brainner.com 2024 著作権. 不許複製 プライバシーポリシー
Doctor Who is back, louder and more chaotic than before
はじめに 今回はXSSの脆弱性をチェックするPerlスクリプトを作成したいと思います。すべてのXSSによる脆弱性が回避できるわけではありませんが、テストコード作成のヒントになれば幸いです。 対象読者 Webアプリケーション開発者で、XSSのテストケースを作成したい方。 必要な環境 Perl 5.8以上が動作する環境。基本動作の確認はMac OS Xを利用しました。次のPerlモジュールを利用するので、あらかじめインストールしておいてください。 Template::Toolkit Web::Scraper Test::Base またCGIを使用するので、ApacheなどのCGIが実行できるWebサーバを用意してください。 解説内容 ソースコード解説 まず最初にソースコードの解説をします。 xss.pl
はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!
先週まで風邪や雨の多い日が続いていてなかなか自転車通勤ができませんでしたが、今日から自転車通勤を再開したnaoyaです。 今日は、僕がメールサーバを新しく構築するにあたって新たにスパム対策を施したので、その内容について紹介します。 まず、メールサーバですが、次のようなオープンソースソフトウェアで構成されています。 OS: Fedora Core 5 MTA: Postfix MUA: Dovecot(IMAP & POP3) それぞれ yum で最新版をインストールしていました。さらにウノウではメーリングリストを使っているのですが、メーリングリストの配送プログラムには mailman を使っています。mailman も yum で最新版をインストールしました。 さてスパムメールですが、よくメーリングリスト宛にたくさん送られてくるのに対して個人宛にはまったく送られてきません。 そこで、メーリ
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
「The Ghost In The Browser Analysis of Web-based Malware」というUsenixの論文がありました。 PDFがダウンロード可能なので、興味のある方は読んでみる事をお勧めします。 この論文は、HotBots 07というボットネットに関してのWorkshopで、他に発表されていた論文も面白そうでした(まだ他のは読んでいません)。 NATやファイアウォールの普及によって、最近ではワーム(Worm)の勢いが衰えてきて、マルウェア作者にとってはWebが活動の主体になりつつあるそうです。 この論文は、Google社の社員5人によって書かれています。 Googleのクローラが収集しているWebページリポジトリを利用して解析を行った論文です。 この論文では、ふるいにかけたURLをバーチャルマシン上のInternet Explorerに渡して実行状況をモニタ
SSHサーバの設定ファイルは/etc/ssh/sshd_configとなっている。このファイルを変更した後は、変更を反映させるためにその都度SSHサービスを起動し直す必要がある。 SSHが接続を待ち受けるポートの変更 SSHはデフォルトでは22番ポートで接続を待っている。攻撃者はポートスキャナを使ってホストがSSHサービスを実行しているかどうかを把握するが、(nmapを含め)大抵のポートスキャナではデフォルトでは1024以上のポート番号のスキャンは行なわれないため、SSH用のポートを1024以上の番号に変更しておくのが賢明だ。 具体的には、/etc/ssh/sshd_configファイルを開き、以下のような行を見つけて変更する。 Port 22 この行でポート番号を変更したら、以下のようにしてSSHサービスを起動し直そう。 /etc/init.d/ssh restart SSHプロトコル2
感染マシンのアイコンをパンダの図柄に代えてしまうウイルス(中国名「熊猫焼香」)の新たな亜種が出現し、中国でサイバー犯罪を取り締まる法律の必要性を訴える声が強まっている。中国からの報道として、ロシアのセキュリティ企業Kaspersky Labが伝えた。 パンダウイルスは2006年後半に複数の亜種が出回って猛威を振るい、中国全土で何百万台ものコンピュータに感染した(関連記事)。HDDのファイルを削除し、オンラインゲームのアカウントやパスワードといった個人情報を盗み出す機能を持つ。 中国湖北省の警察は2月、パンダウイルスを作成、配布した疑いでリ・ジュン容疑者(25)を逮捕。同容疑者の手によるウイルス削除ツールをリリース予定だとも伝えられていた。 しかし、これまでの亜種と同様の破壊的機能を持った新しいバージョンがこのほど出現し、中国で再び感染を拡大する恐れがあるという。 こうしたマルウェアの脅威が
必要な知識 このドキュメントでは、次のことは分かっているものとして話を進めます。 iptables の使いかた TCP におけるコネクション確立の手順(SYN の立ってるパケット、って何? というくらいが分かっていればよい) 用語 試行・ログイン試行・攻撃 どれも、ログインをしようとすること( ssh -l fobar example.com 等 を実行すること)を指します。 foobar@example.com's password: とか が表示される状態まで行けたら「試行が成功した」ということにします。こ のドキュメントで説明している対策では、それ以前の段階で弾かれるように なります( ssh -l fobar example.com を実行すると ssh: connect to host example.com port 22: Connection refused 等と表示される
