勝手に査読:Webアプリにおける11の脆弱性の常識と対策
「Webアプリにおける11の脆弱性の常識と対策」という記事を久しぶりに読みました。出た当事も思いましたが、基本的な誤りが多く、読者が誤解しそうです。このため、編集部から頼まれたわけではありませんが、「勝手に査読」してみようと思います。 細かい点に突っ込んでいくとキリがないので、大きな問題のみ指摘したいと思います。 ※2013年2月25日追記 このエントリに対して、編集部が元記事を修正くださいました。徳丸も修正に協力いたしましたが、十分正確な内容ではないことをお含みおきください。 ※追記終わり 同記事の想定読者は誰か査読にあたり、この記事の想定読者を明確にしておいた方がよいですね。記事の冒頭には、連載の説明があります。 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用する
30文字のパスワードを脳の無意識領域下の記憶内に保存する技術が登場
By Diamond Farah パスワードの重要性といってもピンキリで、たとえば軍事機密を閲覧できるパスワードともなると扱いは厳重になってきますが、それでも締め上げ暗号分析のように、パスワードを知っていたり入手できたりする人に直接的に働きかけることで盗まれてしまう可能性は残ります。 アメリカの神経科学者と暗号専門家の合体チームが、この「人間」という弱点をクリアしたパスワードシステムを開発しました。 Neuroscience Meets Cryptography:Designing Crypto Primitives Secure Against Rubber Hose Attacks (PDFファイル)http://bojinov.org/professional/usenixsec2012-rubberhose.pdf Unbreakable crypto: Store a 30-ch
TechCrunch | Startup and Technology News
Byju’s is cutting 500 to 1,000 more jobs at the firm, this time eliminating several non-sales roles as well, as the Indian edtech giant pushes to improve its finances, according to a person fami While platforms like Reddit and Twitter are changing rules and making life difficult for developers of third-party clients, the ecosystem of Mastodon apps is still growing. Today, indie developer Jake
[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
![[はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! 記事一覧 | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/7241c583676d54fc052c4388a6edd25e4c7f280b/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2Fgihyojp-ogp.png)
RSAに対する新しい攻撃について - 186 @ hatenablog
Y.-D. Zhao and W.-F. Qi “Small Private-Exponent Attack on RSA with Primes Sharing Bits.” (ISC 2007) ISC 2007 - Programに発表資料があるので見てた. N=pqとして, pまたはqの半分のビットが既知の場合 d<N^{0.292}の場合 のいずれかで, LLLを用いてdを知ることが出来るというのは良く知られている話. B. de Wegerが2002年に, pとqの差が小さい場合にはdの制限が緩くても良いということを話したらしい *1. この場合, pとqの上の方のビットを共有していると言える. では, 「逆は?」という発想の下, pとqの下の方のビットが同じという仮定から色々話をしている. nをセキュリティパラメータとして, p, qをn/2ビットの素数とする. 下の(1/2
第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
15種類のSQL Injectionツール評価
ここのところ、いくつかのSQL Injectionツールについて調べていました。今日はその結果を日記に書いてみようと思います。 はじめに SQL Injectionツールとは SQL Injection脆弱性の発見と、発見した脆弱性を突いてのDB内情報の取得を行なうためのツールです。 ただし、多くのツールでは「脆弱性の発見」はおまけで、後者のDB内情報の取得に主眼を置いています。一般的には、汎用のWeb脆弱性スキャナなどで脆弱性を見つけて、その脆弱性に対してこの日記に書いているようなツールを使って情報を取得するという使い方をすることが多いでしょう。 SQL Injectionツールは、いわゆるHackingツールです。脆弱性検査を行なう者か、さもなければCrackingを行なう犯罪者が使うくらいで、一般のWeb開発者やユーザの人が使う必要に迫られることは無いでしょう。 ツールの使用に際して
市販GPUを使ってパスワードを高速クラック - Engadget Japanese
Doctor Who is back, louder and more chaotic than before
産総研:カメラ映像から異常動作をリアルタイムで自動検出するソフトを開発
カメラ映像から異常動作等を自動検出する産総研独自のソフト「CHLAC」を約10倍高速化 動画像処理システムを平易に構築することのできるソフト「Lavatube」を同時に開発 ノートパソコンのような小規模な処理系であってもリアルタイムで動作 独立行政法人 産業技術総合研究所【理事長 吉川 弘之】(以下「産総研」という)大津 展之 フェロー、情報技術研究部門【研究部門長 橋田 浩一】 坂上 勝彦 主幹研究員、岩田 健司 特別研究員、小林 匠 研究員、佐藤 雄隆 研究員は、産総研独自の画像認識技術を用いて、カメラ映像から異常動作をリアルタイムで自動的に検出するソフトを開発した。 自動的に異常動作を検出する能力を持つ監視カメラの開発は困難な課題であるが、監視カメラが急速に普及・増加している昨今において極めて多くのニーズがある。これまでにわれわれは、「CHLAC」(立体高次局所自己相関特徴法)という
Iptablesチュートリアル 1.2.2
