夏が来れば思い出す……
【注】Blasterワームとは? Blasterワームは2003年7月17日にマイクロソフトから公開された「RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980) 」の脆弱(ぜいじゃく)性を狙って感染を広げるワームです。 この脆弱性が公開されて以降、この脆弱性を悪用する攻撃ツールが次々とリリースされ、ついに8月12日にBlasterワームとして世に登場しました。このBlasterワームは135/tcpでサービスを稼働しているWindowsパソコンに次々と感染を広げていきました。 参考:当時のJSOCのレポート http://www.lac.co.jp/info/jsoc_report/jsocblasterlovsan.html 折しもBlasterワームが大発生したその日、セキュリティ&プログラミングキャンプの前身であり、幻となったイベント「セキュリテ
SQLインジェクション攻撃、ターゲットは“あなた”です
止まらないWebページ改ざんという事件 ナツ 「あー。またたくさんやられてるのかぁー」 クウ 「どうしたんですかー?」 ナツ 「これこれ」 クウ 「ん……? 何ですかこのマーク?」 ナツ 「ここ、昨日まではショッピングサイトだったんだけどね」 クウ 「またまたぁ。あんまりショッピングサイトっぽくないっすよ」 ナツ 「うん。なんか、ついさっき改ざんされたっぽいよ」 クウ 「うひゃー」 クウたちの身の回りでは、有名なWebページが改ざんされてしまうという事件が多発していた。TOPページが改ざんを行った組織のロゴマークに書き換えられていたり、アクセスするとウイルスをダウンロードさせる仕組みになっていたりという悪質なものである。Webページを改ざんされた企業は、顧客からの信用を失ってしまう。ウイルスをダウンロードさせる場合などには、信用を失うだけでなく、顧客に対して実害を与えてしまうことになりかね
無料でWebアプリにありがちな脆弱性を調べて治す
クロスサイトスクリプティングを解消するには? XSSの対策といっても、何をすればいいのでしょう? 文字コードのエスケープ 一番スタンダードな方法は、フォームから送られてくる文字列をHTMLタグとして解釈されないように、一部の記号をWebブラウザ上での表示に利用できる実体参照に変換する方法です。 一般的によく狙われる文字は以下の表にまとめてあります。内容に変換するようにコードを変更すれば、対策可能です。
その文字列はセーフ? 本当は奥深いデコード処理
@IT messenger v1.4 ジュン %82%b1%82%f1%82%ce%82%f1%82%cd%81%5b クウ お。こんばんは〜。こないだの勉強会はありがとうございました。楽しかったです♪ ジュン %8a%79%82%b5%82%f1%82%c5%82%e0%82%e7%82%a6%82%bd%82%dd%82%bd%82%a2%82%c5%82%e6%82%a9%82%c1%82%bd%82%9f クウ ちょっとどしたんすか?! なんか文字化けしてますよっ。 ジュン %95%b6%8e%9a%89%bb%82%af%82%b6%82%e1%82%c8%82%a2%82%e6%82%c1%81%49 クウ むむむ……
Ajaxのセキュリティ、特殊なものだと思ってました
@IT messenger v1.31b ジュン こんばんはー。 クウ あっ。ジュンさんこんばんはー。 ジュン こないだは、ちょっと中途半端な感じになったけど大丈夫だった? HTTPとかいろいろやってみた? クウ telnetで簡単なのはできたんですけど、Webアプリとかなると大変で……。 ジュン ああー。そうだよねー。 クウ 全部打ち込むとなるとかなり時間がかかっちゃって、しかも間違えたりして〜。 ジュン そっかー。取りあえず基本の動作だけ、って思ってたからtelnetでのアクセス方法教えたけど、ちょっと足りなかったねぇ。 クウ 大変だーっ! って思ったのでツールとか探しちゃいました♪ ジュン どんなツール? クウ えっと、なんか、プロキシっぽくなってて、ブラウザからのHTTP通信を途中で捕まえて書き換えができたりするやつです。 ジュン おおっ。プロキシのツール使うところまでやったのね。
セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた
セキュリティ社会科見学:インターネット物理モデルでセキュリティを考えた:Security&Trust ウォッチ(49) 東京・お台場にある日本科学未来館には、インターネットで情報が伝わる仕組みをボールの動きで視覚的に表現した「インターネット物理モデル」という展示物があります。通常は見えない世界を可視化することで、インターネットがどのように動いているのかを体験して知ることができるというものです。2001年から展示されているので、見たことがある人もいるでしょう。 さて、インターネットと情報セキュリティは切っても切れない関係にあるわけですが、それは物理モデルのインターネットも同じはず。果たして、情報セキュリティ技術は物理的に見ることができるのでしょうか。 1ビットをボールで表すインターネット物理モデル インターネット物理モデルでは、白と黒のボールが「0」と「1」の2進数を表していて、16個1組で
管理者必携! 最強のデータ・サルベージ・ツールを自作する - @IT
システムに突然トラブルが発生。ハードディスクは生きているのだが、Windowsがセーフ・モードでも起動しなくなってしまった……。そんなとき管理者は、ユーザーから「Windowsを直すのは後回しでいいから、今日のミーティングに必要なファイルを今すぐ取り出してくれ」などと頼まれることも多いのではないだろうか。 だが、ネジを外してケースを開け、ハードディスクを取り出して、別のPCに接続し……ああ、変換アダプタが必要だった……、などとやっていてはそれなりに時間がかかる。もし、CD/DVDからすぐに別のWindowsを起動して、必要なファイルをハードディスクからUSBメモリやファイル・サーバへコピーできれば、ユーザーも管理者も大いに助かるだろう。 また本格的に修復をする場合でも、もしすぐに別のWindowsを起動できれば、ファイルやレジストリを調査・修正しやすく、トラブルシューティングの役にも立つ。
XSSは知ってても、それだけじゃ困ります?
