PHPの「守護神」Suhosin
PHPは,数え切れないほどのWebサイトで使われている非常に有名なプログラミング言語である。基本的にはスクリプト言語であり,実行時にコンパイルされる。PHPは非常に多くのコミュニティによって支えられており,様々な機能を提供する膨大な数のオープン・ソース・ライブラリが公開されている。「WordPress」といった人気アプリケーションも,PHPで記述されている。ただし,PHPにもセキュリティの問題は存在する。 PHPのセキュリティ問題は,長年にわたって多くの開発者が問題の修正に取り組んできた。しかし,常に迅速な対応が行われてきたわけではなく,被害を受けるユーザーも存在した。2006年末には,PHP開発者のStefan Esser氏が,この状況に嫌気がさして,PHP Security Response Teamを辞任した。 Esser氏は自身のブログで,「(辞任した理由は)いくつかあるが,最も決
携帯業界の認証事情 - y-kawazの日記
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
BkASPil for Becky!2 総合案内
このページは,BkASPil for Becky!2 プラグインの総合案内ページです. BkASPilプラグインは,Windows対応メールソフトBecky!InternetMail用に作られたスパム対策・対処用プラグインです.「spamフィルタリング(振り分け)機能」と「spam処置依頼送信支援機能」の2つの機能を有し,BNR32,松永香澄,高崎真哉,の3人でチームを組み,開発・サポートを行っています. 詳しく知りたい方はBkASPil プラグイン基本解説ページをご覧下さい. 重要なお知らせ 2011/2/1 BkSPilのサービスを11/2/13をもって終了いたします。つきましてはBkASPilのアンインストールをお願いいたします。 2007/3/4 Windows Vistaでの動作につきましては正式サポートはしておりませんが、特に不具合も報告されていないようです。 2006/5/2
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
Microsoft Support
All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Skype PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC and Windows games Movies & TV Business Micro
切込隊長BLOG(ブログ) - FeliCa@ソニーの暗号が破られる?
FeliCaの暗号を破ったと実演している人がおられるようでして、見ている限りかなりのガチの状況であり、そのまま情報処理推進機構(IPA)に持ち込んでおられるとの由。正直申しますと、PS3で敗退とかいうレベルじゃない規模でヤバいことになりそうなので、もし破られていたんだとすればさっさとソニー(フェリカネットワークス)は公表するべきではないかと思います。まあ、いずれこの手のものは破られるものですし、利用者の混乱を避けるためにも、破られたことが分かったところで改善策とあわせて公開すべきだったかと。 単純な話、「FeliCaが破られてふざけんな」ということではなく、暗号というのは常に破ろうとする側、守ろうとする側のイタチごっこであり、守る側に充分なリソース(資金と知識と技術と体制)があれば、多少破られてもそれほどの被害なく収まるケースも多いというわけです。仮に、「暗号破られました」ということが事
ssh の brute force アタックパケットの制限 -- DOS 的パケットをフィルタリングする : DSAS開発者の部屋
KLab はコンテンツの開発と共に運用も日々担っていますが,その活動の全ての拠点は社内のシステムです.そのため,社のシステムにはいつでも外からアクセスできる必要があります.システムへのアクセスは ssh を使うのですが,この ssh へのアクセスは前記の理由で世界中からアクセスできる必要があります.こういった公開されている ssh のポートへは日々飽きもせずに brute force アタックが繰り返されています.sshd はこのような成功するはずのないアタックであっても律儀にログを出力してくれます.しかしながら,無意味なログの羅列は,重要なログが埋もれる結果になって嬉しくありません.それに,アタックによるログインの試行のために CPU 時間を無駄に費やすのもばかばかしいことです. ログの出力や CPU 時間の浪費を低減するには,これらの攻撃パケットをフィルタリングしてやればいいのですが,
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
パスワードを突破するまでの速度一覧
パスワード設定時に「文字数が多く、そして文字の種類が多ければ多いほど突破されにくくて安全」というのはよく聞きますが、実際のところはどれぐらい打ち破られにくいのかというのをまとめたのがこの図表です。数字のみの場合、アルファベットのみの場合、アルファベットと数字の場合、記号も含めた場合などの各種パターンで算出されています。 Password Recovery Speeds http://www.lockdown.co.uk/?pg=combi&s=articles 突破方法はクラスAからクラスFまでの各段階が存在し、 A. 10,000/秒 Microsoft OfficeファイルのパスワードをPentium 100MHzで突破する場合 B. 100,000/秒 Windows Password Cache (.PWLファイル)をPentium 100MHzで突破する場合 C. 1,000,0
