジャッキングのイメージを示す図4を引用します。 サイトAが攻撃対象のサイト、悪意のあるページは罠にな
クッキーモンスターバグがあると、IPアドレス偽装防止のCSRF対策が回避される
日経Linux 2013年1月号に「“誤認逮捕”を防ぐWebセキュリティ強化術」を書き、それが今週4回連載で、ITproに転載されました。この中で、クロスサイトリクエストフォージェリ(CSRF)対策について説明しましたが、クッキーモンスターバグ(Cookie Monster Bug)がある場合に対策が回避されることに気がつきました。 それでは、どのような対策が望ましいかを考えてみると、中々難しい問題です。以下、その内容について検討します。 解決すべき課題の整理 記事の趣旨は、昨年無実の市民のパソコンからCSRFによる犯行予告が横浜市のサイトに書き込まれたことを受けて、サイト側でCSRF対策をして、なりすまし書き込みができないようにしようというものです。なりすましの犯行予告には、CSRFのほか、マルウェアを用いる方法、CSRF以外のWebサイトへの攻撃手法もあるので、CSRF対策だけで十分と
書式文字列によるSQLインジェクション攻撃例
以下のようなコードがあり、nameは画面入力なのでSQLインジェクションが起こるのでは? と作成者に確認したところ、"%s"してあるから大丈夫との返事をもらいました。 ネット調べるとmysql_real_escape_stringでエスケープしてから"%s"で変換すれば大丈夫といった内容は見つけたのですが、mysql_real_escape_stringなど不要との返事をもらいました。 なぜ?と聞くとそういうものだとしか回答がありません。 ひどいですね。これは質問者が正しく、sprintfの%sで受けただけでは、SQLインジェクション脆弱性となります。 しかし、どうしてこのような間違った知識が出てきたのかと考えるに、数値を%dで受ける場合と混乱したのではないかと憶測しました。数値の場合、書式%dで受けていれば、仮に攻撃コードが入力されたとしても、%dで整数に強制変換されるので、SQLインジ
まったく痕跡を残さず匿名でコンピューターを使える『Tails』 | ライフハッカー・ジャパン
もし、ジェームズ・ボンドがコンピューターにログオンしたとしたら、ファイル、Cookie、IPアドレスなど、コンピューターを使った痕跡は何一つ残さないはずです。極端に聞こえるかもしれませんが、これくらい慎重になったほうがいい場合もあるでしょう。 この記事では、DVDやUSBを使って、一切の痕跡を残さずコンピューターを使う方法をご紹介します。 「痕跡を残さない」とは文字通りまったく何も残さないという意味です。LinuxベースのLive OS『Tails』を使えば、どんなコンピューターも痕跡を残さず利用できます。Tailsは強固なセキュリティ機能を備えたポータブルOSで、DVDやUSBにインストールが可能。インストール手順は後ほどご説明しますが、まずはTailsの概要をざっと見ていきましょう。 Tailsの概要 Tailsを使うのはとても簡単です。起動ディスクを作成するだけで、完全に匿名かつ一切
PHPやMySQLやセキュリティ対策が分かった気になる15冊 | DECONCEPTER
HTML5とかJavaScriptがもてはやされてるけどやっぱPHPだよねっ。一人でWEBサービス作れちゃう人とかカッコイイィィィィ。デザインはTwitter Bootstrapでィィし、やっぱサーバーサイド出来る人が輝いてるぅウィリリリリリ。 みたいな会話が各地で聞こえてくる昨今ですが、PHPはまだまだ現役で活躍していく言語だと思います。Facebookも今のところPHPで作られていますし、何よりもみんな大好きWordPressをカスタマイズするための基礎知識としてPHPを知っておくに越したことはありません。 PHPの本もとても多いですね。SmartyがいいとかPEARを使えとか新旧色々な情報が混在しています。ざっくり知りたい人向けから、フレームワーク解説の良書やしっかりしたセキュリティの本までピックアップしてみます。 とにかくとりあえずどんなもんか知りたい 自分はプログラマになる気はな
「パケット警察 for Windows」 - 筑波大学発ベンチャー ソフトイーサ
パケット警察 for Windows (フリーウェア) 遠隔操作ウイルスによる冤罪を防止するための通信記録・プロセス起動記録ソフト 2012 年 10 月 22 日公開 筑波大学発ベンチャー ソフトイーサ株式会社 「パケット警察 for Windows」は、あなたのパソコンの通信記録やソフトウェアの起動記録を見張り、自動的にハードディスク上に蓄積するソフトウェアです。 Windows 98, ME, NT 4.0, 2000, XP, Server 2003, Vista, Server 2008, 7, Server 2008 R2, 8, Server 2012 で動作します。さらに、IPv6 にも対応しています。 万一、遠隔操作ウイルスによってあなたのパソコンが犯罪者にリモート操作され「踏み台」となった場合に、ウイルスの起動記録や犯人の通信記録がすべてログに残りますので、あなたの無実
パスワードがわからなくてもMacにログインする方法(と対策) | ライフハッカー・ジャパン
