Loading...
_既にあたり前になりつつある文字エンコーディングバリデーション 大垣靖男さんの日記「何故かあたり前にならない文字エンコーディングバリデーション」に端を発して、入力データなどの文字エンコーディングの妥当性チェックをどう行うかが議論になっています。チェック自体が必要であることは皆さん同意のようですが、 チェック担当はアプリケーションか、基盤ソフト(言語、フレームワークなど)か 入力・処理・出力のどこでチェックするのか という点で、さまざまな意見が寄せられています。大垣さん自身は、アプリケーションが入力時点でチェックすべきと主張されています。これに対して、いや基盤ソフトでチェックすべきだとか、文字列を「使うとき」にチェックすべきだという意見が出ています。 たとえば、id:ikepyonの日記「[セキュリティ]何故かあたり前にならない文字エンコーディングバリデーション」では、このチェックは基盤ソフ
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
画像ファイルに偽装した,HDD(ハードディスク)をフォーマットしようとするトロイの木馬が12月30日ごろからネットで話題になっている。jpgなど画像の拡張子を持つファイルだが,JavaScriptが埋め込まれており,Internet Expolrer(IE)でアクセスすると多数のウインドウを開いたり,HDDをフォーマットするプログラムをダウンロードさせようとしたりするという。 ネットに投稿された情報などによると,画像ファイルのURLを開くと多数のウインドウを開いてユーザーの操作を妨げる,いわゆるブラウザクラッシャーとして動作するほか,メール・クライアントを起動したり,ユーザーにHDDディスクをフォーマットする実行ファイルをダウンロードさせたりしようとするという。 編集部ではトロイの木馬の本体を確認していないが,Internet Explorerは,デフォルト設定ではファイルの拡張子ではなく
XSS MeはFirefoxの拡張で、現在表示している画面から入力項目(テキスト、リストボックス、ボタン、hidden)を抽出し、クロスサイトスクリプティングが存在しないかどうか確認するプラグイン。最新版は0.3.0ベータ。入手はこちらから。 使い方 XSS Meのサイドバーを表示させる テスト対象の画面をブラウザで表示する これで、ページになる入力フィールドが全て表示されるはずだ。 テストしたい項目にチェックを入れて、「Test all forms with all attacks」(全部のテストを実行)もしくは「Test all forms with top attacks」(よくあるパターンのテストを実行)を選択する。 自動的にブラウザがリクエストを送信し始める。全テスト実行の場合は1項目あたり158程度、よくあるパターンのテストの場合1項目あたり18回程のリクエストをサーバに送信す
前回Hackbarを紹介したということで、FFのAddonであるTamper Dateも紹介します。 概要 FFからリクエストされるGETやPOSTメッセージを横取りして、ヘッダやPOST値を変更してリクエストできるというもの。 ※注 実際にXSSにも使えるので悪用しないように! インストール https://addons.mozilla.org/ja/firefox/addon/966 いつものようにインストールします。(再起動後反映) 起動 メニュのツール⇒Tamper Data で起動します。 起動したところ。 横取り開始 左上にある【Start Tamper】をクリック (Start Tamperを押したら全てのGET/POSTが横取りされるので、実際に横取りしたいメッセージを送る直前に押す) リクエストを横取り たとえばmixiのログインをTamperしたところ。 ・Tamper
番外編第1回 Flashとポリシーファイルの密接なカンケイ 杉山 俊春 三井物産セキュアディレクション株式会社 テクニカルサービス事業部 コンサルタント 2007/1/30 Flashとポリシーファイルの関係 Flashでは、「ポリシーファイル」と呼ばれる設定ファイルをサーバ上に設置することで、外部サイトとの連携を行うことが可能になる。このポリシーファイルは、コンテンツを“提供する側”のWebサーバに設置する必要がある。通常は(デフォルトでは)、ドキュメントルートの直下に配置される「crossdomain.xml」というファイルが利用されることとなる。ポリシーファイルでは、読み込みを許可する外部サーバを「domain属性」および「to-ports属性」の2つで制御することとなる。 以下に、ポリシーファイルの例を示す。 <cross-domain-policy> <allow-access-
