IPAでは、ウェブサイト運営者が、ウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として、『安全なウェブサイトの作り方』を取りまとめ、公開いたしました。 この資料は、昨年(2005年3月4日)にショッピングサイト運営者がウェブサイト上で発生しうる問題に対し、適切な対策ができるようにするための注意事項として発行した『消費者向け電子商取引サイトの運用における注意点』を、より広いウェブサイトの運営者に利用いただくことを目的に、内容の全面改訂を行ったものです。 『安全なウェブサイトの作り方』では、「ウェブアプリケーションのセキュリティ実装」として、IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、脆弱性の原因そのものをなくす根本的な解決策と、攻撃による影響の低減
(Last Updated On: 2005年12月25日)Webサーバのフィンガープリンティングツールのhttprintの新バージョンがリリースされてるようです。 # [new] Multi-threaded engine. httprint v301 is a complete re-write, featuring a multi-threaded scanner, to process multiple hosts in parallel. This greatly saves scanning time. *multi-threading is not yet supported in the FreeBSD version. # [new] SSL information gathering. httprint now gathers SSL certificate infor
jbeef曰く、"本家に「Cross Site Scripting Discovered in Google」というストーリが掲載された。 これは、Web Application Security Consortiumが主宰するメーリングリストに投稿された記事を伝えるもの。その記事によると、Google.comにXSS(クロスサイトスクリプティング)脆弱性が見つかり、発見者が11月15日にGoogleに連絡したところ、12月1日に修正されたという。この脆弱性の原因と対策は以下の通り。" (つづく...) "まず、Googleの404 Not Foundのページはこの例のように、リクエストされたURLのパス名を画面に表示するようになっている。ここで、そのパス名にHTMLのタグを構成する文字「<」「>」が含まれている場合、Googleは、これをきちんと「<」「>」にエスケープして出
公開終了しました。 めんどくさいので記録などはしてません。 (仕組みの解説) 1. imgタグとかcssの背景画像とかで、ぼくのmixiのプロフィールを指定して踏ませる 2. このページの足あと表示用iframeにcgi(※)を呼ぶ (※cgiの内容) 呼ばれる → 数秒待つ → ぼくのmixiの足あとページを取得 → 整形 → このページのiframeに出力 これだけです>< これ架空請求のサイトとかで使われたらビックリするかもしれないね! spamメールくる→踏む→ipアドレスどころか「mixiのxxxxさんですね。ご利用ありがとうございます」とか表示する…。 うわ!これはイヤですね…。 はやく防止できる仕様になりますように。
経済産業省の主催による「情報セキュリティガバナンスシンポジウム」が9日、東京・六本木で開催された。ヤフー代表取締役社長の井上雅博氏が「安心・安全なビジネスの創造を目指して」と題した講演を行ない、同社の情報セキュリティに対する取り組みを語った。 ヤフーが運営する「Yahoo! JAPAN」では、2005年9月時点で約4,000万人強のユーザーIDを発行しており、実際にこのIDでログインするユーザー数は1,400万人に上る。多数の個人情報を保有するヤフーでは、情報セキュリティの重点ポイントとして顧客情報の保護を最優先にしているという。 これを実現するために最も重要としているのは、「必要以上に情報を収集しない、蓄積しない」ということだ。例えば、ある年齢層に向けた広告を出すために個人情報を取得する際は、わざわざ生年月日を求めるのではなく、生年のみを要求する。エリアを絞った広告を出す場合には、郵便番
(Last Updated On: 2005年12月6日)また困った問題が見つかりました…(問題と言うより仕様に気が付きました) full-disclosureで「これおかしくない?」と報告されています。Wikiがフィッシング(Phishing)に利用される問題などがあったので影響を受けるシステムは少なくなっている、とは思いますが直ぐに攻撃のまだまだ影響を受けるシステムも多いと思います。 個人的にはLinux上のApache 2.0.54上のPHP 5.0.5/PHP 5.1.1が影響を受ける事を確認しました。 (Mac OSXでも同様の動作である、と聞きました) http://137.113.100.11/manual/ja/mod/mod_mime.html によると ファイルは複数の拡張子を持つことができ、拡張子の順番は通常は関係ありません。例えば、ファイル welcome.html
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く