共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 IPAもCVSS-SIGに参画しており、脆弱性対策情報データ
2010年版のOWASP Top 10 公開、Webアプリ脆弱性トップ10 - うさぎ文学日記
PCI DSSなどでもよく参照されているOWASPが発表している、Webアプリケーションの脅威のランキング2010年版の『OWASP Top 10 for 2010 』が公開されました。 Category:OWASP Top Ten Project - OWASP OWASP Top 10 for 2010 A1: Injection A2: Cross-Site Scripting (XSS) A3: Broken Authentication and Session Management A4: Insecure Direct Object References A5: Cross-Site Request Forgery (CSRF) A6: Security Misconfiguration A7: Insecure Cryptographic Storage A8: Failur
KCCS、「PCI DSS」準拠支援でネットワーク脆弱性スキャンサービスを提供
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 京セラコミュニケーションシステム(KCCS)は8月4日、同社が展開する「PCI DSS」準拠支援サービスの強化策として、米nCircle Network Security(nCircle)が提供する、ネットワーク脆弱性スキャンサービス「PCIスキャンサービス」の国内販売を開始した。 PCI DSSは、クレジットカードブランドであるVISAやJCB、MasterCard、American Express、Discoverの5社が策定したグローバルセキュリティ基準。クレジットカード情報や取引情報を保護するため、クレジットカード発行会社や加盟店契約会社、加盟店、決済代行会社、サービスプロバイダーなどに対し、主要な要件12項目から構成される「カ
Firefoxアドオンの「Web Developer」を使ってセキュリティ問題を発見
「作業にツールが必要だが適当なものがない」という状況に陥ったことはないだろうか。例えば、煙探知器の電池を交換しようというときや、ドアノブのがたつきを直そうというときのように。 こうしたときに必要なツールはいつも手元にあるわけではなく、場合によっては買いに行かなければならないかもしれない。開発者が忘れがちなのは、プロジェクトで対処しなければならない問題は、意外にも、バターナイフやつめ切りといった日用品になぞらえられるようなありふれたツールを使って解決できる場合が多いということだ。 アプリケーションセキュリティの分野に目を向けると、そうしたツールとしてFirefoxのアドオン「Web Developer」が挙げられる。 Web Developerは、セキュリティテスト用のツールと思われることはまずないが、この用途に重宝する。作者のサイトから手軽にダウンロード、インストールできて便利な上、無料だ
第2回 意図しない操作をさせられる「クロスサイト・リクエスト・フォージェリ」
今回はセッションに関連したぜい弱性について解説する。まずは,クロスサイト・リクエスト・フォージェリ(CSRF)を取り上げよう。 CSRFのぜい弱性とは,「サイト利用者が意図しないところで,何らかの情報変更を無理やり実行させられてしまう」問題のことである。例えば,「自分の名前で勝手にブログに書き込まれる」,「パスワードがいつのまにか書き換えられる」などといった問題が発生することになる。 攻撃は次のように実行される。 ユーザーが,ターゲット・サイト http://target.example.com にログインする。 http://target.example.comのサーバーが,ユーザーのブラウザにクッキーをセットする。 ユーザーが,メールによる誘導などによって,罠を仕掛けられた攻撃者のサイト http://attacker.example.com にアクセスする。 罠の例:ブログへの意図し
特集 : サイト脆弱性をチェックしよう! - ZDNET Japan
ソニー・ピクチャーズ、ハッキング流出情報を使用しないよう報道機関に警告 2014-12-16 10:46
サイト脆弱性をチェックしよう!--第4回:開発工程におけるレビューやテストのコツ(その2)
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 今回も安全なアプリケーションを作るためのチェック方法について説明していきたいと思う。前回から引き続き、各開発工程におけるレビューと適切なテストについてを紹介する。 コードレビュー まずは、コードレビューでどういったことに注意して確認する必要があるか説明しよう。コードレビューのコツを理解するには、まずアプリケーションの動作について理解する必要がある。従って、最初にアプリケーションの動作について説明する。 多くのアプリケーションでは、何らかの入力(ユーザーにより入力されたデータだけでなく、ファイルや、時刻なども含む)を必要とし、入力されたデータの加工などの処理を行い、結果を出力する。出力された結果は、別のアプリケーション(ブラウザやデータベ
Watchfire AppScan : 脆弱性コラム
ウェブアプリケーションは、複数の画面を遷移し、さまざまな処理を行う。このとき利用しているHTTPは、1回のアクセスごとに通信が完結するステートレスなプロトコルであり、各処理が正常に行えるかどうかを無視すれば、各画面にアクセスすること自体はユーザーが自由に行うことができる。 このため、ユーザーの状況(セッション)をアプリケーションが把握し、制御する必要がある。しかし、制御が不適切であればログインしていないユーザーが機密情報を表示する画面にアクセスしたり、ユーザーが意図しない情報の更新を行わせることなどが可能になる。 このような画面遷移の設計において作りこまれてしまう脆弱性には、「強制ブラウズ」「クロスサイトリクエストフォージェリ」などがある。 まず「強制ブラウズ」は、許可されていないはずのページにアクセスできてしまうという脆弱性だ。これは設計の段階で、どういった状況(たとえば、ログイン
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://www.fortify.com/vulncat/ja/vulncat/index.html