ついったー足あと帳 このサイトを一昨日とかに見てびっくりした人も多いと思うんだけどcrossdomain.xmlの設定をあやふやにしておくと、ユーザーのセキュリティもあやふやになっちゃうんで、そこはWebサービスとしてはまずいよね?っていう話が話題。 Twitter の crossdomain.xml 問題について。 - てっく煮ブログ crossdomain.xml と CSRF 脆弱性について - 川o・-・)<2nd life だけども、てっく煮の中の人が言うように このような「取得」のゆるさが理由で、Twitter API を活用したサービスを作る人が多発して、それがまた Twitter の人気を押し上げたのは事実。 という具合に、Webサービスのcrossdomain.xmlを全部厳しく(もしくはそもそも置かない)すればそれでいいかっていうと、それだとユーザーの自発的なサービスを
米EMCのセキュリティ事業部門RSAは米国時間2009年4月20日,暗号ライブラリ「RSA BSAFE」の無償版「RSA BSAFE Share」を公開した。C/C++版とJava版を用意しており,同社サイトからダウンロードできる。 RSA BSAFEは,暗号処理の機能をプログラムに組み込むためのツールキット。各種暗号アルゴリズム,X.509形式のデジタル証明書,SSL/TLSのセキュリティ・プロトコルなどを利用できる。今回の無償版は,Windows,Solaris,Red Hat Enterprise Linuxをサポートする。Java版の対応実行環境はJRE 5.0/6.0。コミュニティでの情報交換により無償サポートを行い,希望者は同社から有償サポートを受けることも可能。 無償版は,HP-UX,AIX,メインフレーム,組み込み機器などのプラットフォームや,FIPS 140およびPKCS
続きというか、お詫びを書きました。 文章を多少修正しました。技術的な点は色々誤りがあると思いますので、あまり信用しないでください。詳しくはgeekpageさんがじきに書いてくださるはずです。 入口にあった、Akamaiサーバーがリアルタイムに捌いているトラフィックを可視化した地球儀が映ったモニター。アメリカが早朝なのでトラフィックは850Gbpsと少な目(笑) それでもアメリカのバーの長さは凄い やすゆきさんという方が、Blogでひっそりと告知していたのが、IT勉強会カレンダーに載っていて、それを目ざとく見つけて行ってきた次第。募集枠5人とかだったので、焦って申し込んだら、実際そんなに募集は来なかったみたいで意外。僕なんか「Akamai」って書いてあっただけで飛びついたのに。内輪に近いノリだったてのもあると思うけど、案外「Akamai」には訴求力が無いのかね。まあ、インターネットの裏の支配
Linuxディストリビューションの「Fedora Core 5」からは,大幅に機能刷新された「SELinux」が組み込まれました。SELinuxは,Linux OSにセキュアOS機能を組み込めるソフトウエアです。Linux OSで使える代表的なセキュアOS機能として,注目を集めています。 本連載では,Fedora CoreでのSELinuxの機能や使い方を,これまでSELinuxを使ったことがない人に向けて,分かりやすく解説してしていきます。 第1回 SELinuxの基本的な仕組み 第2回 最新開発状況 第3回 Fedora Core 5で学ぶ新しいSELinux 第4回 ポリシーを編集せずに問題に対処する 第5回 タイプを変更してトラブルに対処する 第6回 ポリシー・ファイルの正体を知る 第7回 モジュール・パッケージを作成する 第8回 タイプを付与してより安全に設定する 第9回 リファ
思考の道具箱 Rudy Ruckerの同名の著書とは直接関係ありませんが、私の思考の道具箱であることは確かです。大抵のページは書きかけで、内容も不完全ですのでご注意を。 トップページページ一覧メンバー編集 SELinuxで困ったときの3つのTips 最終更新: kgbu 2008年08月30日(土) 14:34:41履歴 Tweet Top three things to understand in fixing SELinux problems. Dan Walshの記事 http://danwalsh.livejournal.com/22347.html Almost all SELInux problems fall into one of the following three categories. While this might be an over simplificati
SWFScanは、Flashアプリケーションを逆コンパイルしてコードに脆弱性が含まれていないかどうか分析し、解決法を提示する。 米Hewlett-Packard(HP)は3月23日、Flashアプリ開発者向けの無料セキュリティツール「SWFScan」の提供を開始した。専用ページからダウンロードできる。 SWFScanは、Adobe Flashのプラットフォームで作成されたアプリケーションを逆コンパイルしてActionScriptコードを抜き出し、情報漏えいやクロスサイトスクリプティング攻撃などにつながる脆弱性が含まれていないかどうか分析する。分析結果としてコード内のセキュアではない部分がハイライト表示され、セキュリティ問題の解決法が提示される。 このツールはHP Web Security Research GroupがAdobeと協力して作成した。同グループがインターネット上で公開されてい