C:\> telnet Microsoft Telnet クライアントへようこそ エスケープ文字は 'CTRL+]' です Microsoft Telnet> set localecho (省略可) Microsoft Telnet> open www.example.com 80 GET / HTTP/1.1 Host: www.example.com (改行) HTTP/1.1 200 OK Date: Sun, 02 Sep 2007 14:16:08 GMT Server: Apache Last-Modified: Sun, 14 Jan 2007 14:13:57 GMT ETag: "1f0003-ad-bd583340" Accept-Ranges: bytes Content-Length: 3931 Connection: close Content-Type: tex
もいちどイチから! HTTP基礎訓練中 第1回 XSSは知ってても、それだけじゃ困ります? ― @IT
分かってるつもりではあるけれど…… クウはベンチャー企業で働くWebアプリケーションのエンジニア。でもそこは小さなベンチャー企業、セキュリティのことは分かっていながらも、動くものを納品するので精いっぱい……。今日は納品のため、客先でミーティングに参加していた。そしてお客様から受けた指摘は、こんな一言だった。 お客さん 「……で、このWebアプリケーション、セキュリティは大丈夫なんだよね?」 クウ 「は、はいっ! もちろんです!」 お客さん 「じゃあ、これからもよろしく頼むよ」 クウ、ユウヤ 「よろしくお願いしますっ!」 無事、お客さんとのミーティングを終えたクウとユウヤの2人は、近くの喫茶店で一息いれることにした。 クウ 「最近はセキュリティのことを聞かれることがかなり増えてきましたねぇ」 ユウヤ 「ああ、そうだね。営業の段階から『セキュリティはどう担保されているんだ?』なーんてことをいわ
たった2行でできるWebサーバ防御の「心理戦」 − @IT
高い壁を作るだけがセキュリティ対策ではない。攻撃者の心理を考え、彼らに選ばれないシステム作りも大きな効果が望めるのではないだろうか。本連載では視点を変え、攻撃者に選ばれないためにできる、ほんのちょっとした対策を取り上げる。(編集部) 対策をもう一歩進めるための新たな視点を持とう システムは動くだけではなく、セキュリティ対策がなされていなければいけないといわれ始めて久しい。セキュリティという言葉を聞くと、物理的なものだけではなく、ネットワークセキュリティを連想するほどの認知度も得ているのではないだろうか。 個人宅のネットワーク環境にもファイアウォール機能を搭載したルータがあり、PC1台1台にアンチウイルスソフトがインストールされている。いまとなっては珍しくなく、むしろ当たり前とも思えるようになった。 一方、ネットワークに存在する脅威というと、ウイルス、ワーム、ボット、サイトの改ざん、個人情報
‘愛’で学ぶ文字コードと文字化けの常識 (1/4) - @IT
本連載は、Java言語やその文法は一通り理解しているが、「プログラマー」としては初心者、という方を対象とします。Javaコアパッケージを掘り下げることにより「プログラマーの常識」を身に付けられるように話を進めていきます。今回は、文字コードや文字化けについて。OSや携帯電話の機種の違い、メール、Webブラウザ、DB入出力、国の違いなどさまざま原因で起きる文字化けを徹底解説! 文字コードや文字化けの知識はプログラマーの常識 今回は、文字コードや文字化けなどの文字に関する常識をJavaを通して身に付けていきます。 私たちプログラマーにとって、文字や文字列を扱うことはとてもありふれたことです。ほとんどのプログラムにおいて、何らかの形で文字や文字列を扱っていることでしょう。 インターネット時代には必須の知識 コンピュータ1台で動作するプログラムを扱っている範囲では、皆さんは特に何の困難に出合うことも
第1回 JavaScriptの復権 ― @IT
連載目次 JavaScriptが、いま注目を浴びている。JavaScriptの復権、といってもよい。 最初にJavaScript(当初は「LiveScript」と呼ばれていた)がブラウザに実装されたのが1995年の「Netscape Navigator 2.0」というWebブラウザでのことであるから、すでに登場から10年以上も経過しているわけであるが、そんな枯れた言語がなぜいまごろになって注目されているのか。 いうまでもない。昨今、GoogleやYahooをはじめとした多くの企業が積極的にJavaScriptを採用したリッチなユーザー・インターフェイスを公開し、これが「Ajax(Asynchronous JavaScript And Xml)」という名前とともに急速に注目を浴びたことが、その理由である(Ajaxについては拙稿「枯れた新しいUI革命「Ajax」をASP.NETで活用する」を参
第10回 WScriptオブジェクトを利用する(1)
