このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
オランダの DigiNotar 社をはじめとする複数の認証局(電子証明書(*1)を発行する組織)に対し攻撃が行われ、攻撃者が不正に電子証明書を入手したという問題が発生しています。 この問題により、悪意のある者が不正な電子証明書を使用して構築した不正な(罠の)ウェブサイトにアクセスした際に、利用者のブラウザ等で正当な電子証明書であると判定してしまいます。 結果として、利用者がウェブブラウザの表示を信用して不正なウェブサイトで個人情報等を入力してしまうことにより、入力した情報等が悪意のある者に盗まれてしまうという被害に繋がる可能性があります。 対策として、各ベンダが提供している修正プログラムの適用および最新版へのアップデートを行ってください。 *1 ウェブサイトの信ぴょう性を証明する「サーバ証明書」など、データやサーバ、通信の安全性を担保するもの。 ・Windows XP ・Windows V
IPA(独立行政法人情報処理推進機構、理事長:藤江 一正)は、ウェブサイトの開発者・運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料「安全なウェブサイトの作り方」に、携帯電話向けウェブサイトに関する注意点4項目などを追加した改訂第5版を、2011年4月6日(水)からIPAのウェブサイトで公開しました。 URL: http://www.ipa.go.jp/security/vuln/websecurity.html 国内の携帯電話向けウェブサイト(以下「携帯サイト」)には、携帯ID(*1)を用いたいわゆる「かんたんログイン」機能等、セキュリティ上特有の問題点があり、情報セキュリティの研究者などから、情報漏えいにつながる可能性が指摘されていました。2010年10月には、指摘されていた問題が原因となり、宅配便サービスの顧客向け携帯サイトで個人情報漏えい事故が発生しています。
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
添付資料 【今月の呼びかけ】 「 "ガンブラー" の手口を知り、対策を行いましょう 」 「有名企業や公共機関のウェブサイトが改ざんされ、そのサイトを閲覧した利用者がウイルスに感染 した可能性がある」という報道が 2009 年末から相次いでおり、IPA へも多くの相談や問い合わせが寄 せられています。一般的に「ガンブラー」と呼ばれているこの一連の攻撃は、 「ウェブサイト改ざん」 と「ウェブ感染型ウイルス(ウェブサイトを閲覧するだけで感染させられてしまうウイルス) 」を組み 合わせて、多数のパソコンにウイルスを感染させようとする手口(攻撃手法)の一種を指します。 ここでは、 「ガンブラー」がどのような手口であるのかを説明し、 その影響や対策について示します。 「ガンブラー」 では、 近年インターネットで悪用されている様々な攻撃手法が組み合わされているため、 これらへの対策を行うことで、
IPA (独立行政法人情報処理推進機構、理事長:西垣 浩司)は、このたび、優れたオープンソースソフトウェア(OSS)の開発及び普及に貢献した個人等を表彰する「2009年度日本OSS貢献者賞」および今年度から新設した「2009年度日本OSS奨励賞」の受賞者を選定しました。 「日本OSS貢献者賞」は、日本におけるOSS開発の振興を図ることを目的に、影響力のある開発プロジェクトを創造・運営した開発者や、グローバルプロジェクトにおいて活躍する卓越した開発者、OSS普及への貢献者を表彰するものです。本賞は2005年度に創設し、今年度が第5回目となります。 今年度は昨年度までの「日本OSS貢献者賞」に加え、過去一年間にOSSの開発や普及に顕著な活躍をした個人ないしグループを表彰する「日本OSS奨励賞」を新設しました。
2008年下期には、Perl の File::Path モジュールの rmtree 関数に関する CVE が 3件発表された。 (CVE-2008-2827, CVE-2008-5302, CVE-2008-5303)また、symlink attack に関する CVE は 100件以上出ている。 テンポラリファイルの扱いに関する問題は古くからあるが、いまだに多くの問題が発生する。そこで本稿ではテンポラリファイルの扱いかたについて解説する。また、安全な削除に利用できる新しいシステムコールが提案されているので、それについても触れる。 テンポラリファイルはプログラムが一時的に利用するファイルである。 Unix においては /tmp や /var/tmp というディレクトリが提供されており、すべてのユーザがそのディレクトリ下にテンポラリファイルを生成・削除するのが慣習である。本稿では、これらのデ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く