All about the "onMouseOver" incident
The short story: This morning at 2:54 am PDT Twitter was notified of a security exploit that surfaced about a half hour before that, and we immediately went to work on fixing it. By 7:00 am PDT, the primary issue was solved. And, by 9:15 am PDT, a more minor but related issue tied to hovercards was also fixed. The longer story: The security exploit that caused problems this morning Pacific time wa
Librahack : 容疑者から見た岡崎図書館事件
出来事の詳細 3/13 新着図書データベースを作るためクローリング&スクレイピングプログラムを作成した ちょうどその頃、市場調査を行うためにECサイトのスクレイピングプログラムを作っていた。そのついでに、前々から構想していたLibra新着図書Webサービスを作ろうと思った。市場調査プログラムの一部をカスタマイズして、新着図書データベース作成プログラムを作った。この時、市場調査プログラムと新着図書データベース作成プログラムは同じプログラム内にあり、パラメータでアクションを指定して振り分けていた。 Webサービスを作ろうと思った動機は「なぜプログラムを作ったか」の通り。 Webサービスの概要は「どんなプログラムを作ろうとしていたか」の通り。 普段読む本を入手する流れ:1. Amazonの各カテゴリの売れ筋をチェックしてレビューを確認し読むかどうか決める(または、書評ブログや新聞などのメディアで
共通脆弱性評価システムCVSS概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
共通脆弱性評価システム CVSS ( Common Vulnerability Scoring System) は、情報システムの脆弱性に対するオープンで包括的、汎用的な評価手法の確立と普及を目指し、米国家インフラストラクチャ諮問委員会( NIAC: National Infrastructure Advisory Council )のプロジェクトで 2004年10月に原案が作成されました。 その後、CVSSの管理母体として FIRST(Forum of Incident Response and Security Teams)が選ばれ、FIRSTのCVSS-SIG(Special Interest Group)で適用推進や仕様改善が行われており、2005年6月にCVSS v1が、2007年6月にCVSS v2が公開されました。 IPAもCVSS-SIGに参画しており、脆弱性対策情報データ
Tender Surrender » JavaScript/Caja
â»ãã®ãã¼ã¸ã¯ã®CajaEasyIntro - google-caja - Google Codeã®ç¿»è¨³ã§ãã ãªãCajaã使ãå¿ è¦ãããã®ã? † ã¬ã¸ã§ããã¯ç¾å¨ããµã¼ãã¼ã«å¯¾ãã¦è¤æ°ã®ãªã¯ã¨ã¹ããå¿ è¦ã¨ããIFRAMEã«èªã¿è¾¼ã¾ããä»æ§ã«ãªã£ã¦ãã¾ããCajaã使ç¨ãããã¨ã§ã¬ã¸ã§ããã¯ãããèªã¿è¾¼ã¿é度ã®éãã¤ã³ã©ã¤ã³ã§ã®æä¾ãå¯è½ã¨ã
Microsoft Corporation
Microsoft Learn. Spark possibility. Build skills that open doors. See all you can do with documentation, hands-on training, and certifications to help you get the most from Microsoft products. Learn by doing Gain the skills you can apply to everyday situations through hands-on training personalized to your needs, at your own pace or with our global network of learning partners. Take training Find
AntiSamyをためす - teracc’s blog
OWASPがAntiSamyというオープンソースのソフトウェアをリリースしました。 Category:OWASP AntiSamy Project - OWASP ツールの名前は、有名なMySpaceのJavaScript Wormからきています(多分)。 HTML断片から、JavaScript要素を除去するためのソフトで、現行版はJavaで作られています。プロジェクトのホームページによると、将来的にPHPや.NET環境にも移植される予定とのことです。 V1.0をダウンロードしてちょこっと触ってみました。 以下、メモ&感想です。 ParserとしてNekoHTMLを使用している。 XMLのポリシーファイルと、ポリシーファイルに基づいてHTMLを処理するエンジンで構成されている。 ポリシーファイルには、許可するHTMLタグ・属性名・属性値、CSSプロパティ名・値などのパターンを、正規表現をつ
【レポート】Black Hat USA 2007 - WebセキュリティのSPI、Ajaxのリスクとスーパーワームを警告 (1) 必要がなければAjaxを採用しないのが最善 - SPI Dynamics | エンタープライズ | マイコミジャーナル
Black Hat Briefingsの常連である米アトランタのセキュリティ企業SPI Dynamicsは、今年6月にHewlett-Packard (HP)による買収が発表された。買収完了後はHPのテクノロジーソリューション・グループに統合されるという。HP傘下になれば、これまでのように派手に警鐘を鳴らすような活動は行わなくなりそうだ。だが、今年はこれまで通りAjax導入のリスクとHybrid Webワームという話題性の高い2つの講演を行った。 SPIのリードセキュリティ・リサーチャーのBilly Hoffman氏 容易ではない完璧なAjax導入 「Premature Ajax-ulation」は昨年のAjax Securityの続編と呼べるような内容だった。 Ajaxという技術そのものに深刻な脆弱性がある訳ではない。標準に従い、外部にさらされるプログラムロジックや入力検証の仕組みに留意
XSSed | Cross Site Scripting (XSS) attacks information and archive
Another Ebay permanent XSSWritten by KFTuesday, 13 November 2012 The Indian security researcher Shubham Upadhyay aka Cyb3R_Shubh4M, sent us a new permanent XSS affecting the products listings on Ebay.com read more... F-Secure, McAfee and Symantec websites again XSSedWritten by DPFriday, 13 January 2012 Once again, the websites of the three famous antivirus vendors are vulnerable to cross-site scri
)
.NET アプリケーションのパフォーマンスとスケーラビリティの向上 - 第 5 章 「マネージ コ ード パフォーマンスの向上」
