OWASP TOP 10 2004を中心にとして、バリデーション偏向の脆弱性対策にツッコミを入れます。 PDFダウンロードは以下から http://www.hash-c.co.jp/archives/owasp-j-201203.html
個人情報をろくに管理せず、挙句の果てには匿名 FTP で公開していたのに更新できる「Pマーク」とはいかに? 関連情報 弊社図書館システムに生じた問題について(お詫び) 続きを読む
ソフトバンクBB、恐喝未遂事件容疑者逮捕を受け発表会開催 ~「PC JAPAN」休刊へ。容疑者の1人は「PC JAPAN」に執筆するライター~ ソフトバンクBBは、同社の顧客情報流出に関する恐喝未遂事件の容疑者が5月30日に逮捕されたと発表した。同社で過去に業務委託として働いていた人物が、顧客データベースへアクセスするための情報を容疑者らに伝えたという。 同社によれば、逮捕された容疑者は、以前にソフトバンクBBで業務委託としてシステム関連の業務に従事していた人物から、リモートメンテナンスサーバーへアクセスするためのアカウントとパスワードの情報提供を受けていたという。この人物は、リモートメンテナンスサーバーのほかに顧客データベースへのアクセス権も保有していた。 昨日逮捕されたのは森容疑者、冨安容疑者の2名。このうち冨安容疑者は、ソフトバンクグループであるソフトバンク・パブリッシングの月刊誌「
2008年9月ごろ、「無線LANセキュリティの強化書」 というムックの原稿を書いていた。 そのひとつに「無線LANハニーポットの構築」というページがあるのだが、この内容の裏付検証作業(MACアドレスフィルタリング)で、10枚以上の ネットワークアダプタを いちいち 挿しかえて試 さねばならなかった。 USBアダプタは まだマシだったが、PCカードの検証では、危うくスロットの針を痛めそうになった。 Windowsにおいて、MACアドレスの偽装・詐称は容易ではない。 一枚ぐらいだと、アダプタのファームウェアを解析してROMに上書きするか、あるいはデバイスドライバのポーリング先を変更するなどで原理的には可能だけども、それにしたって かなり ややこしい。 まして複数枚を一斉に書き換えるというのは、現実的でない。 でも MACアドレスを書き換えたいのよ。切実に。 どうしたもんか。 そこで ネットワー
■ Googleカレンダーでやってはいけないこと Googleカレンダーで公開前提ではないカレンダー(非公開を前提としたカレンダー)を作っている場合、以下の操作をしないよう注意する必要がある。 「設定」画面でカレンダーを選んだときに出てくる画面の「カレンダーの情報」タブのところの一番下に、「非公開URL:」という項目がある。そこには、「これはこのカレンダーの非公開 URL です。このカレンダーのすべての予定を他のユーザーに見せたい場合を除き、このアドレスを他のユーザーと共有しないでください。」という説明書きがあるが、何のことやらよくわからない。ここで、「XML」「ICAL」「HTML」と書かれた部分の「HTML」のところをクリックすると次の画面が出る。 ここで、表示されているURLのリンクをクリックしてはいけない。 マップとカレンダーでちぐはぐな設計 これがいったい何なのかは、「ヘルプ」に
What is it? PhpSecInfo provides an equivalent to the phpinfo() function that reports security information about the PHP environment, and offers suggestions for improvement. It is not a replacement for secure development techniques, and does not do any kind of code or app auditing, but can be a useful tool in a multilayered security approach. License PhpSecInfo is released under the “New BSD” licen
_SQL Serverが狙われるには理由がある SQLインジェクションを利用したWebサイトの改ざん事件が頻発している。標的となったサイトの多くがIIS(ASP)とSQL Serverの組み合わせを利用していることから、今回の攻撃がIISやSQL Serverの脆弱性を利用したものだと言う報道があるらしい。 これに対して、マイクロソフトが反論している。 「SQLインジェクション攻撃とIISは無関係」とMicrosoft しかしMicrosoftはセキュリティ対策センター(MSRC)のブログで、今回のWebサーバ攻撃では「未知の脆弱性や新しい脆弱性は悪用されていないことが当社の調査で分かった」と説明。攻撃はIISやSQL Serverの脆弱性を突いたものではなく、アドバイザリー951306の脆弱性とも無関係だとした。 これはまぁ、もっともな内容だと思う。しかし、疑問は残る。なぜ、IISとSQ
XSSとかSQLインジェクションとかをチェックするために、フォームの入力項目にスクリプトとかを入力するのが面倒だったので。 こんなん作りました。 Xss Check Helper http://yuroyoro.com/greasemonkey/xsscheckhelper.user.js 機能 ページ内のフォームコントロール(input[text,checkbox,radio],textfield,select)のvalueを指定した値に強制的に書き換えるスクリプトです。 たとえば、以下のようなcheckboxがあったとして、 <input type="checkbox" name="test_check" value="1"/>このスクリプトをかますと <input type="checkbox" name="test_check" value="<b>TestValue</b>"/>
