韓国への大規模サイバーテロ事件について | snowwalker's blog
まだ状況がはっきりしていない部分も多いのですが、韓国で大規模なサイバーテロが発生した模様ですね。現在明らかになっている情報を総合すると、犯人は不明ですがきわめて意図的な大規模攻撃のように見えます。Mandiant報告にあるような産業スパイ大作戦とはまた異なる様相のストレートなサイバー戦争が発生しているように思えるので、こちらで少し状況をまとめておきます。 1.被害状況 複数の放送局・金融機関で社内コンピュータネットワークが一時マヒ状態になる 新韓銀行ではATMやオンラインバンキングサービスまで一時的に利用不能 2.攻撃手法 良くありがちなDDOSなんぞではなく、malware配布によるもの。 感染経路としては韓国内で60%程度のシェアを誇るアンラボ社製品の各社に設置された資産管理サーバを乗っ取り、そこにmalwareを仕込んだと思われる。 アンラボ社の見解(韓国語) 資産管理サーバーを乗っ
Java 0day countdown
Days since last known Java 0-day exploit Previous high score: 723 (up from 87) General info Java-related CVEs: web.nvd.nist.gov No glove, no love: How to be safe? navigator.javaEnabled() == true or false? Latest patch: Java 7u80 Java 8u91 Latest 0-day(s) info CVE-2015-2590: http://blog.trendmicro.com/trendlabs-security-intelligence/pawn-storm-update-trend-micro-discovers-new-java-zero-day-exploit/
2012/10/06(#securedroid)Androidセキュリティ勉強会
zaki50 @zaki50 JAGのMLに "Androidに定義されているパーミッションと、実行にそのパーミッションが必要なメソッドの対応表のようなものは、どこかに公開されていたりするのでしょうか?" って質問来てたけど見た記憶ある人いるかな?わたしは無いので無いと回答したけどもし知ってたらよろしくです 2012-10-05 22:53:44
俺史上最強のiptablesをさらす - Qiita
#!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 ########################################################### ########################################################### # 用語の統一 # わかりやすさのためルールとコメントの用語を以下に統一する # ACCEPT :
Android用のアンチウィルスアプリの中で安心度の高いものはどれ? | ライフハッカー・ジャパン
Androidでもマルウェアの脅威が大きくなってきています。アンチウィルスアプリを使うのは、もちろん意味のあることですが、最近の研究によると、多くのセキュリティアプリのウィルス検出率はかなりヒドいとのこと。よって、どのアンチウィルスアプリを入れるかも、賢く選択しなければなりません。そこで今回は、信頼度の高いアンチウイルスアプリをご紹介します。 「AV-Test」が、618種類のマルウェアに対して、41のAndroidのアンチウィルスアプリで調査を実行。その結果、約3分の2のアプリは、65%以下のマルウェアしか検出できませんでした。携帯のセキュリティを確保するには頼りないものといえます。その中でも及第点をもらった上位7つのアプリは、『Avast』、『Dr. Web』、『F-Secure』、『Ikarus』、『Kaspersky』、『Zoner』、『Lookout』です。レポートによると、この
徳丸本のあれこれを実践してみて気付いたこと | 水無月ばけらのえび日記
更新: 2011年7月9日23時0分頃 とあるシステムで徳丸本のストレッチングを採用することにしたという話がありましたが、その実装が佳境に入ってきました。私は指示だけ出して、実装はお任せ……と思っていたのですが、基本的な部分を作ってもらったところでバトンタッチされ、私が引き継ぐ形で実際にコードを書くことになりました。 基本的には徳丸本 (www.amazon.co.jp)のオススメどおりの実装にするという方針なのですが、実際にコードを書いてみると、いろいろと気になったり迷ったりした事も出てきました。そのあたりを簡単にメモしておきます。 ※ちなみに、このシステムはRuby1.9.2 + Ruby on Rails3での実装なので、PHPのコードサンプルをそのまま使っているわけではありません。 ストレッチ回数をどう決めるのか徳丸本327ページにあるコード例を参考にして実装。アプリケーションごと
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
Subversionのリポジトリをsvn sshで管理する
通常Subversionを使う場合、-dオプションを付けてsvnserveをデーモンとして起動しておく必要があります。ですが、SSH経由でSubversionを利用する場合はsvn+sshによる接続時にsvnserve -tとトンネルモードでsvnserveが起動されるため、あらかじめ起動しておく必要はありません。 パスワード認証でsvn+ssh通信する場合はそれほど特別な設定をせずとも、svn+ssh://user@host/repos/hogeでリポジトリにアクセスできます。が、鍵認証を使用する場合は少し手を入れてやらなければいけません。新たに鍵認証を使用するサンプルはわりと見付かるのですが、普段から鍵認証を使用している場合にSubversionの設定を追加する方法はあまり解説されていないので、自分のやった設定をメモしておきます。 ■リポジトリのパーミッション設定 この作業はリポジトリ
HttpCookie.HttpOnly プロパティ (System.Web)
重要 一部の情報は、リリース前に大きく変更される可能性があるプレリリースされた製品に関するものです。 Microsoft は、ここに記載されている情報について、明示または黙示を問わず、一切保証しません。 public: property bool HttpOnly { bool get(); void set(bool value); }; public bool HttpOnly { get; set; } member this.HttpOnly : bool with get, set Public Property HttpOnly As Boolean プロパティ値 Boolean クッキーに true 属性があり、クライアント側のスクリプトではアクセスできない場合は HttpOnly。それ以外の場合は false。 既定値は、false です。 例 次のコード例は、Cookie