あなたが悪意ある侵入者ではないとしても、パスワードなしでマシンにログインしたい場面があるかもしれません。パスワードなしでログインできるかって? Macではとても簡単なことです。この記事では、Macでのログイン方法とその防ぎ方をご紹介します。 Macへのログイン方法は数多くありますが、基本はどれも同じです。ここでは代表的な2つの方法を採り上げます。 また、『John the Ripper』や『THC-Hydra』などのクラッキングツールもありますが、操作が複雑だったり高価だったりします。今回はこれらのツールは使わないでおきましょう。■Mac OS XのインストールCDを使う方法 Mac OS XのインストールCDがあれば、管理者アカウントのパスワードを簡単に変更できてしまいます。CDを挿入して、キーボードの「C」を長押ししながらMacを起動してください。しばらくするとMac OS Xのインス
パスワードがわからなくてもWindowsにログインする方法(と対策) | ライフハッカー・ジャパン
パスワードを知らなくてもWindowsマシンにログインできるのをご存じですか? ログインする方法はいくつかあり、それぞれ強みと弱みがあります。ここでは3つの代表的な方法とその対策をご紹介します(ちなみに、Macでも方法はあります)。■ 「Linux Live CD」を使う OS自体にはアクセスせずに、ハードディスクドライブからファイルを移すだけなら極めて簡単です。「Linux Live CD」を使ってマシンを起動、お目当てのファイルをUSBフラッシュドライブへドラッグ&ドロップするだけです。 方法:どのバージョンでもいいので「Linux Live CD」のISOファイルをダウンロードしてCDに焼きます(Ubuntuが人気ですね)。ログインしたいWindowsマシンにCDを挿入、そこから起動します。最初のメニューで「Try Ubuntu」を選択。デスクトップ環境が表示されたら、メニューバーの
WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
どうも、ブルーです。秋ですね。 季節がめぐるごとに「WordPressがクラックされたので、セキュリティ対策について調べてみました」的なブログ記事がソーシャル上で出まわり、そのたびにWordPressを扱うデベロッパー層が「また無意味な対策がはてブされてる…」と嘆くのが恒例行事のようになっております。例えば… 「WordPressのバージョンを隠す」 「データベースのプレフィクスを変更する」 「サブディレクトリーにインストールする」 うん、気休め程度かな… 「2年以上放置されている怪しげなセキュリティ対策プラグインを入れる」 そっちのほうがこええよ! 「サーバーのディレクトリー一覧の非表示」 それ見えちゃってるサーバー管理者では、何しても不安だよ! とはいえ、そう思いつつも「これが決定版だ!」的な記事を書くのは勇気がいるものです。特にセキュリティ業界は怖いお兄さんが多…うわ何をするやめr
Wireshark
Join us 4-8 November in Vienna for SharkFest'24 EUROPE, the official Wireshark Developer and User Conference The world's most popular network protocol analyzerGet started with Wireshark today and see why it is the standard across many commercial and non-profit enterprises. *{padding:0;margin:0;overflow:hidden}html,body{height:100%}img,span{position:absolute;width:100%;top:0;bottom:0;margin:auto;he
SQLインジェクションについてのスライドを作成した - Kentaro Kuribayashi's blog
社内で、SQLインジェクションについてあらためて原理・原則から議論したいねという風潮がにわかに起こったので、ひとまずは叩き台として僕の方でまとめて皆で議論しましょうというわけで、以下のような資料を作成した。 社内勉強会用の資料なのだけど、僕は別にセキュリティに詳しいわけでもないし、ましてやPHPのことは素人なので、外部の識者にレビューしていただいて、できるだけ正しい知識に基づいて議論できればと思い、まずスライドを先行公開することにした。そうしたところ、Twitter上で多数の識者よりいろいろとご指摘いただいて、少くとも決定的におかしな内容にはなっていないものになったようだ。ありがとうございます。 僕らの職務のひとつに「セキュリティ関連」というものも謳われているので、そのあたりの知識普及・基盤整備についても、仕事のひとつとして行っている。先にも書いた通り、僕自身がその点についてよく理解できて
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2012
2. 本日お話しする内容 • 鉄則1: PHP自体の脆弱性対処をしよう • 鉄則2: Ajaxの脆弱性対処をしよう • 鉄則3: 競合条件の脆弱性対処をしよう • 鉄則4: htmlspecialcharsの使い方2012 • 鉄則5: escapashellcmdは使わないこと • 鉄則6: SQLインジェクションの対処 • 鉄則7: クロスサイト・スクリプティングの対処 • 鉄則8: クロスサイト・リクエスト・フォージェリの対処 • 鉄則9: パスワードの保存はソルトつきハッシュ、できればスト レッチングも • 鉄則10: 他にもたくさんある脆弱性の対処 Copyright © 2012 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