Japanese translation v.1.0.1 Copyright © 2001-2006 Oskar Andreasson Copyright © 2005-2008 Tatsuya Nonogaki この文書を、フリーソフトウェア財団発行の GNU フリー文書利用許諾契約書バージョン1.1 が定める条件の下で複製、頒布、あるいは改変することを許可する。序文とその副章は変更不可部分であり、「Original Author: Oskar Andreasson」は表カバーテキスト、裏カバーテキストは指定しない。この利用許諾契約書の複製物は「GNU フリー文書利用許諾契約書」という章に含まれている。 このチュートリアルに含まれるすべてのスクリプトはフリーソフトウェアです。あなたはこれを、フリーソフトウェア財団によって発行された GNU 一般公衆利用許諾契約書バージョン2の定める条件の
Googleの検索ボットに偽装すると有料サイトが無料で閲覧できるらしい - GIGAZINE
Googleの検索データベースを作成するためにネット中のあらゆるページを収集して巡回している「GoogleBot」というものがあります。このGoogleBotが来ると検索結果に反映されるというわけ。 で、ネット上にいろいろと存在している有料サイトは客を確実に呼び込むため、検索結果に自分のサイトの中身をちょっとだけ表示させるために、なんとGoogleBotは無料で有料サイト内を巡回できるようにしているらしい。 ということは、GoogleBotにブラウザを偽装すればいけるのではないか?というのがこのアイディアなのですが、真相のほどはいかに?詳細は以下の通り。 ※以下からは自己責任でお願いします Disguise Yourself As Google Bot - Quicksilverscreen Forum! 実際に試したわけではないので真偽は不明ですが、要するにブラウザの吐き出す変数の一つで
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第1章 総論:より良いWebアプリケーション設計のヒント
ここで述べるのは、脆弱性が生まれにくいWebアプリケーションを構築するために設計段階、あるいはそれ以前の段階で考慮しておくとよい事項の例である。 (1) 開発環境の選択 1) プログラマが脆弱性をつくり易い環境を避ける 今日のWEBアプリケーション開発環境は、プログラミング言語の処理系に加えて、開発フレームワークやコンテンツ管理システム(CMS)、さらに外部のテンプレート言語までを加えた総合的な環境となってきている。 短時日で素早くサイトを立ち上げることを目的として、「軽量言語」と呼ばれる各種スクリプト言語が標準で備えているWEBアプリケーションを手軽に開発するための機能やライブラリをそのまま利用することは悪くない。しかし、その手軽さ故に、セキュリティの観点からは多くの脆弱性を生んできた経緯がある。 例えば、下記の事例が挙げられる。 PHPの4.1以前のバージョンの環境は、「registe
APOPのぜい弱性で見えてきたMD5の「ご臨終」
情報処理機構セキュリティセンターは4月,メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は,電気通信大学の太田和夫教授のグループが,APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は,APOPだけでなく,MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか,技術に基づいて考えてみよう。 わからないはずのパスワードが解かれる APOPは,チャレンジ・レスポンスという方式を使って,メール・クライアントとメール・サーバーのやりとりを盗聴してもパスワードが解読できないようにする。パスワードを直接やりとりせずに,まずサーバーからクライアントに「チャレンジ・コード」という文字列を送る。クライアントはチャレンジ・コードとパスワードを連結したうえで,MD5というハッシュ関数を使ってハッシュ値を
CMSツールをよりセキュアに導入しよう― @IT
第1回 CMSツールをよりセキュアに導入しよう 面 和毅 サイオステクノロジー株式会社 OSSテクノロジーセンター 開発支援グループ グループマネージャー 2007/5/23 Red Hat Enterprise Linux 5でも注目されるSELinuxの機能、Linuxに精通したエンジニアでも難しい単語や概念が並ぶことから、どう活用すべきか分からず機能をオフにしてしまっている場合も多い。今回の連載ではSOHOや社内サーバ管理に直結した、実務でSELinuxを使うための事例を中心に紹介する(編集部) SELinuxは運用のステージへ 2000年にSELinuxがオープンソースとして公開されてから、かなりの年月がたとうとしています。導入方法も、公開当時のころの2.4カーネルにパッチをあてる形から、現在のようにRed Hat Enterprise Linuxやそのほかの主要なディストリビュー
思考がパスワードに――脳波パターンでID認証(1) | WIRED VISION
思考がパスワードに――脳波パターンでID認証(1) 2007年5月15日 サイエンス・テクノロジー コメント: トラックバック (0) Lakshmi Sandhana 2007年05月15日 現在のBCI技術は障害者向けの補助具の開発に集中しているが、カールトン大学の研究者たちは、思考をパスワードに使ってID認証を行なうシステムを作れる可能性があると考えている。Image Credit: カールトン大学 パスワードを「思い浮かべる」だけでドアの鍵が開けられたり、銀行の口座にアクセスできたりするようになったとしたら、どうだろう? 途方もないことだろうか? たぶんそうではない。 カナダのオタワにあるカールトン大学の研究者たちは、人の思考を使ってID認証を行なうバイオメトリクス・セキュリティー装置の可能性を探求している。 脳波による署名を「パスワード」ならぬ「パス思考」として使うという着想は、
「お気に入りのセキュリティ・ツールは何ですか?」,Nmapの作者が調査
オープンソースのセキュリティ・ツール「Nmap」の開発者であるFyodor氏は6月22日,ユーザーへのアンケート調査をもとに「ネットワーク・セキュリティ・ツール トップ100」を集計し発表した。それによると,1位は脆弱性スキャナー「Nessus」,2位はネットワーク・スニファ「Wireshark(旧Ethereal)」,3位は侵入防御システム(IDS)「Snort」だったという。 今回の調査は,「nmap-hackers」というNmapユーザーのメーリング・リストを通じて実施された。このため,Nmapは今回の調査対象から外されている。回答者数は3243名。リストの4位から10位は以下の通り。 4位 多機能ツール(network“Swiss Army knife”)「Netcat」 5位 脆弱性検証ツール「Metasploit Framework」 6位 ネットワーク調査ツール「Hping2
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログが続かないわけ | ログイン処理が簡単と言い切れるか 〜 フィッシング対策も忘れずに
Antivirus online virus scan - viruschief.com
CodeZine:Rubyを使ってWebアプリケーションの脆弱性を早期に検出する(Web, テスト, Ruby)
セキュリティ脆弱性研究に役立つWebサイト:ITpro