サイトポリシー 利用規約 著作権 個人情報 特定商取引法に基づく表示 ご意見・お問い合わせ(FAQなど) リリース デジ毎ブログ 毎日新聞のニュースサイトに掲載の記事・写真・図表など無断転載を禁止します。著作権は毎日新聞社またはその情報提供者に属します。 Copyright THE MAINICHI NEWSPAPERS. All rights reserved.
今週のおすすめ - 毎日新聞
サイトポリシー 利用規約 著作権 個人情報 特定商取引法に基づく表示 ご意見・お問い合わせ(FAQなど) リリース デジ毎ブログ 毎日新聞のニュースサイトに掲載の記事・写真・図表など無断転載を禁止します。著作権は毎日新聞社またはその情報提供者に属します。 Copyright THE MAINICHI NEWSPAPERS. All rights reserved.
続:SQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem's blog
前回のエントリSQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem(徳丸浩)の日記に対応して、mi1kmanさんのブクマ経由で、訂正が出ていることを知った。 訂正内容 1ページ目を下記のように変更いたしました(2個所)。 バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 ↓ SQL文のひな型とバインド値は個別にデータベースに送られ、構文解析されるので、バインド値に悪意あるSQL文が挿入されても、その実行を阻止することができる(図1-2)。 http://www.impressit.co.jp/inside/?p=791 なんとなく私のエントリの断片が散りばめられているのを別にしても、『悪意あるSQL文…の実行を阻止することができる』というあたりに、サニタイズ的発想が依
教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます(編集部) 小さな話題が面白い 皆さん、はじめまして。はせがわようすけと申します。 「教科書に載らないWebアプリケーションセキュリティ」ということで、Webアプリケーションのセキュリティに関連する、普段あまり見掛けないような小さな話題を取り上げていきたいと思います。 セキュアなWebアプリケーションを実現するために、開発者の方だけでなく、Webアプリケーションの脆弱性検査を行う方々にも読んでいただきたいと思っています。重箱の隅を楊枝でほじくるような小さな話題ばかりですが、皆さんよろしくお願いします。 さて第1回は、Internet ExplorerがHTMLを解釈する際の引用
![教科書に載らないWebアプリケーションセキュリティ 第1回 [これはひどい]IEの引用符の解釈 − @IT](https://cdn-ak-scissors.b.st-hatena.com/image/square/82de8989bb7acc1ec9333bef18042c097988bca5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F0902%2F27%2Fwebapp0101.jpg)
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年10月時点の調査。
[SECURITY] XSS Filter Improvements in IE8 RC1 の日本語訳 - 葉っぱ日記
やぁ、みんな,元気?長谷川陽介です。今日はIE8 RC1のXSSフィルタの改善点をこっそり教えちゃうよ。 いつもは攻撃側でひらがなの名前でやってるんだけど,きょうは防御側ということで,名乗りも漢字に変えたんだ。だってさ,Microsoft SWIのDavid Rossさんから翻訳許可もらったのにひらがなとか失礼じゃないか。 では始めよう。 //blogs.technet.com/swi/archive/2009/01/30/xss-filter-improvements-in-ie8-rc1.aspx">XSS Filter Improvements in IE8 RC1:http://blogs.technet.com/swi/archive/2009/01/30/xss-filter-improvements-in-ie8-rc1.aspx 月曜日にIE8 RC1がリリースされました。
![[SECURITY] XSS Filter Improvements in IE8 RC1 の日本語訳 - 葉っぱ日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/84e8b77da84662d12d01b319650a3fc01299955a/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F13208692334729887943%2F17680117126985328902%2F1551408401)
クリックジャッキングのテスト - Firefox更新情報Wikiブログ
