DBSC事務局 (データベース・セキュリティコンソーシアム) 〒102-0093 東京都千代田区平河町2-16-1 平河町森タワー (株)ラック内 TEL : 03-6757-0126
2001年11月5日 作成 2001年11月11日 追記: 「関連」の3番目の項目 目次 概要 検証実験 脅威 Microsoftの公式見解 クリップボードの盗聴を防止する設定 関連 FAQ 概要 MicrosoftのWebブラウザ「Internet Explorer」(以下「IE」と略す)には、 「スクリプトによる貼り付け」という名の機能があります。これは、 「JScript」(JavaScriptをMicrosoftが独自拡張した言語の名称)の 独自機能のひとつで、 var str = clipboardData.getData("Text"); という一文で、 システムのクリップボードの中身を取り出せる機能です。 これは、おそらく、Web上のサービスでカット&ペースト機能をJScriptで 実現するために用意された機能と考えられます。 しかし、この機能が悪用されると、 悪意のあるペー
2024年 2024/03/08 JVN#48443978: a-blog cms におけるディレクトリトラバーサルの脆弱性 2024/03/08 JVNVU#91793178: Chirp Systems製Chirp Accessにおけるハードコードされた認証情報の使用の脆弱性 2024/03/07 JVN#54451757: SKYSEA Client View における複数の脆弱性 2024/03/07 JVNVU#95852116: オムロン製マシンオートメーションコントローラNJ/NXシリーズにおけるパストラバーサルの脆弱性 2024/03/06 JVN#34328023: 富士フイルムビジネスイノベーション製プリンターにおけるクロスサイトリクエストフォージェリの脆弱性 2024/03/06 JVN#82749078: ブラザー製 Web Based Management を実装
今回のテーマは、メモリカードやUSBメモリに潜む落とし穴です。まず、メモリカードといえば多くの方になじみがあるのがデジタルカメラで撮影した画像の保存ではないでしょうか。実は、撮影した画像を消去すれば「データが完全に消える」と認識をしている方が少なくないようです。 わたしは、10年以上前に撮影した画面イメージをその場で見られるというカシオの「QV−10」を愛用していましたが、データの消去についての疑問から、セミナーなどで「画像を削除しても、データ本体は削除されないのでセキュリティ上危険ではないか」と警鐘を鳴らしてきました。 簡単にファイルの仕組みを紹介すると、ファイルはデータ本体とそのデータを索引するためのインデックス(ファイル名や日付情報、格納場所などの情報)の2種類の情報からなります。通常、「ファイルを削除する」という操作はそのインデックスの情報を削除することで、データ本体はそのまま
【セキュリティ最前線】 セキュリティホールをついて遊ぶ 第3回:Railsでセッションハイジャックを実体験 著者:大垣 靖男 公開日:2008/1/25(金) Railsでセッションハイジャックを実体験 第3回となる本記事では、Web開発プラットフレームワークとして人気が急上昇中の「Ruby on Rails」(以下、RoR)を目標に、サンプルコードを用いたセッションハイジャック攻撃を行う。 RoRはRuby言語で記述されたWebアプリケーションフレームワークで「DRY(Don't Repeat Yourself:自分で繰り返さない)」を信条の基に開発されている。「scaffolding(足場組み、スタブコードの自動生成)」や「ActiveRecord(ORMライブラリ)」など、アジャイル開発に必要な機能を備えている。 Webアプリケーションに欠かせないHTTPセッション管理機構ももちろん
CO-GINA とは CO-GINA(しー・おー・ぎな)はマイクロソフト社提供の認証ライブラリである msgina.dll を拡張するためのライブラリです。 ICカードや生体認証といった認証アプリケーション開発や、NISやLDAPを用いた認証統合などWindowsのログオン認証の拡張にはどうしてもGINAの拡張が必要となります。 そしてGINAアプリケーション開発には様々なノウハウと時間が必要となります。 CO-GINAはGINAの挙動を設定ファイルの記述のみで変えることができるので、簡単な設定ファイルを書くだけで既存のアプリケーションをそのまま認証アプリケーションとして利用できるようになります。 また、GINAとアプリケーションとが独立しているため、開発が非常に容易になります。 CO-GINAはこれらの機能を拡張するための開発用ライブラリです。詳しくは、以下の製品資料をご確認下さい。 製
オープンソースで開発されているアンチウイルスソフト「ClamAV」のウイルス検出エンジンとデータベースを搭載し、別のヒューリスティックエンジンによる未知のウイルス検出も可能で、さらにエンタープライズレベルのリアルタイムスキャン機能を搭載した無料のアンチウイルスソフト、それが「Moon Secure Antivirus」です。 WindowsXPとVistaで動作可能で、ウイルスだけでなくトロイの木馬やスパイウェアの検出も可能です。 ダウンロードとインストールの仕方、実際の使い方は以下から。 Home - Moon Secure AV http://www.moonsecure.com/ ダウンロードページからリンクをクリックしてダウンロードします ダウンロードしたらインストールするために実行 「Next」をクリック 上にチェックを入れたら「Next」をクリック 「Next」をクリック 「N
