@IT:Linuxで動く便利ツール[ClamAV]
概要 ClamAVは、シグネチャによるパターンマッチング方式を採用した、オープンソースのアンチウイルスソフトウェアです。比較的古くから利用されており、2008年4月15日時点での最新バージョンは0.93となっています。 編集部注:4月15日付で公開されたバージョン0.93では、バッファオーバーフローなど複数の深刻な脆弱性が修正されている。この最新バージョンを利用することが望ましい ファイルのウイルススキャンはもちろんのこと、メールゲートウェイでのメールスキャニングにも対応しています。また、アンチウイルスエンジンがシェアードライブラリ化されているため、多くの拡張モジュールが用意されています。
SQLインジェクション検出ツール「iLogScanner」を機能強化:IPA 独立行政法人 情報処理推進機構
なお、iLogScannerでSQLインジェクション攻撃が検出された場合や、特に攻撃が成功した可能性が検出された場合は、ウェブサイトの開発者やセキュリティベンダーに相談されることを推奨します。 iLogScannerは簡易ツールであり、ウェブサイトの脆弱性を狙った攻撃のアクセスログが無ければ脆弱性を検出しません。また、実際の攻撃による脆弱性検査は行っていません。攻撃が検出されない場合でも安心せずに、ウェブサイトの脆弱性検査を行うことを推奨します。 IPAとしては、ウェブサイト運営者が、この脆弱性検出ツールを利用することにより、自組織のウェブサイトに潜む脆弱性を確認するとともに、ウェブサイト管理者や経営者に対して警告を発し、セキュリティ監査サービスを受けるなど、脆弱性対策を講じるきっかけとなることを期待しています。 また、ウェブサイトの開発者やセキュリティベンダーが、本ツールを取引先等に紹介
Google ハック! パスワードまで検索できる裏技7個 | Google Mania - グーグルの便利な使い方
Google ハック! パスワードまで検索できる裏技7個 管理人 @ 9月 13日 10:21pm 検索Tips Google Hacks 2.0 – Watch more free videos 上の動画はGoogle検索で探すことができる様々なページを紹介しています。英語なので、内容を簡単に書き出しておきます。 くれぐれも悪用には使わないようにしてください。 また、これを機会に自分のウェブサイトなどのセキュリティーを、一度チェックするのをオススメします。 セキュリティーウェブカメラ inurl:”viewerframe?mode=motion” これは有名ですね。カメラを操作できるところもあるようです。 別のタイプのウェブカメラは次の検索構文で検索できます。 intitle:”Live View / – AXIS” その他 inurl:indexFrame.shtml “Axis Vi
JavaScript Hijacking - #3(2007-04-04)
■ JavaScript Hijacking なんだか色々書きすぎて要点が分かりにくくなっていますが、要するに、 Cookieでセッション管理をしている データをHTTPサーバからJSONで返している 場合に、悪意のあるサイトが、 Objectのコンストラクタをフックする scriptタグを使って上記のデータをJSONで返しているURLを指定する ようなHTMLを使うと、悪意のあるサイトのスクリプトが、返したデータにアクセスできてしまう*1ということでしょうか。 対策としては、 CSRF対策と同様にセッションキーなどを一緒にPOSTしてサーバ側でチェックする 返すJSONをコメントアウトしたり、前にwhile(true);のようなコードを付け、正規のクライアントは返された文字列からその部分を取り除いてからevalする が有効と。 で、prototype.jsなどのクライアントサイドのフレー
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
PHP と Web アプリケーションのセキュリティについてのメモ
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
Geekなぺーじ:Google Code Searchの危険な使われ方