クリックジャッキング…といってもその手段はいくつかあるかと思いますが、XSS(クロスサイトスクリプティング)やCSRF(クロスサイトリクエストフォージェリ)による攻撃/偽装を防ぐFirefoxの拡張機能がいくつかありますので、それらの機能を持った拡張機能で下記テストページのクリックジャッキングが防げるかどうか試してみました。 Google Chrome 1.0.154.43 ClickJacking Vulnerability JavaScriptを有効にしている状態で一番下のリンク(Clickjack The Target ?)をクリックして、同じタブにyahoo.comを開くなら○、xssed.comを開くなら×とします。 Content Security Policy:×CSRF Protector:×NoScript:○(JavaScriptを許可している場合は×) noXSS:×
Microsoftが公開したAutorun悪用対策は不十分 | スラド セキュリティ
「WindowsのAutorun機能を悪用して感染するマルウェアやワーム対策としてMicrosoftが公開したガイドラインは適切ではない」と米国コンピューター緊急事態対応チーム(US-CERT)が警告している。 日本語の情報としてはマイコミジャーナルが詳しいが、Microsoftは対策としてレジストリを書き換えることでAutorunを無効化する方法を公開しているものの、この方法だけではAutorunを完全には無効化できないとのことだ。詳細についてはUS-CERTの警告を見てほしい。 要は「autorun.infの情報はキャッシュされるから、Microsoftの方法じゃ不十分だよ」ということのようです。US-CERTのレポートには、その解決方法として「レジストリキーの削除」が提案されています。
Vulnerability Analysis Blog: The Dangers of Windows AutoRunの日本語訳 - 葉っぱ日記
レジストリでAutoRunを無効にしたときの注意点に関して、元ネタとなっている Vulnerability Analysis Blog: The Dangers of Windows AutoRun を翻訳してみました。間違いや指摘があればツッコミください。 The Dangers of Windows AutoRun By Will Dormann on April 24, 2008 7:12 PM こんにちは。私は CERT/CC 脆弱性調査チームの Will Dormann です。数か月前にディジタル写真による感染事例がメディアで報告されました。私は悪意あるコードが実行された方法について知りたかったので、Microsoft の AutoRun および AutoPlay 機能についての調査を開始しました。 Windows95 で導入された AutoRun は、大きく2つの性質があります
Comodo CAがサーバ証明書を関係のない第三者に発行、大問題に | スラド セキュリティ
本家のストーリにもなっているが、認証局として知られる「Comodo」のアウトソース先の証明書販売業者が、mozilla.com用のサーバ証明書を関係のない第三者に発行してしまう事件が発生したようだ(eWeekの記事「SSL Certificate Vendor Sells Mozilla.com Cert to Some Guy」、mozilla.dev.tech.cryptoグループに掲載されている事件の経緯)。 これをやらかしたのは「Certstar」というComodoの再販業者のようだ。StartComのEddy Nigg氏がこの再販業者に対してmozilla.com用のサーバ証明書の取得を試みたところ、何の本人確認手続きもなしに証明書が発行され手に入ってしまったのだそうだ。mozilla.dev.tech.cryptoでは、Comodoの人が出てきて、この再販業者からの発行を停止し
FON - LaFoneraのセキュリティホール発見でござるの巻 - FreeBSDいちゃらぶ日記
FONって「プライベートネットワークを安全に保ったまま、外部にネットワークを貸し出すことのできる」ツールだと思ってたのですが。 実はそんなでもなく、少しだけ複雑なネットワークを組んでしまうと、すぐに脆弱性が露呈するという、非常に頼もしいツールだったりした訳です。はい。 ネットワークに入られちゃうよぉぉおおお 家の中にネットワーク(サブネット)が二つあると、FONがつながっている方のネットワークは安全に守られるんだけど、FONが参加していない方のネットワークは丸見えになってしまいます。 「そんなネットワークは、そんなに無いだろ(苦笑」っていう人もいるかも知れないけど、実はそんなでも無くて 病院 市役所 学校 とか、普通にサブネット複数あります。そして、こういう所に居る自称物知りさんが「こういうFONってのがあるんだZE☆」とか言いながら、ネットワーク管理者に無断でFONを設置しちゃったりして
Sudoに権限昇格の脆弱性--修正プログラムは未配布
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTデータ・セキュリティは11月18日、Sudoコマンドの1.6.9p18以前のバージョンに確認された脆弱性に対し、その再現性について検証した結果を公開した。なお、この脆弱性が悪用されると、管理者権限で情報取得や改ざんがされたり、悪意あるプログラムをシステム内にインストールされたりする可能性がある。 Sudoは、許可されたユーザーに対して別のユーザーの権限でコマンドを実行させるためのプログラム。同社では、Red Hat Enterprise Linux Server release 5およびSudo 1.6.9p18をターゲットシステムとして、ここに一般ユーザーでログインし、Sudoコマンドの脆弱性を利用した攻撃コードを実行することで