I’m back from the Rails Conference Europe in Berlin. I realize that a 45 minute talk is hardly enough to tell everything which is important to say about Rails security. Moreover, you will never get the level right in a talk about security (or generally): There are Rails newbies, everyday-programmers and even security experts. Anyway, I was referring to this web site quite often as I wanted to prov
(Last Updated On: 2018年8月13日)MySQLには文字エンコーディングを変更する「SET NAMES」SQL文が用意されています。(PostgreSQLも同様のSQL文、SET CLIENT_ENCODINGがあります)この機能はSQLコンソールからは使ってよい機能ですが、アプリケーションからは使ってはならない機能です。SQLインジェクションに脆弱になる場合があります。 Ruby on Railsの本を読んでいて、ActiveRecordを説明している部分にMySQLの文字エンコーディングを変更する場合の例としてSET NAMESが利用されていました。アプリケーションからはSET NAMESは使ってはならない事を周知させるのは結構時間が必要かなと思いました。 PHPも5.2の途中からMySQLモジュールにlibmysqlの文字エンコーディング設定APIのラッパー関数が
■ ユビキタス社会の歩き方(2) ストーカーから逃れて転居したら無線LANを買い換える 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では、「無線LANアクセスポイントのMACアドレスを知られると、住所を知られることになる」という状況が生じ始めていることついて書いたが、そのリンク元に、それがもたらす被害の具体例としてストーカー被害を挙げている方がいらした。同じことについて私なりに書いてみる。 ストーカーに自宅を特定されて付き纏いなどの被害に遭っている被害者が、ストーカーから逃れるために転居することがしばしばあるようだ。勤務先を特定されていない場合や、転居先がそこそこ遠方であれば、その対処が有効なのだろう。 しかし、無線LANが普及した現在、平均的な家庭には無線LANアクセスポイントの1台や2台は設置されているであろう。自宅を特定したストーカーは、自宅前で無線LANパケ
「(Internet ExplorerとFirefoxの)どちらにも非がある」 「Internet Explorer」のゼロデイエクスプロイトについて当初はMicrosoftを非難していたセキュリティ研究者たちが今、このように述べている。この問題はウェブブラウザ「Firefox」のユーザーにも影響するからである。 IEと、Firefoxのバージョン2.0以降をインストールしているユーザーは、「非常に重大」なリスクにさらされている。攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。この結果、ユーザーのシステムが遠隔地から悪用される可能性がある。 IEの問題を発見したセキュリティ研究者のThor Larholm氏とセキュリティ企業大手のSyman
_ Webアプリケーションセキュリティフォーラム というわけで、発表して来た。 スライド(PDF) スライド原稿(RD) 自分の発表はともかく興味深い話を色々聞けてよかった。 とくに奥さんと高木先生のバトルが面白かった。 追記: リクエストがあったのでバトルの内容について少し。 (曖昧な記憶に基づく再現で言い回しは違うと思うし、内容にも私の勘違いがあるかもしれません。念のため) 高木先生 Greasemonkeyの説明の部分がよく聞こえなかったんですが。 奥さん (内容を説明) 高木先生 ええと、「クッキーが漏洩する程度なので問題ない」と聞こえたような気がしたんですが。 私の心の声 (最初から聞こえてたんじゃ…) 奥さん ローカルファイルにアクセスできたり、任意のコマンドを実行されたりするのに比べれば、ということですね。 高木先生 いや、それは違うと思うんですよ。銀行サイトのクッキーが漏洩
米シマンテックは2007年6月25日(米国時間)、ファイル圧縮・解凍ソフト「Lhaca(ラカ)」のぜい弱性を悪用するウイルス(悪質なプログラム)が確認されたとして注意を呼びかけた。LZH形式(.lzh)のウイルスをLhacaで読み込むと、パソコンを乗っ取られる恐れがある。今回のウイルスが悪用するぜい弱性に対する修正プログラムなどは公表されていないので、「ゼロデイウイルス」といえる。 今回のウイルスは、日本のユーザーから6月22日に同社に送られたという。同社が解析したところ、何らかのぜい弱性を突くものであることが明らかとなった。その後の調査で、日本国内で広く使われているLhacaに、修正プログラムが未公開のぜい弱性があることが判明。今回のウイルスはそのぜい弱性を悪用するものだと分かった。同社の情報によれば、少なくてもLhaca(デラックス版)1.20に、今回のぜい弱性が存在するという。 同社
連載第5回「MySQLの基礎を学ぼう [サンプル開発編]」では、MySQLサーバと連携した簡易オンラインストアを作成しました。 ただし、固定された商品アイテムの取り扱いのみで、商品の追加や価格の変更を柔軟に行うことができませんでした。今回からは、商品アイテムもMySQLで管理できるよう『簡易在庫管理システム』の作成に取り掛かります。 各商品アイテムをデータベースに登録するため、オンラインストア開発以上にデータベースへのアクセスが発生します。そこで、データベース操作を一まとめにしたクラスを作成して、そのクラスを利用してデータベースへアクセスするようにします。 クラスを利用する ご存じのとおり、PHP5はJavaに匹敵する十分なオブジェクト指向性を有しています。「クラス化」「継承」「オーバライド」……。 こうした用語に「げっ!」と思った方、ご安心ください。今回は、簡単なサンプルを例に、最低限必
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く