「Fun With Google Code Search」によると、 Google Code Searchを使って脆弱なソフトウェアを見つけられてしまうそうです。 実際に、Google Code Search経由で発見されてサーバを乗っ取られた事例が「How Hackers Are Using Google To Pwn Your Site」という記事で紹介されています。 ShoeMoneyが乗っ取られた事例では、恐らくWebサーバの設定ミスで.phpファイルの関連付けを行わない状態で、Google Sitemapsに登録してしまったため、Google Code Searchに自作コードが載ってしまい、それを見たクラッカーがサイトを乗っ取ったのであろうと思われます。 バッファオーバーフロー strcpy : strcpy\((\w+,\w+) lang:c sprintf : (sprin
クロスドメインでのデータ読み込みを防止するJavaScript ? - snippets from shinichitomita’s journal
GMailのコンタクトリスト漏洩のエントリのついでに。 JSONデータをscriptタグにのせて配信するサービス(JSONPなど)で、限られたサイトのみにしかそのデータを配信しないようにするためには、クライアントが送出してくるリファラ情報を使ってサービスコンシューマとなっているサイトを特定してアクセス制御する方法がある。 この方法はおそらく大部分のクライアント(ブラウザ)に対しては有効で、例えば実際にGoogle MapsなどもそれとAppKeyを組み合わせてサイトを判別しているっぽいのだけど、意図的にリファラ送出を切っているブラウザであったり、あるいはプロキシプログラムなどが自動的にリファラヘッダを除去してしまうようなクライアント環境に対しては無効になってしまう。 ということで、そんなクライアントでもなんとかならないだろうかと考えていたときにちょっと思いついた、もしかしたらこの方法なら許
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
多様化するWebアプリケーションへの攻撃
Cookieポイズニング(Cookie Poisoning) 「Cookieポイズニング」とは、Cookieに埋め込まれた内容を操作する手法である。Cookieとは、クライアントから送られるリクエストの中に情報を埋め込み、またその埋め込まれた情報を抜き出すメカニズムのことを指す。Netscape Communication 社によって開発された技術であるが、現在のWebブラウザでは標準機能となっている。一方、Poisoningには「有毒化する」というような意味がある。 簡単にCookieの動作について説明する。サーバがHTTPオブジェクトを応答する際、Set-CookieヘッダをHTTPレスポンスの中に含ませる。この動作は、一般的にCGIスクリプトによって実行される。Set-Cookieヘッダのフォーマットは以下のとおりである。
Paros - コンピュータ系blog
コンピューター系のblogになる予定です (blog名のまま)。が、もう更新を停止しました。コメントもトラックバックもできません。すいません。。。 お知らせ: 2014/07現在、2015/09/30 で kinshachi.ddo.jp のドメインが使えなくなってしまうかもしれないので、ddo.jp と dip.jp で並行運用します。(居ないとは思いますが ^^;) ブックマークをしてる人が居たら ddo.jp から dip.jp へ変更お願いします。 ・ProofSecure.com - Web Application Security http://www.proofsecure.com/index.shtml JavaでかかれたWebアプリケーションセキュリティ評価ツール。 HTTP、HTTPS、クライアント証明書にも対応しているみたい。 自分(管理下)のWebアプリケーションの
@IT:止められないUNIXサーバの管理対策 第4回
※ご注意 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者および株式会社アットマーク・アイティは一切責任を負いかねます。ご了承ください。 ※お知らせ 本稿のタイトルを「止められない基幹業務サーバの管理対策」としておりましたが、UNIXに特化した記事内容の範囲より「止められないUNIXサーバのセキュリティ対策」とタイトルの変更をさせていただきました。(2003/10/25、編集局) 「第3回 サービスをセキュアにするための利用制限」は業務サーバの利用制限によるセキュリティの向上として、稼働中のサービスに対するアクセス制限を紹介した。今回は、機密性と安定稼働が義務付けられている基幹業務サーバなどの運用において、注意すべき重要な事項の1つとして、すべてのコマンドが使用できてしまう管理者=特権ユーザー(スーパーユー
窓の杜 - 【NEWS】IPアドレスをメール送信してPC盗難時の捜索を支援「LocatePC」