OpenSSH 情報 - [Security][OpenSSH] SSHプロトコルに平文を回復できる脆弱性
http://www.cpni.gov.uk/Docs/Vulnerability_Advisory_SSH.txtやCPNI-957037: SSH 通信において一部データが漏えいする可能性, Plaintext Recovery Attack Against SSH - SSH - Company - News, CPNI-957037: SSH 通信において一部データが漏えいする可能性 - セキュリティホール memoによると, SSHプロトコルに設計のエラーがあり, OpenSSHの標準の設定だと, 2の-14〜-18乗の確率で14〜32bitの平文を回復できる可能性があるとのことです(当初32バイトと書きましたが間違いでした, また手法によって確率と回復できる平文のbit数に違いがありました). 攻撃の詳細はわかりませんが, 対策として暗号モードにCTRモードを利用することが挙げ
統合スパムフィルタ「スパムちゃんぷるー」のデータに基づくDNSBL(β)
スパムちゃんぷるー をご利用いただき誠にありがとうございます。 2008年10月のサービス開始以来、皆様にご利用いただきましたスパムちゃんぷるーですが 2013年5月31日を持ちましてサービスを終了させていただくことになりました。 ご利用いだいている皆さまにはご迷惑をおかけすることとなり、深くお詫び申し上げますとともに 長年ご愛顧いただきましたことにスタッフ一同、心より御礼申し上げます。 スパムちゃんぷるーをコメント投稿システムに組み込んでいただいている場合は サービス終了以降、投稿ができなくなってしまう可能性がございますのでサービス終了 までの期間でご対応いただけますよう宜しくお願い申し上げます。 スパムちゃんぷるー を長年ご愛顧いただきまして、誠にありがとうございました。 今後ともNHN Japanのサービスをよろしくお願いいたします。
無料で使えるMac用アンチウイルスソフト「iAntiVirus 1.1」 | パソコン | マイコミジャーナル
リアルタイムにウイルスを検出 / 隔離できる「iAntiVirus」 PC Toolsは9日 (米国時間)、Mac OS X用アンチウイルスソフト「iAntiVirus 1.1」をリリースした。動作環境はMac OS X 10.5以降、17MB以上の空きディスク容量が必要。無償版のほか、電話サポートや商業利用許可が付帯する有償版 (4,490円) が用意されている。 iAntiVirusは、システム常駐型のアンチウイルスソフト。ウイルスに感染したファイルをダウンロードしたときなど、リアルタイムにウイルスの侵入を検知 / 隔離する機能のほか、週 / 日単位など定期的にウイルスチェックを行うスケジューリング機能を装備。現時点で86種のウイルスに対応するほか、ウイルスデータベースを最新の状態に保つツール「Smart Update」が提供される。付属のアンインストーラにより、システムから安全に削除
公開鍵利用のファイル転送サービス「OnTranq」リリース ― @IT
インフォテリア・オンラインは10月9日、公開鍵暗号方式を使ったセキュアな企業向けファイル転送サービス「OnTranq」(オントランク)を開始した。契約書や特許文書、CADデータといった機密性が高いデータや、大容量のデータを、企業間や拠点間で安全に転送できるサービス。既存システムと連携させることで、拠点間の自動データ転送やライトウェイトEDI(Electronic Data Interchange)としての利用もできる。 専用クライアント利用でメール同様の使い勝手 OnTranqは従来のファイル転送サービスと異なり、SSLによる通信経路の暗号化だけでなく、2048ビットの鍵長を持つ公開鍵暗号(SHA1withRSA)を用いた暗号化および電子署名を送受信者間のエンド・ツー・エンドで提供するのが特徴。送受信時には同社が運営するデータセンターにデータをいったん預けることになるが、万一そのデータが第
OpenID Provider のセキュリティ対策 (2) - return_to と realm のチェックを怠るな! - 日向夏特殊応援部隊
OpenID Provider のセキュリティ対策 (1) - まずは SSL を導入!話はそれからだ - Yet Another Hackadelicの続編です。 はじめに RP が認証アサーションリクエストである checkid_setup/checkid_immediate を行う際には通常は return_to と realm を指定します。 return_to とは OP から認証アサーションレスポンスを間接通信で受け取る際に戻って来るURLの事。RP が指定しておく。 realm とは return_to のパターンをワイルドカードを使って表現する。 return_to と realm の検証 基本的に return_to の先は http://openid.art-code.org/handler であるという前提で。便宜上番号振りました。 (1) 期待通りの組合せ real
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
文字コードとセキュリティ
とくまるひろしのSession Fixation攻撃入門 - ockeghem's blog
https://labs.cybozu.co.jp/blog/kazuho/archives/2008/12/textmicrotemplate.php
IBM Developer