※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 前回は、sudoの基本的な使い方と例をいくつか紹介した。今回も引き続きsudoを用いたコマンドの利用制限を中心に説明する。 sudoコマンドのおさらい sudoの設定例に入る前に、sudoの基本的な使い方をおさらいしておこう。 sudoコマンドの使い方 前回説明したとおり、sudoの使い方はとてもシンプルで実行するコマンドの前にsudoと入力するだけだ。例えば、/var/log/secureというファイルを特定ユーザーの権限で参照したい場合は、
BASE is a front end for the snort IDS system. It is based on the ACID codeWelcome to the Basic Analysis and Security Engine (BASE) project August 4, 2008 BASE 1.4.1 (lara) released! The BASE project team is happy to announce that BASE 1.4.1 (lara) has been released. This version is available now from http://sourceforge.net/projects/secureideas In this release we have fixed a number of bugs. Ju
ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで本連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世
Webサービスにおけるセキュア通信といえばHTTPS(HTTP over SSL, HTTP over TLS)がデファクトスタンダード。これはSSL/TLSを活用してWebブラウザレベルで暗号化通信を実現し、Webブラウザとサーバ間における通信データをまるごと暗号化するというもの。Ajaxアプリケーションといえど、そこは同じだ。 しかし、HTTPSにするほどではないものの、通信内容の暗号化は実現したいという向きも多い。HTTPSでは認証局から許可を得た鍵を使わないとWebブラウザから警告が出るなど、面倒なことが多いからだ。そんなときには「aSSL」というライブラリを検討してみてほしい。HTTPSほど安全ではないものの、パスワード盗聴対策レベルなら便利に使うことができる。 aSSLとは aSSLはJavaScriptで開発されたセキュア通信のためのAjaxライブラリ。Francesco S
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
サイドフィードの中の人(a++)のブログです RSS / Blog / SEO /SEM についての所感や雑感をまとめています。 実は先日「あとで読む」などを運営しているサーバーがネットワークごと spamhaus に登録されてしまいました。 丁度こんな記事があったので、こちらがとった対応を簡単にご紹介。 spamhaus.orgをはじめとするIPアドレスベースのブラックリスト(RBL)を使ってはいけない spamhaus を使っているところは非常に多いらしく、登録された日から異常な量の返信メールが届きました。 こんな感じです。 The original message was received at Sat, 21 Oct 2006 22:14:29 +0900 from localhost [127.0.0.1] ----- The following addresses had p
(Last Updated On: 2014年12月5日)追記:このブログを記載する理由となったURLを記載された方が内容を削除されたようです。「間違っている」と言われるのは心外である、と思ったことは確かですがページの内容が削除されるのは私の本意ではありません。書かれていた情報はとても役に立つ情報だと思います。非常に残念なので再度掲載されることを望みます。(本当 —– セキュリティ対策ではよくあることですが、条件の見落としによりセキュリティ対策を行っていても脆弱性が発生することがあります。「Webアプリセキュリティ対策入門」に書かれているCSRF対策にも「クロスドメインのHTML読み取り(IEのバグ)」の問題が修正されていない為、書籍に記載した対策を行ってもバグを持つIEに対してはCSRFに脆弱になります。 しかし、このバグの影響を持って「Webアプリセキュリティ対策入門」のCSRF対策を
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
多くの企業や公共団体などの個人情報の流出・紛失がメディアで大きく取り上げられている。個人情報保護法の施行もあるが、情報の管理が問われる時代に是非利用して欲しいツールが暗号化ツールである。今回はAxcryptを紹介する。 Downloadはhttp://axcrypt.sourceforge.net/content.htmから。 AxCryptの特徴 オープンソースな状態で開発されているAxCryptの特徴は次のとおり。 最大128BitのAES暗号化 Windows98のFATからWindows2003のNTFSまで対応 暗号化ファイル数の制限なし 暗号化ファイルのサイズ制限なし(FATは500MB〜700MBくらいまで。NTFSは制限なし) 自己解凍型復号も作成可能 GNUライセンス 無償で使える暗号化ツールにはファイル数やサイズに制限があるものが多いが、AxCryp
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く