Retire.js
There is a plethora of JavaScript libraries for use on the web and in node.js apps out there. This greatly simplifies, but we need to stay update on security fixes. "Using Components with Known Vulnerabilities" is now a part of the OWASP Top 10 and insecure can libraries can pose a huge risk for your webapp. The goal of Retire.js is to help you detect use of version with known vulnerabilities. Ret
Ruby on Railsのfind_by_*メソッドにSQLインジェクション脆弱性(CVE-2012-5664) | 徳丸浩の日記
Ruby on Rails(3.2.9, 3.1.8, 3.0.17以前)のfind_by_*メソッドにSQLインジェクション脆弱性が見つかりました(CVE-2012-5664)。このエントリではその概要と対策について説明します。 概要 Ruby on Railsのfind_by_*メソッドの引数としてハッシュを指定することで、任意のSELECT文を実行できる脆弱性があります。 検証 Ruby on Rails3.2.9の環境を用意して、以下の2つのモデルを用意しました。 $ rails g scaffold user name:string email:string $ rails g scaffold book author:string title:string モデルUserは個人情報を保持しており、自分自身の情報のみが閲覧できるという想定です。モデルBookは書誌データベースであ
【LINE】既読にしないで相手に知らせずLINEの未読メッセージを読む方法 - ぼくはまちちゃん!
こんにちはこんにちは!! LINE使ってますか! スマホのメッセンジャーアプリ! すっごい流行ってますよね! なんでも世界でユーザーが4000万人を越えたとか…! そんなこんなで、先日ちょっとしたイベントで偶然、Barimiちゃんに会った時にも、LINEのお話がでました。 はまち:「あ、ばりみちゃんもLINE使ってるんですね」 ばりみ:「めっちゃ使ってるよ〜、でもこれ [既読]っていうのが相手に伝わるのがたまにやだな〜」 はまち:「あ〜、読んだことが相手に伝わるんですよね」 ※既読の例 たしかに、読んだことが相手に伝わってしまうと、 相手に「なんで読んだのに返事くれないのかなぁ」とか思われたりで、ちょっと面倒なんですよね。 同じような不便を感じてる人、他にも多いかもしれない。 そんなわけで暇にまかせてこんなツールを作ってみました。 Stealth LINE - 既読にしないで相手に知らせず
インタビュー掲載中止のお詫びとお断り - 激変するスマートフォン時代の顧客情報管理 個人情報取り扱いミスの「罪と罰」 ――ミログ社はなぜ解散しなくてはならなかったのか 週刊ダイヤ
『週刊ダイヤモンド』特別レポート ダイヤモンド編集部による取材レポートと編集部厳選の特別寄稿を掲載。『週刊ダイヤモンド』と連動した様々なテーマで、経済・世相の「いま」を掘り下げていきます。 バックナンバー一覧 インタビュー掲載中止のお詫びとお断り ミログ社元CEO・城口洋平氏のインタビュー記事について、掲載の予定で告知し、準備を進めて参りましたが、諸般の事情により掲載を中止させていただくこととなりました。読者のみなさまにお詫び申し上げます。記事最終ページに聞き手・クロサカ氏からの経緯とご説明を掲載いたしましたので、あわせてご覧ください。 (2012年6月5日 ダイヤモンド・オンライン編集部) 今春、スマートフォンの動画アプリ「アップティービー」が顧客情報を不正に取得・利用していたとして、ITベンチャー「ミログ」が解散に追い込まれた。週刊ダイヤモンド6月2日号特集「ネットの罠」では『顧客情報
実録、「Hardening Zero」の舞台裏
Hardening Zero、開催しました!! 皆さんこんにちは、川口です。最近、このコラムの更新頻度を落として何をやっているんだと気になっている方もいるかもしれませんが、記念すべき第40回目のコラムのために、実はこんなイベントに関わっていました。 4月はこのイベントにかかりっきりで、終わった後はしばらく燃え尽き症候群になっていました。ようやくこのイベントの開催報告のコラムを書くことができました。今回はHardening Zeroの企画から開催までの経緯について、裏話も交えながら解説します。 「運用」に光を――Hardening Zeroにかける思い 「Hardening Zero」とは、WASForumが主催する、最高の「守る(Hardening)」技術を持つトップエンジニアを発掘、顕彰するための競技大会(イベント)です。今回は今後継続して実施していく意図を持ったこのイベントにおける「第
T4xx B-CAS の件 - まるも製作所 Diary 2012-5
1997年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1998年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 1999年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2000年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2001年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2002年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2003年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2004年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 2005年 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月
マシなインターネットを作る:malaさんインタビュー
こんにちは。今回はmalaさんのインタビューをお届けします。 malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは
facebookにPHP CGIの脆弱性を試してみたら面白い対策がされていた!! - cakephperの日記(CakePHP, Laravel, PHP)
PHPに新たな脆弱性が見つかって、CGIモードで動作するPHPの場合コマンドライン引数がHTTP経由で渡せてしまうため、-sオプションを渡すとPHPのソースコードが丸見えになるというのが話題になってます。(-sオプションはhtmlでシンタックスハイライトまでしてくれてコードが見やすくなる) そこでFacebookに向けてこれを試してみると・・・ https://www.facebook.com/?-s こんな情報が!! <?php include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS'; このURLにアクセスすると、セキュリティエンジニアの求人情報ページに行きます :) おしゃれー
徳丸本に載っていないWebアプリケーションセキュリティ
2. 本日お話しする内容 • キャッシュからの情報漏洩に注意 • クリックジャッキング入門 • Ajaxセキュリティ入門 • ドリランド カード増殖祭りはこうしておこった…かも? Copyright © 2012 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿など を開始 –
5分でできるPHPセキュリティ対策 - ぼくはまちちゃん!