名前付きと名前なし引数――NamedとUnnamedプロパティ 以上でWshArgumentsオブジェクトの基本的な使い方はお分かりいただけたと思う。しかしWshArgumentsオブジェクトには、より高度な使い方が存在する。 WshArgumentsオブジェクトにはNamedプロパティとUnnamedプロパティが存在し、それぞれWshNamedコレクションおよびWshUnnamedコレクションを返す。これらは、コマンドライン引数のうち名前付きのもの、および、名前なしのものに対応する。WSHにおける名前付きの引数、名前なしの引数とは次のようなものである。 この例では「/param1」と「/param2:value2」と「param3」の3つのコマンドライン引数が存在する。「/(スラッシュ)」から始まる「/param1」は名前付き引数であり、「param1」が引数名である。同じく「/」から始
Windowsスクリプティング環境比較:PowerShell vs WSH ― @IT
[運用] Windowsスクリプティング環境比較:PowerShell vs WSH ―― 伝統のWSH 対 先進のPowerShell、どっちを使う? ―― 1.PowerShellのインストールと動作確認 Microsoft MVP Visual Developer - Scripting 牟田口 大介 2007/04/12 Windowsスクリプティング環境:旧来のWSHと新しいPowerShell Windowsを使っていて、定型作業を手動で繰り返し行うのは苦行としかいいようがない。例えば大量のファイル群から必要なファイルを探し出し、別のフォルダにドラッグ・アンド・ドロップして、そのファイルをワープロ・アプリケーションで開いて、ある文字列を置換して……、などということを複数のファイルに対して行う必要があり、しかもそれを毎日やらなければならないときたら、キーボードをたたき壊したくなる
国際化プログラミングの常識 (1/3):プログラマーの常識をJavaで身につける(5) - @IT
本連載は、Java言語やその文法は一通り理解しているが、「プログラマー」としては初心者、という方を対象とします。Javaコアパッケージを掘り下げることにより「プログラマーの常識」を身に付けられるように話を進めていきます。今回は、「国際化プログラミング」について。国際化なんて自分には関係ないと思っていませんか? 実は身近な存在で、プログラムの基本となる知識も含んでいます。 今回は、「国際化プログラミング」に関する常識をJavaで身に付けていきます。国際化プログラミングと聞いて、いまひとつピンと来ない人もいるでしょう。実際には、国際化プログラミングは私たちの身近にあるものなのです。 そのうえ、国際化プログラミングの中に、ソフトウェアを開発するための基本的なノウハウの多くも含まれています。幸いJava言語では、国際化プログラミングのためのAPIが一通り提供されています。Java言語のAPIを通じ
暗号化仮想ドライブで手軽にファイルを暗号化 ― @IT
重要な情報の入ったノートPCや、USBメモリなど、持ち運びが簡単なものは紛失や盗難の可能性も高い。万が一、誰かの手に渡ってしまったときを想定し、その情報を利用されてしまうことを防ぐ効果的な手段がある。それは、情報を暗号化して保存しておくことだ。 ファイルなどを暗号化するには、いくつかの方法や、それを実現するソフトウェアがある。ここでは、重要な情報の保存や、持ち運びの際に便利な「暗号化仮想ドライブ」について紹介する。 暗号化仮想ドライブを使おう 「仮想ドライブ」は、物理的なディスクドライブに対して、ソフトウェアで実現した仮想的なディスクドライブという意味である。CD-ROMのISOイメージなどをマウントして、あたかも実際にドライブがあるかのように利用することができるものだ。暗号化仮想ドライブは、その名が表すとおり、暗号化された仮想ドライブである。 暗号化仮想ドライブは、以下の特徴を備えている
Windows管理者必携、Sysinternalsでシステムを把握する - @IT
Windows管理者必携、Sysinternalsでシステムを把握する:Security&Trust ウォッチ(43) SysinternalsというWebサイトをご存じだろうか? 何となくそこにたくさんのツールがあるのは知っていても、Webサイトが英語版しかないので全部読む気がしない。また、いくつかのツールは使っているけど、ほかにどういったユーティリティが提供されているのか細かく見ていないという人がいるのではないだろうか。 筆者もその1人で、「Process Explorer」などの有名なツールは使っていたが、全ぼうは把握していなかった。 Windowsを使っているシステム管理者や技術者の方ならば、Sysinternalsという名前を知っている方は多いはずだ。SysinternalsはWindows標準のツールでは管理できないシステム情報などを扱うツールを数多く提供している。 このSys
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHPプログラミングの基礎を学ぼう(1/2) ? @IT
