[Think IT] 第3回:シーケンシャル攻撃をどう防ぐ? (1/3)
【セキュリティ最前線】新種ウイルスにも慌てない! 第3回:シーケンシャル攻撃をどう防ぐ? 著者:トレンドマイクロ 黒木 直樹 公開日:2008/1/22(火) 「Webからの脅威」の原因は「シーケンシャル攻撃」 第3回の今回はインターネット上の攻撃が「Webからの脅威」に変化した現在の特徴的な現象の1つである「亜種の大量化」について解説する。 亜種の現状を解説する前に、近年の新しい攻撃方法である「シーケンシャル攻撃」を紹介したい。この攻撃方法が一般化したために亜種の大量発生という困窮した事態が招かれているのである。 「シーケンシャル(sequential)」とは「連続的な」という意味を持つ。当社では特にWebを媒介とした連続的な攻撃のことを「シーケンシャル攻撃」と呼んでいる。「第2回:Webからの脅威に対応せよ!」で説明した「Webからの脅威」の深刻化と被害の急拡大は、このシーケンシャル攻
[Think IT] 第2回:PHPのSQLインジェクションを実体験 (1/3)
【セキュリティ最前線】 セキュリティホールをついて遊ぶ 第2回:PHPのSQLインジェクションを実体験 著者:大垣 靖男 公開日:2008/1/18(金) PHPでSQLインジェクションを実体験 本記事では、セキュリティに対する課題を実体験していく。第2回となる今回は、いよいよ実際にテスト環境を構築し、攻撃を行う。標的となるのはWebシステムの開発で幅広く利用されている「PHP」だ。 PHP本体にはWebブラウザからの入力のデコード処理をはじめとして、Webシステム開発に必要不可欠な機能が組み込まれている。2008年1月3日に最後のPHP 4.x系のリリースとなる「PHP 4.4.8」がリリースされ、これ以降PHP 4.x系の開発は行われなくなった。現在はPHP 5.x系のPHP 5.2.5のみがPHPプロジェクトにより正式にサポートされている状態だ。 データベースサーバへのアクセスもWe
見落としがちなぜい弱性(Webアプリケーション編) その2:ITpro
以前の「今週のSecurity Check」の記事で,見落としがちなWebアプリケーションのぜい弱性の例として,ログイン画面におけるエラー・メッセージから認証の安全性が低下する例を示した。今回は,ログイン画面そのものがぜい弱な例を取り上げてみたい。 まず,写真1のログイン画面にどのようなぜい弱性が内在しているかお考えいただきたい。Webサイトの会員の立場から,ご自身の認証コードが破られる可能性は高いと思われるだろうか。 では,これに以下の条件が加わった場合はどうだろう。 ・会員番号は10桁の数字 ・認証コードは9桁の数字 この条件が加わると,ある特定の会員にとってログイン画面の認証の安全性は大幅に低下する。攻撃者の視点で考えてみよう。 攻撃者は,誰かの有効な会員番号と認証コードのセットを「できるだけ沢山、できるだけ容易に入手すること」を第一に考える。そこで,こうしたログイン画面に狙いを付け
Top 10 Secure Coding Practices - CERT Secure Coding - Confluence
Top 10 Secure Coding Practices Validate input. Validate input from all untrusted data sources. Proper input validation can eliminate the vast majority of software vulnerabilities. Be suspicious of most external data sources, including command line arguments, network interfaces, environmental variables, and user controlled files [Seacord 05]. Heed compiler warnings. Compile code using the highest w
試訳 - コードをセキュアにする10の作法 : 404 Blog Not Found
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
2007~2008セキュリティ事情 ―今「普通のWebブラウズ」が危ない! | gihyo.jp
プロローグ-マルウェアの広がりはネットワーク経由直接感染からWebページ埋め込み型へ いまやWindows XP SP2 が国内のパソコンの多くで稼働する実情からいって、パーソナルファイアウォールが標準完備という時代であることは間違いない。したがって、従来ネットワークを通じた感染を行うことで、最終的に迷惑メール等を発信して収益を上げるシステム・ボットネットを構築させてきた犯罪者は、別の手口を考案させられるに至った。 その別の手口とは、マッシュアップなどWebの複雑性を隠れ蓑に、脆弱性のある一般企業等のWebサイトを足がかりにしたものである。 具体的な手口-一般企業や個人のWebが攻撃元に 具体的には、「とても危害なんて加えてくるとは思えない」サイトを巧妙に改ざんすることである。つまり一般の企業や組織、あるいは個人のBlogなどを巧妙に改ざんし、画面上からは感染活動などを何ら示さないように
第3回 サイトでPCのセキュリティ診断
パソコンのセキュリティ対策に役立つサイトも多くある。例えばウイルス対策。メールに添付されたファイルにマルウエアが含まれていないかオンデマンドでチェックできる。有名なのはウイルス対策ソフト・ベンダー各社のオンライン・スキャン・サービスだが,ここではもっと便利なサイトを紹介しよう。「VirusTotal」と「CWSandbox」である。 マルウエアの挙動まで解析 VirusTotalは,30種類以上のウイルス検出エンジンを利用してマルウエアの有無をチェックするサービスである。調べたいファイルをアップロードすると,検査結果を一覧表示する(図1)。検査にかかる時間はサイトの負荷状況にもよるが数分程度である。 図1●マルウエア検査サービス「VirusTotal」 調べたいファイルをアップロードすると,30種類以上のウイルス検出エンジンを利用してマルウエアかどうかをチェックする。 一般にウイルス検出エ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