Linuxディストリビューションの「Fedora Core 5」からは,大幅に機能刷新されたSELinuxが組み込まれた。本講座では,Fedora Core 5でのSELinuxの機能や使い方を,これまでSELinuxを使ったことがない人に向けて,分かりやすく解説していく。第一回は,SELinuxの基本的な仕組みを紹介する。 「Security-Enhanced Linux(通称SELinux)」は,Linuxカーネル用のセキュリティ拡張機能である。米NSA(National Security Agency=米国国家安全保障局, http://www.nsa.gov/selinux)が中心となって,不正侵入の被害を極力少なくすることを目的に開発し,オープンソース・ソフトとして提供している。SELinuxは既に,Fedora Coreなどの主要なLinuxディストリビューションに組み込まれて
IE Privacy Keeper(IE プライバシィ キーパー:以降IEPKとする)がFirefoxへ対応した新バージョンとなった。IEPKの役目はIEやFirefoxのブラウザ、それにWindowsと有名なプログラムを使用している間に記録される履歴データや入力した値、キャッシュに保存される内容を削除するためのツールである。 Downloadはhttp://browsertools.net/downloads.htmlの「IE Privacy Keeper」のところの「Download」ボタンをクリックする。ボタンの直ぐ下にある 「TakeAlong Version」はインストールしなくても使用できるバージョン。インターネットカフェなどで使用すること目的としたものだ。 キャッシュや履歴のメリットは同じファイル名やコマンドなどの入力値を繰り返し入力しなくてもよいこと、キャッシュを参照
IEや「Firefox」「Mozilla」「Opera」のキャッシュ・履歴などを一括削除できる「CleanCache」v3.1が、8月30日に公開された。Windows 2000/XPに対応する寄付歓迎のフリーソフトで、現在作者のホームページからダウンロードできる。動作には、「.NET Framework」v1.1が必要。 「CleanCache」は、IEや「Firefox」「Mozilla」「Opera」といった各種Webブラウザーのキャッシュや履歴など、プライバシーに関わるデータを一括削除できるタスクトレイ常駐型ソフト。あらかじめ削除対象のデータを指定しておけば、タスクトレイの右クリックメニューを選択するだけで全データを一括削除できるのが特長。 起動するとタブ切り替え型の設定画面が表示されるので、Webブラウザーの名前が書かれたタブを切り替えて、削除したい各Webブラウザーのデータをチ
たいていのWEBアプリはユーザ名とパスワードを聞かれて認証を行います。これはちょうど家に鍵をかけるようなもの。それほど重要でない情報のみのサイトならこれで十分ですが、貴重な情報があるとなるとそうはいきません。 この物騒な世の中、鍵ひとつじゃ安心できないわという声も聞こえてきます。最近セキュリティの高いところでは、やれ指紋やら静脈やら虹彩やらで個人を識別して鍵が開くようになってきていますね。WEBアプリにもユーザ名とパスワードの鍵以外に、端末の識別番号を使って認証する方法があります。 さて今日は携帯電話に焦点を当てて、ユーザ名とパスワード+自分の携帯からしかアクセスできないというように変える方法をご紹介。 携帯端末には一台一台に電話番号とは別の個体識別番号があります。この番号を、ユーザがサイトにアクセスしてきたときにプログラムで取得することができます。個体識別番号をサーバ側に保存しておき、認
プロキシ型脆弱性スキャナの1つであるParosを使ってみました。 We wrote a program called "Paros" for people who need to evaluate the security of their web applications. It is free of charge and completely written in Java. Through Paros's proxy nature, all HTTP and HTTPS data between server and client, including cookies and form fields, can be intercepted and modified. Parosがチェックする内容は、ユーザーガイドによると以下の通りです。 HTTP PUT allowed - chec
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く