自PCのIPアドレスをメール送信してPC盗難時の捜索を支援する常駐ソフト「LocatePC」v1.4.5が、15日に公開された。Windows 98/Me/XPに対応するフリーソフトで、現在作者のホームページからダウンロードできる。 「LocatePC」は、自PCのIPアドレスの変化を検知すると、そのIPアドレスを指定メールアドレスへ自動送信する常駐ソフト。本ソフトがインストールされたPCが盗まれ、別の場所で使われると、本ソフトによりIPアドレスがバックグラウンドで送信され、盗難PCを捜す手がかりとなる。 インストール時に登録する情報は、自PCと送信先のメールアドレス、SMTPサーバーの情報、メールアドレスの件名、本ソフト専用のパスワードなど。パスワードを忘れてしまうと、本ソフトの設定変更やアンインストールが行えなくなってしまうので、絶対に忘れないように注意しよう。 また、本ソフトをインス
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
akiyan.com : 新たなXSS(CSS)脆弱性、EBCSS
新たなXSS(CSS)脆弱性、EBCSS 2006-03-30 かなりヤバめなXSS的攻撃方法が見つかりました。詳細は以下のリンク先をご覧下さい。 文字コード(SJIS)とHTMLエンコードとCross-Site Scriptingの微妙な関係 文字コードとHTMLエンコードとCross-Site Scriptingの微妙な関係 (EUCの場合、UTF-8の場合) 何がヤバいのかというと、この攻撃方法に対する根本的対策がほとんどのサイトで行われていないと思われるからです。 今までCross-Site Scripting脆弱性への対策はHTMLで使われる文字列を実体参照に変換するのが基本でした。しかし、マルチバイト文字列の仕様を突いて半端な文字列を送信しクオート文字を無効化(escape)することで、実体参照に変換されていてもスクリプトの実行が可能なケースがあることが判明したのです。 ちなみ
適切なエスケープ処理でクロスサイトスクリプティングに備える ― @IT
Webアプリケーションのセキュリティホールが注目を浴びたことから、セキュリティを意識した開発の必要性が高まってきている。今後の流れとして、セキュリティ上満たすべき項目が要件定義の段階から組み込まれるケースが増えていくことが予想されるが、実際の開発現場においてはセキュリティホールをふさぐための実装方法が分からないという声も多いのではないだろうか。 そういった開発者の負担を少しでも軽くすることができるように、本連載ではJavaにおけるWebアプリケーション開発時に最もよく利用されているStrutsフレームワークの実装に踏み込んで、セキュリティ上注意すべきポイントを解説していきたい。なお、本連載ではStruts 1.2.8を対象として解説を行っていくが、すでにStrutsを利用したWebアプリケーション開発を行っている開発者をターゲットとしているため、Strutsの使用方法、各機能の詳細な説明な
高木浩光@自宅の日記 - WinnyのDownフォルダをインターネットゾーンにする
■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。
Windows のパスワードを解析するツール(取扱注意) | alectrope
主にその日遊んだことのメモ、まとめなどの外部記憶。おそらくこれからもずっと準備中。 for mobile : http://alectrope.ddo.jp/mt4i/ ※ 注意。このツールを使用して他人のPC のパスワードを解析する行為は不正アクセス禁止法、あるいはその他の法律(コメント欄参照) で処罰の対象となると思われますので、絶対にそのような用途に使用してはいけません。この記事はそのような行為から自分のPC を守る事を目的としています。 Tech-Security » Ophcrack 2.1 - LiveCD (Linux) & 2.1 Install (Win) http://blog.tech-security.com/?p=15 「Ophcrack 2.1 - LiveCD - にわか鯖管の苦悩日記 _| ̄|● (2006-02-14)」 より。 Windows のパ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
受け入れテスト用セキュリティチェックリスト for Webアプリケーション
なぜPHPアプリにセキュリティホールが多いのか?:第1回 CVEでみるPHPアプリケーションセキュリティ|gihyo.jp … 技術評論社