文字コードに起因する脆弱性とその対策
4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること
DHTML - 構造化テキストは構造化するのがやっぱ正しい : 404 Blog Not Found
2010年09月23日02:00 カテゴリLightweight Languages DHTML - 構造化テキストは構造化するのがやっぱ正しい うーん、気に食わない。 404 Blog Not Found:構造化テキストの間違ったエスケープ手法について make_link = function(href, text) { var a = document.createElement('a'); a.href = href; a.innerHTML = text; var div = document.createElement('div'); div.appendChild(a); return div.innerHTML; }; 何が気に食わないって、折角作ったDOMという構造をベタテキストに戻しちゃうところ。 脱構造しない例 こうすればよいのではないか。 (function(){ v
構造化テキストの間違ったエスケープ手法について : 404 Blog Not Found
2010年09月22日21:30 カテゴリLightweight Languages 構造化テキストの間違ったエスケープ手法について 昨晩のtwitter XSS祭りは、ふだんもtwitter.comは使わない私には遠くの祭り囃子だったのですが、せっかくの自戒の機会なので。 Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について 正しいアプローチは、全てのルールを同時に適用することです。 これは残念ながら(おそらく)必要条件であっても十分条件ではありません。 こういう(かなりええかげんな)正規表現でtweetをparseしていたとします。 re_http = '(?:https?://[\\x21-\\x7e]+)'; re_user = '(?:[@][0-9A-Za-z_]{1,15})'; re_hash
Kazuho@Cybozu Labs: String::Filter っていうモジュール書いた - 続: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
先のエントリ「(Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について」の続き。 弾さんが「404 Blog Not Found:DHTML - 構造化テキストは構造化するのがやっぱ正しい」で示されているような DOM ベースの操作を行えば、原理的に XSS 脆弱性を防ぐことができます。ただ、クライアントサイド JavaScript によるレンダリングはウェブの構造を破壊するという点で筋が悪い(テーブルと FONT タグを利用したページレイアウトが批判されていた頃を覚えていらっしゃいますでしょうか。JavaScript によるレンダリングはウェブのリンク構造も破壊するので一層たちが悪いというのが自分の考え)ですし、サーバサイドでの DOM 操作は重たいので、できれば避けたいところです。 構造化テキストの HTML への変換は、よほど複雑な記法でない限り
Kazuho@Cybozu Labs: (Twitter の XSS 脆弱性に関連して) 構造化テキストの正しいエスケープ手法について
昨日の Twitter の XSS 騒ぎは、まだ皆さんの記憶に新しいことと思います。いい機会なので、ツイートのような構造化テキストのエスケープ手法について触れておきたいと思います。 Twitter のメッセージは、単なる平文(プレインテキスト)ではなく、「@英数字」のような他のユーザーへの言及と「http://〜」のような URL を自動的にハイパーリンク化する構造化テキストです。 このような複数のルールをもつ構造化テキストを HTML 化する際には、どのようなコードを書けばいいのでしょう? まず「@〜」をリンク化してから、URL をリンク化すればいいのでしょうか? それだと、@〜 のをリンク化した A HREF タグの中の URL がさらにリンク化されていまいますね。 では、URL をリンク化してから @〜 をリンク化すればいいのでしょうか? それだと、@ を含む URL があった場合に
ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
PuTTY のインストールと鍵作成・鍵管理
Landscape トップページ | < 前の日 2004-09-30 2004-10-01 次の日 2004-10-03 > Landscape - エンジニアのメモ 2004-10-01 PuTTY のインストールと鍵作成・鍵管理 当サイト内を Google 検索できます * PuTTY のインストールと鍵作成・鍵管理この記事の直リンクURL: Permlink | この記事が属するカテゴリ: [ssh] [ソフトウェア] [セキュリティ] SSH を使ってリモートサーバにログインするために、PuTTY をインストールして環境設定するためのメモ。 PuTTY は今までも使っていたけど、LAN の中にあるサーバに接続するだけだったので、SSH じゃなくて Telnet をメインに使っていた。本当は LAN の中でも SSH を使う方が望ましいんだけど。 - ダウンロードhdk の自作ソフ
RSA公開鍵と秘密鍵の作成(Windows編)
WindowsでRSA鍵を作成する場合は、PuTTYオリジナル版やWinSCPに付属するputtygen.exeを利用する。 puttygen.exeを起動したら、まずウィンドウ下部のラジオボタンで[SSH2 RSA]を選択する。次に[Generate]ボタンをクリックし、赤枠で示した辺りでマウスポインタをでたらめに動かす。マウスポインタの動きが、暗号を生成するための乱数の基数となる。 プログレスバーが右端に達するまでマウスを動かし続けると、パスフレーズ入力用のテキストボックスが表示される。「Key passphrase」と「Confirm passphrase」に、それぞれ同じパスフレーズを入力する。 パスフレーズを入力したら、[Save public key]ボタンで公開鍵、[Save private key]ボタンで秘密鍵を保存する。ファイル名は何でもよいが、公開鍵は「~.pub」、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Javaセキュアコーディング入門一覧
Java コーディングスタンダード CERT/Oracle 版
