タグ

securityに関するbunchan98のブックマーク (9)

  • サニタイズの基本 - memo.xight.org

    Summary 入門 Ajax pp.16 より。 [2013-03-30] 追記 このエントリは、参考にしてはいけない。 SQLインジェクション MySQL PHP $sql = mysql_escape_string($sql); MySQL Perl $sql =~ s/'/''/g; $sql =~ s/\\/\\\\/g; PostgreSQL PHP $sql = pgsql_escape_string($sql); PostgreSQL Perl $sql =~ s/'/''/g; $sql =~ s/\\/\\\\/g; SQLite PHP $sql = sqlite_escape_string($sql); OSインジェクション Linux PHP $str = escapeshellarg($str); Linux Perl $str =~ s/'/\\'/g; XS

    bunchan98
    bunchan98 2009/08/20
    今さらですが、一応メモ。
  • 確認されているだけでも攻撃が毎分1.5件,PHPアプリ狙う攻撃が大量無差別型に

    前回,SQLインジェクション攻撃の増加傾向を紹介した。そのほかにも日IBMの東京セキュリティオペレーションセンター(以下,東京SOC)では,PHPで作成されたWebアプリケーションを狙った攻撃を大量に確認している。特に,リモート・ファイル・インクルード(RFI)攻撃は非常に多く,東京SOCでは1分当たり1.5件の頻度でRFI攻撃を検知している。これらは自動化された攻撃ツールによる大量無差別型の攻撃だと考えられる。今回は,現在のRFI攻撃の動向を紹介する。 RFI攻撃は,Webアプリケーションのぜい弱性を利用して標的とするサーバーに,外部のサーバーから悪意あるファイルを読み込ませる攻撃である。攻撃者は標的サーバー上で当該ファイルに記述された任意のコードを実行させる。

    確認されているだけでも攻撃が毎分1.5件,PHPアプリ狙う攻撃が大量無差別型に
    bunchan98
    bunchan98 2008/10/21
    某行政でのチェックシートに掲載されていたそうな。。。phpシェルって。。意図しないでこういう動作になる場合があるのかな。。。
  • 一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定

    CSS2008(コンピュータセキュリティシンポジウム2008)において、無線LANの暗号化方式であるWEPを瞬時にして解読するアルゴリズムが神戸大学の森井昌克 教授から発表されたそうです。何よりすさまじいのが、既に知られているような特殊な環境が必要な方法ではなく、通常の環境で簡単に突破可能であるという点。しかも、諸般の事情によって解読プログラムの公開はひかえているものの、近々公開予定とのこと。 携帯ゲーム機であるニンテンドーDSは暗号化においてWEPしか現状ではサポートしていないため、今後、さまざまな問題が出る可能性があります。 一体どういう方法なのか、概要は以下から。 CSS2008において,WEPを一瞬にして解読する方法を提案しました. - 森井昌克 神戸大学教授のプロフィール WEPを一瞬で解読する方法...CSS2008で「WEPの現実的な解読法」を発表|神戸大学 教養原論「情報の

    一瞬にして無線LANのWEPを解読する方法がついに登場、まもなく解読プログラムを公開予定
    bunchan98
    bunchan98 2008/10/15
    そうですか。。。これをどうとらえるべきかな。。。 DSがある場合、WEP必須なのよね。。
  • 高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない

    ■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ

    bunchan98
    bunchan98 2008/01/10
    MACアドレスが無意味なことに撃沈。勘違い男、一人追加。w)
  • ITmedia Biz.ID:優れたパスワードの選定と記憶法

    100個のパスワードを覚える必要はない。100個のパスワードを生み出す1個のルールがあればいい。(Lifehacker) 【この記事は、2006年7月5日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 安全で記憶しやすいパスワードを設定すれば、自分は簡単に思い出せて、他人には推測されにくい。 →ほかのLifeHack(ライフハック)関連の記事はこちら 最近は、至るところでパスワードの登録を求められる。何十ものサイトでログインの際に入力を求められるパスワード。ATMで必要なキャッシュカード暗証番号。ワイヤレスネットワークにログインするためのパスワード。皆さんは、どのように新しいパスワードを設定しているのだろう? いや、もっと重要なこととして、どのように記憶しているだろうか。 「すべてに同じパスワード」はダメ すべてに同じ1つのパスワードを使うやり方の問題点

    ITmedia Biz.ID:優れたパスワードの選定と記憶法
    bunchan98
    bunchan98 2006/08/03
    パスワードの選定についての非常に良いアイデアです。
  • http://www.adobe.com/jp/support/dreamweaver/ts/documents/tn_16159.htm

    bunchan98
    bunchan98 2006/05/26
    sshでのftpトンネル。上手くいったためしが無いので、次回これでチャレンジ。
  • 開発者のための正しいCSRF対策

    著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで稿ではウェブアプリケーション開発者にとっての当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz

    bunchan98
    bunchan98 2006/03/31
    CSRFっていうんですね。ちょっと難しい。
  • ITmedia エンタープライズ:企業責任としてのフィッシング対策

    フィッシング対策とくれば、「怪しい電子メールのリンクはクリックしない」という具合にエンドユーザー側での対応ばかりが挙げられる。しかし、企業としてできることはないだろうか? 決定的な対策こそ存在しないが、日々新たな手口が登場するフィッシング詐欺に企業として取り組むべきポイントを紹介する。 すべて表示 新着記事 関連記事 関連リンク 新着記事 企業責任としてのフィッシング対策: Webサイト利用者を詐欺から守るポイント フィッシングによる被害を防ぐため、Webサイトにアクセスする際に利用者が注意すべき点と、Webサイトを構築する際の留意点を説明していこう。 (2006/3/29) 電子証明書の発行元にも注意を 企業責任としてのフィッシング対策: 自社サーバがフィッシングサイトに「踏み台化」されたら? 知らないうちに自社のWebサーバが不正アクセスを受け、フィッシングサイトが設置されていた――こ

    bunchan98
    bunchan98 2006/03/06
    フィッシング情報。オイラも引っかかる可能性大。。。
  • インターネットセキュアサービス株式会社

    サイバーセキュリティを取り巻く環境 近年ランサムウェアによる事業データの破壊や組織が管理する個人情報、機密情報の盗難による被害が日国内においても増加しており、サイバーセキュリティにおける対策が急務となっています。データの破壊や漏洩に関するインシデントが発生した場合、1つのインシデントに対してかかるコストは、対応や復旧と機会損失や信用回復など含めて平均で4億円*を超える費用が必要という統計が示されています。インシデント対応サービスを契約中の組織において年間で76%の組織でインシデントが発生しており、組織あたり年間で約2件のインシデントを経験しています。

    インターネットセキュアサービス株式会社
    bunchan98
    bunchan98 2006/02/20
    ライバル製品か。
  • 1