「ケータイキット for Movable Type」のOSコマンドインジェクションの修正 | 水無月ばけらのえび日記
更新: 2016年4月27日11時5分頃 Movable Typeのプラグイン「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性があったという話が出ており、J-WAVEの64万件の個人情報流出はこれが原因だったとされています。 J-WAVEでも64万件の個人情報流出の可能性、原因ソフトの利用者は至急パッチ適用を (itpro.nikkeibp.co.jp)「ケータイキット for Movable Type」にOSコマンドインジェクションの脆弱性、利用者は修正バージョンへアップデートを、すでにJ-WAVEへの攻撃で悪用 (internet.watch.impress.co.jp)ケータイキット for Movable Type の脆弱性についてまとめてみた (d.hatena.ne.jp)配布元のアイデアマンズからは、4月22日にまず「緊急パッチファイ
CSRFで逮捕者が出たらしい話 | 水無月ばけらのえび日記
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
RangeつきリクエストによるApacheのDoSとApache Killerの実力 | 水無月ばけらのえび日記
公開: 2011年8月30日1時45分頃 ApacheのDoSの脆弱性が話題になっていますね。 HTTP/1.1では、HTTP要求ヘッダでRangeフィールドを指定すると、コンテンツの全てではなく一部分だけを要求することができます。たとえば、以下のように指定するとデータの先頭の1バイトだけを受け取ることが期待されます。 ※これは以前にも書いたのですが、0-0で1バイト受け取るというのは微妙に直感的ではない感じがしますね。しかし正しい挙動です。 WebサーバがRangeを解釈した場合、ステータスコード 206 (Partial Content) で応答しつつ、指定された部分だけを返します。 と、これだけならRangeがない場合とサーバの負荷はほとんど変わらないのですが、実は1回のリクエストで複数の範囲を指定することができます。その場合、応答は Content-Type: multipart/
TLDにAレコードが設定される | 水無月ばけらのえび日記
公開: 2010年4月24日22時55分頃 「http://to./が開けるしくみ (d.hatena.ne.jp)」。 http://to./ にアクセスを試みると、アクセスできてしまうというお話。なんと、TLD(トップレベルドメイン)そのものにAレコードが設定されているのですね。 ※http://to/ ではイントラネットのホスト名とみなされてしまいますが、http://to./ としてやればFQDNとして扱われます。ちなみに上記では問題なく解決できるように書かれていますが、実はMicrosoftのDNSキャッシュサーバではこの名前を解決できないようで、SERVFAILが返ってきてしまいます。 こうなってくると、やはり気になるのはCookie Monsterの問題です。domain=.to のCookieが発行できると、.toドメインのサイト全てに影響が出てくる可能性があります。 なん
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