こんにちはこんにちは!! Webプログラミングしてますか! よく「PHPはセキュリティがダメ」とか言われてるよね。 でもそれって、べつにPHPが悪いんじゃなくて、 たぶん、セキュリティとかが、まだよくわからない人が多いだけなんじゃないかな。 がんばって勉強しようと思っても、なんだか難しい理屈が並んでいたりするしね…。 なので今日は、セキュリティ対策について、 「これだけやっとけば、わりと安全になるよ」ってことを、初心者むけに、大雑把に書いてみます! 理屈がわからなくても、最初はコピペでも、 なにもやらないより、やったほうがきっとマシになる! 1. XSS対策 動的なものを表示するとき、全部エスケープすればokです! (NG) あなたの名前は <?= $name ?> ですね! ↓ (OK) あなたの名前は <?= htmlspecialchars($name, ENT_QUOTES) ?>
Android アプリ「AppNetBlocker」を公開しました : DSAS開発者の部屋
(2015年5月追記) この記事に掲載の「AppNetBlocker」は Android 5.0 以降の環境では正しく動作しません。記録としてアプリ本体へのリンクは当面残しますが、コメント欄に何度か記載の通りこのアプリケーションの開発はすでに終了しており、今後改訂を行う予定はありません。ご了承下さい。 以前から自分自身がほしいと思っていた Android アプリが形になったためマーケットで公開しました。 今回はそのアプリ、「AppNetBlocker」をご紹介します。 AppNetBlocker は、所定のアプリから「完全なインターネットアクセス」の許可を除去するツールです。実行に root 権限は必要ありません。Android 1.6 以上の環境で動作します。興味のある方はご利用下さい。もちろん無料です。 (2011/12/26 追記) 本アプリは、現時点では安全面において不安要素の少な
コンピュータウイルス・不正アクセスの届出状況[2011年10月分]について:IPA 独立行政法人 情報処理推進機構
第11-34-232-1号 最終更新日:2011年 11月18日 掲載日:2011年 11月 4日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPA (独立行政法人情報処理推進機構、理事長:藤江 一正)は、2011年10月のコンピュータウイルス・不正アクセスの届出状況をまとめました。 (届出状況の詳細PDF資料はこちら) 2011年9月、IPAにRLTrapというウイルスの大量の検出報告(約5万件)が寄せられました。このウイルスには、パソコン利用者がファイルの見た目(主に拡張子)を誤認し実行してしまうように、ファイル名に細工が施されています。このような手法は決して新しいものではなく、2006年頃には既に確認されていました。 ここでは、このような手法にだまされてウイルスに感染しないように、ファイル名偽装の手口を解説するとともに、ウイルス感染の被害を未然に防ぐための対策を紹
【緊急】人気アプリ「Instagram」のニセモノがAndroid Marketに登場してるので気をつけて!!
