Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現
日本の研究者が圧縮・解凍ソフト「Lhaca」の脆弱性を発見。「.lzh」の圧縮ファイルでこれを悪用するトロイの木馬も見つかった。 日本で人気の圧縮・解凍ソフト「Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった。米Symantecが6月25日のブログで報告している。 問題の.lzhファイルは日本の研究者から提出された。Symantecで分析したところ、Lhacaの脆弱性を突いてマルウェアを植えつけるトロイの木馬であることが分かった。 Symantecは、ゼロデイ攻撃を仕掛けるこのトロイの木馬を「Lhdropper」と命名。日本語版のWindows XPでLhaca 1.20(訳注:おそらく「Lhaca デラックス版1.20」と思われる)を使ってこれを解凍すると、システムフォルダにバックドアを仕掛けるとともに、別のLZHアーカイブを保存して後で悪
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
@IT:Webアプリケーションに潜むセキュリティホール(1)
※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング(XSS)」と呼ばれる脆弱性が有名で、「特集 クロスサイトスクリプティング対策の基本」という記事で詳細に解説した。しかし、Webアプリケーションに潜む脆弱性はXSSだけではなく、XSSよりもはるかに危険性の高いセキュリティーホールが存在する。 本稿では、Webアプリケーシ
星野君のWebアプリほのぼの改造計画 連載インデックス - @IT -
セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? 誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動-SQLインジェクション編 Webアプリ、入力チェ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なWebサイト設計の注意点