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
高反発マットレスの選び方 | アフィブログに騙されない為の高反発マットレス手記
ウレタン系高反発マットレスでよく言及されるのが密度です。それを頑張って分かりやすく説明してみます。
はてなのログインについて、ユーザー名とパスワードをいちいち入力せずに、「指定したURL」を入力することで自動的にログインできるようなURLは見つけることはで…
はてなのログインについて、ユーザー名とパスワードをいちいち入力せずに、「指定したURL」を入力することで自動的にログインできるようなURLは見つけることはできますでしょうか?またどのような方法で見つけたかもぜひ教えてください。もちろんログイン画面の「次回から自動的にログイン」を使用しないことが前提です。
弊社サイトのウイルス感染に関するお詫びとご説明(修正版)
9月27日(水)に、弊社ライブラリサービスで公開されていたソフトがウイルスに感染していたという事故が発生しました。利用者のみなさまに多大なご迷惑をおかけしたことを心よりお詫び申し上げます。 9月27日に、弊社サイトから当該ソフトをダウンロードされた方は、下記のページをご覧いただき、ダウンロードされたソフトがウイルスに感染したものでないかをご確認ください。万一、ウイルスに感染したソフトであった場合は、同ページに記載された方法で対策を実施してくださいますようお願いいたします。 https://www.vector.co.jp/info/060927_3_system_maint.html 2006年9月27日 12:00頃、社内クライアントPCにおいて、一部のウイルススキャンソフトにより新型ウイルスが発見されました。調査した結果、社内ネットワークサーバおよび公開用サーバにあるファイルへの感染の
高木浩光@自宅の日記 - 刑法18章の2「支払用カード電磁的記録に関する罪」は何のためにある?
■ 刑法18章の2「支払用カード電磁的記録に関する罪」は何のためにある? ETC車載器付け替え、料金詐欺で運転手を逮捕, 読売新聞, 2006年9月17日 埼玉県警は17日、(略)を電子計算機使用詐欺の疑いで逮捕した。 というニュースを見て、けったいな刑法学者さまの7月のエントリを思い出した。 平成13年の刑法改正により、支払用カード電磁的記録に関する罪(163条の2ないし163条の5)が新設されました。これにより「支払用カード」の不正作出、供用、譲渡,貸し渡し、輸入、所持、不正作出の準備等が処罰されることになりました。 (略)SuicaやEdyも、電磁的記録を構成部分とする支払用カードです。 では、モバイルSuicaやおサイフケータイは、本罪の対象となるのでしょうか。 携帯電話は「カード」か?, 続・けったいな刑法学者のメモ, 2006年7月21日 けったいな法学者さまはこの続きで、刑法
高木浩光@自宅の日記 - 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない
■ 高度に発展したユビキタス社会ではアクセス制御機能が電気通信回線を通じたものか見分けがつかない 6日の日記「ログアウトし忘れのブラウザをそうと知りつつ操作するのは不正アクセス行為に該当するか」の、 「入力」は、ここでは、電気通信回線を通じて対象となる特定電子計算機に他人の識別符号を送信することを意味しているから、他人の識別符号を送信する方法として、一々キーボードを操作することは必ずしも必要ではなく、パソコンのインターネット接続ボタンを押す、識別符号が記録されているICカードを差し込むなどにより、自動的に識別符号を送信するコンピュータの機能を用いて入力することも含まれる。 不正アクセス対策法制研究会編著, 逐条 不正アクセス行為の禁止等に関する法律, 立花書房, p.75 を前提とした続き。 メール盗み見事件 京都市職員を容疑で書類送検, 京都新聞, 2006年9月8日 というニュースが出
ウイルス対策ソフト比較 2007年度版
内容がかなり古くなって来ました。この手の情報は新しくないとあまり意味がなかったりするのでご注意下さい。2008年度版については、継続的に使用できる環境がなくなってしまったので多分書けません。(※まぁ、元々誰でも書けるようなことしか書いてなかったりするのでアレ?なのですが...)。すみません。 2006.11.10作成 - 内容が少し“マシ”になったかなと勝手に思っています。しかし、見難さは相変わらずであった... 2006.11.19 「メモリ使用量」と「機能比較」少し訂正入れました。すみません。 2006.12.2 冒頭にちょっと追記 2007.8.8 AVG Anti-Virus FREE Edition の日本語版がリリースされました 目次へ移動(M) 【11/11追記】Norton Internet Security の「保護者機能」について確認するのを忘れておりました(滝汗)。U
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20070128/
0-DAY - SIMPLE SQL INJECTION
「Becky! 深海魚フィルター