iPhone/iPod Touch向けのアプリとして人気を博している「Instagram」。 昨年末にAndroid版の開発が進んでいることを正式発表しているわけですが、本日2/4にAndroid Marketに「Instagram」が登場していました。 しかしコレはニセモノ。絶対にインストールしないように気をつけて下さい。 っていうかインストールしちゃったんだけどさ・・・。 このニセInstagram、インストールして起動すると、もうそこから怪しい挙動をはじめます。 なんだかよく解らん音楽系アプリへのショートカットを2つほどホーム画面に勝手に作成。さらに通知エリアに、あきらかにスパム広告っぽい通知も出るようになります。 写真をアップしようとカメラを立ち上げ写真を撮ると、 「アプリの評価をしないとフィルターが使えないんだHAHAHA」 みたいな感じでAndroid Marketでの評価をす
ABlog これからの携帯端末には、すべて逆パスワード機能をつけて欲しい
先日、こんな記事を見かけました。 iPhoneの画面ロックを解除するためのパスワードに、かなりの人が『1234』や『0000』を使っているという記事です。ロックの意味がありません。こういうの、あらゆる場面でもう100万回くらい警告されているはずですが、一向になくならないですね。人間は痛い目に遭って初めて学習するので、まあ仕方ない事です。 で、多分何度か言っている事ですが、iPhoneなどの端末に、パスワードの逆の働きをする『逆パスワード』をつけて欲しいです。『0000』や『1234』、自分の生年月日などを逆パスワードに設定しておくと、そのワードが入力されたら起動ロック、カメラで写真を撮り、GPSで現在位置を取得して、あらかじめ決めてあるメールアドレスに送信する、という機能です。 この機能があると、端末を盗んだり拾ったりしても、うかつに適当なパスワードを入れてみる、という事がしづらくなります
高木浩光@自宅の日記 - ミログ第三者委員会の「提言」を許してはならない
■ ミログ第三者委員会の「提言」を許してはならない 10月10日の日記「スパイウェア「app.tv」に係るミログ社の大嘘」の件、ミログ社から「第三者委員会報告書」(以下「報告書」という。)が開示された。 第三者調査委員会の調査結果に関するお知らせ, 株式会社ミログ, 2011年12月16日 100ページにも及ぶこの報告書の内容は、「app.tv」と「AppLog」について事実関係を明らかにした上で、いずれも違法行為ではなかったとする結論を導くものであり、加えて、冒頭で、「ユーザーからの同意取得に関する提言」として、一般論を社会に向けて提案するものとなっている。 報告書には次の2つの重大な問題がある。 app.tvの不正指令電磁的記録該当性の検討で肝心の点がすっ飛ばされている。 「ユーザーからの同意取得に関する提言」は到底受け入れられるものではない。 以下、これらを順に明らかにする。 app
妥当性とは仕様の所作 - SQLインジェクション対策とバリデーション - *「ふっかつのじゅもんがちがいます。」withぬこ
繰り返しになりますが、妥当性検証は仕様の問題であってセキュリティ対策ではありません。 バリデーションは仕様の問題であってセキュリティ対策ではないとはどういうことか説明します。SQLインジェクションの対策は、1. SQLを文字列結合で作らない 2. プレースホルダを使う です。バリデーションは関係ありません。 簡単な例 Webアプリケーションで郵便番号を指定するフォームを考えましょう。 日本の郵便番号を指定するフォームの設計でよく見るものは大きく分けて2通りあり、上3桁と下4桁を別々に入力させるものと、1つのフォームにまとめて入力させるものです。住所から補完させる設計もありえますがここではおいておきます。 <input type="text" name="postal_code_1"> - <input type="text" name="postal_code_2"> <input typ
サードパーティCookieの歴史と現状 Part2 Webアプリケーションにおける利用とその問題 - 最速転職研究会
前回 http://d.hatena.ne.jp/mala/20111125/1322210819 の続きです。 前回のあらすじ ブラウザベンダーはサードパーティCookieをデフォルトでオフにしたかったんだけどお前らがサードパーティCookieに依存したサイト作るし使うからオフに出来なかったんだよ!!!!! といった事情を踏まえた上でWebアプリケーションにおけるサードパーティCookieの利用の歴史について書きます。前提知識の共有が済んだので、ここからはある程度個人的な意見も含まれます。実装面での技術的な内容も含みます。 サードパーティCookieが必要とされてきた歴史 広告のためのトラッキングCookie以外にも、サードパーティCookieに依存したサービスが数多く存在してきた。個人的に把握しているいくつかのサービスについて時系列で述べる。ついでに広告業界の流れについても重要なのを幾
SSL BEASTが利用する「選択平文攻撃」をJavaで実行する方法
はじめに この秋にウェブアプリケーションセキュリティの分野で大きな注目を集めたBEAST(Browser Exploit Against SSL/TLS)の全貌が、ほぼ明らかになってきました。事前に話題になっていたほどの大きなインパクトを現状のインターネットに及ぼすものではなさそうですが、その中で使われている攻撃テクニックは今後、さらに応用されていく可能性を秘めています。HTTPSに対する攻撃という意味ではひとつの大きなターニングポイントであったと感じます。 私たちが開発しているSaaS型WAFサービス「Scutum(スキュータム)」はWAFであると同時にHTTPSサーバでもあるため、BEASTが及ぼす影響について非常に気になっており、このたび調査を行いました。本エントリから数回に分けて、BEASTについての情報を中心にお届けします。まず今回は、BEASTの攻撃技術のベースとなっている「C
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ワイヤレス技術セミナー
https://b.hatena.ne.jp/HiromitsuTakagi/%E5%BE%8C%E3%81%A7%E5%90%8A%E3%82%8B%E3%81%99/