SSH への総当たり攻撃(brute force attack)と防衛 Posted by yoosee on Debian at 2005-11-08 23:42 JST1 SSHに対するブルートフォース攻撃への対策sshd へのパスワード総当たり攻撃は今年の前半くらいから非常に増えていて、「実際に guest や test などのアカウント名を乗っ取られた」と言うケースも実はそこそこの頻度で聞いている。仕事では既に防御スクリプトを仕込んでいるサーバもあるが、無防備なサーバに実際にどれくらいの攻撃が来ているのか、ログを見てみた。2 存在しないユーザへの攻撃sshd へのアクセスが失敗すると、少なくとも FreeBSD や Debian では /var/log/auth.log にメッセージが残る。上が存在しないユーザ、下が存在するユーザへの総当たり攻撃ログの例Nov 8 11:29:47
情報セキュリティに関する我が国の法律には、どのようなものがあるのでしょうか。また、どのような行為が違反とされるのでしょうか。 ここでは、代表的な法律とインターネットを利用した法律違反の事例を紹介します。なお、法律については、五十音順に列記し、関連条文のみを記載しています。 法律違反の事例 刑法 著作権法 電気通信事業法 電子署名及び認証業務に関する法律 電子署名に係る地方公共団体の認証業務に関する法律 電波法 特定電子メールの送信の適正化等に関する法律 不正アクセス行為の禁止等に関する法律 有線電気通信法
165,000+ synchronization users Denyhosts now has over 165,000 users contributing synchronization data and thousands more using DenyHosts without the optional synchronization feature.. Special thanks A special thanks goes to GlobalTap. After several failed attempts at hosting the sync server w/ other providers, GlobalTap is now providing DenyHosts with a stable VPS server. What is DenyHosts? DenyHo
自分がある2chのスレのために3年前くらいに自宅サーバに提供していたあぷろだに、海外で不正アクセス事犯で捕まった被疑者が何かの画像(恐らくイスラム教関係、らしい。見たらギョッとするようなものらしいのだが詳細は不明。警察では見せてはくれなかったので。)を貼り付けていたようなのです。海外の大学のシステムに不正侵入後行った行動の一環として。 という事があったそうです (同「俺ってなんて馬鹿馬鹿馬鹿馬鹿」もあわせてご覧ください)。 皆さんの管理されているサーバー上にもスクリプトが放置されていたり、そもそも管理自体を放棄しているような事例はありませんか? セキュリティホールを突かれて踏み台にされるようなケースもありますし、これを機に仕事・趣味、オープン・クローズド関らず、運用中のサーバーを一通り見直してみてはいかがでしょう。
巡回サイトの一つである高木浩光@自宅の日記で以下のようなエントリーがあった。 高木浩光@自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか ここではいつもの高木氏の口調で、「携帯向けWEBアプリ開発では未だにGETパラメータでセッションIDを渡しており、それはこれまでも何度もいかんことだと言っている。」というような内容が語られている。 確かにWEB+DBの記事に対して高木氏が注釈で言っているように「IPアドレスによる制限に関して書いていない」という点に関してはWEB+DB側の落ち度だと思う。実際これを行わない限り端末IDやユーザID*1による認証が意味をなさなくなってしまうからだ。*2 但し、キャリア毎にIPアドレス制限をする限りにおいては端末IDやユーザIDは偽装不可能*3なので、むしろ他人でも入力可能なパスワード認証よりも強力な認証かもしれません。逆にいえばその認
Remote OS detection via TCP/IP Stack FingerPrinting by Fyodor <fyodor@dhp.com> (insecure.org) この文書は、自由に配布して構いません。最新版は常に以下のサイトから入手 可能です。 http://nmap.org/nmap-fingerprinting-article.html 訳注) フィンガープリントとは、その名の通り「指紋」のことですが、この文 書では敢えてフィンガープリントと訳しています。 これは各 OS ベンダのRFCの解釈に違いがあり、それを反映してTCP/IPの実装 がそれぞれ異なる特徴があります。原著者はそれを指してフィンガープリント (finger print)と呼んでいます。 概要 この文書では、ホストのTCP/IPスタックに問い合わせを行うことによって、貴 重な情報を収集する方法
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く