Recommendations on how to design and develop custom applications using the Microsoft platform Each patterns & practices offering contains a combination of written documentation and re-usable source code. Many also include a reference implementation. As the guidance is being developed it is reviewed and approved by internal Microsoft product teams and by external customers and partners. This produc
TLS 1.3 and the Future of Cryptographic Protocols
✕ Synopsys Enters into Definitive Agreement for Sale of Application Security (Software Integrity Group) Learn More The All-in-One Application Security Platform Optimized for DevSecOps Whether testing one application or thousands, automate any scan, any time, anywhere, all at once Explore the Polaris platform 2024 Open Source Security and Risk Analysis Report Explore insights into the current state
Firefox新セキュリティ、XSS防止コンテンツセキュリティポリシー登場 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable MozillaでSecurity Program Managerを務めるBrandon Sterne氏は6月19日(中国時間)、Mozilla Security BlogにおいてShutting Down XSS with Content Security PolicyのタイトルのもとでContent Security Policyと呼ばれる取り組みを発表した。同氏は発表以来Content Security Policyの策定と実装に取り組んできており、9月30日(中国時間)、A Glimpse Into the Future of Browser Securityにおいてその完成が近づいていることを報告している。 Content Security Policyはサーバサイド側
Security/CSP/Spec - MozillaWiki
The W3C has undertaken standardization of CSP and you can find the W3C spec here. Old Document Alert: The old Mozilla-specific spec document has been separated into two smaller documents, and those are deprecated in favor of the W3C spec. But in case you want them, here they are. Normative: Security/CSP/Specification Non-Normative: Security/CSP/Design Considerations
Twitter APIがアキレスの踵になるか
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2009-05-27 08:36 セキュリティ研究者が、Twitter APIがワーム攻撃に利用される可能性について警告している。 注目を集めるソーシャルネットワーキング・マイクロブログサービスであるTwitterは、ワーム攻撃を阻止するため、クロスサイトスクリプティングやその他の脆弱性の修正に大急ぎで取り組んでいるが、研究者のAviv Raff氏が指摘するように、Twitterを攻撃するワームを送るためにTwitter APIが「弱いリンク」として悪用される可能性が高い。 ブラウザとウェブアプリケーションの脆弱性に関する研究で知られるRaff氏は、APIを利用するサードパーティサービス(Twitpicなど)に1つ脆弱性が存在すれば、それが次のTwitterワームの原因になり得ると指摘している。
あの「SQLインジェクション」騒動の裏で(前編) ― @IT
毎日のように起きる脆弱性を突いた攻撃、それを守るための仕組みも多数のベンダにより提供されていますが、実際にその攻撃を検知し、どのように対処するかということは人間の手――セキュリティアナリストによって行われています。本連載ではそのセキュリティアナリストと呼ばれる人たちが、どのような考え方やマインドで仕事をしているのかを探るべく、技術とともに“人”にフォーカスしたコラムとして伝えていきます(編集部) 「攻撃の波」をいち早く見つけることの意味 はじめまして。今回からこのコラムを担当する、川口といいます。わたしが勤める株式会社ラックは、企業のITインフラをリスクから守るためのさまざまなセキュリティソリューションを提供しています。わたしの役割は、企業・団体などのITネットワークを守るセキュリティ監視運用センター“JSOC”(Japan Security Operation Center:ジェイソック
2009-09-02
http://webappsec.sakura.ne.jp/modules/wfdownloads/singlefile.php?cid=3&lid=9 セキュメロの資料を公開した。まあ、ツッコミはいろいろあると思いますが、受けます http://www.mbsd.jp/event/detail125-desc.html に行ってきたので、簡単なメモ 楽天のインターネットセキュリティの取り組み 楽天におけるインターネットセキュリティの考え方 楽天のシステムは原子力発電所並みの運用体制と安全性を求められている(by 三木谷氏) 事業継続のため万全な対策を 予算内だけの対策というわけにはいかない 被害時のインパクトが大きい(2週間止まると250億の機会損失)から 予算の何パーセントで出来るかという考え方 開発全体予算の2%程度で実現 ハイスキルのセキュリティエンジニアが対策を最適化 グループシ
Category:OWASP AntiSamy Project - OWASP
This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests. To view the new OWASP Foundation website, please visit https://owasp.org OWASP AntiSamy is a library for HTML and CSS encoding. Introduction AntiSamy was originally authored by Arshan Dabirsiaghi (arshan.dabirsiaghi [at the] gmail.com) of Contrast Security with help from Jason Li (jason.li [at the] owasp.o
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Web Application Security
はてなダイアリーのヘルプ - はてなダイアリーXSS対策
ISS square - 先導的ITスペシャリスト育成推進プログラム -| ニュース&イベント
HugeDomains.com