DownloadsYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Androidアプリ 脆弱性レポート 2015 | ソリューション | ソニーデジタルネットワークアプリケーションズ株式会社
2013 年と比較して脆弱性対策状況は改善。 しかし未だ多数の Android アプリが脆弱性を含む。 BYOD の普及で企業情報漏洩の可能性も 当社ではアプリ脆弱性の調査結果を 2013 年にセキュリティレポートとして発表しました。 Android は日本で最も使用されているスマートフォン OS の一つですが、その成長の陰で通常のアプリにおいてもセキュリティの問題があることは依然として開発現場、利用企業で周知徹底されてはおりません。 アプリの脆弱性とは、セキュリティに対する適切な知識、対策をもって開発しなければ、情報漏えいやデータ改ざんの可能性がある危険をはらんでいるセキュリティリスクのことです。これらの危険を放置しておけば、受託開発では情報漏えいは重大な瑕疵担保責任が問われ、また自社開発では機密情報の流出にもつながりかねません。 前回のレポートから 2 年、私たちは Android ア
ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法
Software WebSecurity ウェブアプリケーションを開発しながら、手軽に脆弱性検査する方法※当サイトにはプロモーションが含まれています。 以前、OWASP ZAP に追加された attack mode の概要 というエントリを書きましたが、このATTACK modeを使った簡単なセキュリティ検査の手順をメモしておきます。この機能を使えば、ウェブアプリケーションの開発中にZAPが勝手に脆弱性スキャンしてくれます。 ※ この機能が追加される バージョン 2.4 はまだリリースされていないのですが、こちら から ZAP Weekly をダウンロードすれば試すことができます。 概要基本的には、ウェブアプリケーション開発時にウェブブラウザのプロキシとして ZAP を指定おくだけです。この時、ZAP 側で コンテキストというものを設定して、ATTACK mode にしておけば、アクセスし
JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
