しゃおの雑記帳 - 携帯サイトセキュリティTODOリスト
前回のエントリ “携帯サイト開発者のためのセキュリティ再入門” が割と広範囲にお読みいただけているようです。ありがとうございます。ただあの記事は単に列挙しただけなので「何をまずやればいいのか」具体的なものが見えてこない気がしますのでメモとして再構成してみました。前回書いたように「契約者IDによるかんたんログイン機能を撤廃しよう」がすぐにできるのであればいいですが、なかなかできないのが現実でしょうから、「緊急度の高い対策」から順に扱っていこうと思います。 契約者ID(UID)で認証しているサイトはすぐにやろう キャリアのIP帯、User Agent、UIDのペアを確実に検証するようにする 例えばドコモのIP帯 + ドコモのUser Agent + X-DCMGUID でのみ認証できるようにします。 もし [携帯電話のIP帯 (各キャリアのリストをマージしたもの) + ドコモの User Ag
XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
アンチウイルスソフトウェアランキング、最強はどれ?
ウイルスなどからパソコンを守ってくれるアンチウイルスソフトウェア。気になるのは実際のところどれぐらい防御してくれるのか?ということ。 というわけで、14万7184種類のウイルスを用意し、各社のアンチウイルスソフトウェアの設定をデフォルトではなく、機能の許す限り「最高」の防御レベルにまで引き上げた上で実験した結果です。果たしてどのアンチウイルスソフトウェアが1位なのでしょうか…? なお、有名どころだと、マカフィーは13位、ノートンは22位、ウイルスバスターは海外ではPC-Cillinという名前で27位です。 Antivirus programs and protection guide, virus info, antivirus tests, Free Antivirus Tools! ベスト10は以下の通り。 1位. Kaspersky version 6.0.0.303 - 99.62
「家族の携帯を監視するソフト」に警告 | WIRED VISION
「家族の携帯を監視するソフト」に警告 2006年3月31日 コメント: トラックバック (0) 南 優人/Infostand 2006年03月31日 フィンランドのエフ・セキュア社は29日(現地時間)、夫や妻の携帯電話を監視するソフト『フレクシスパイ』(Flexispy)が、トロイの木馬に該当するとして警告を発した。タイ企業の製品だが、姿を隠すうえ、削除しにくい点でウイルスと変わらないという。第三者に悪用される恐れもあると訴えた。 このソフトは、携帯の中に潜んで電話の相手や時間、メールの文面を記録し、この企業のサーバーに発信する。ソフトを仕込んだ妻や夫は、ウェブサイトで記録を閲覧する仕組みだ。浮気の証拠をつかんだり、子供の携帯を監視できるとして、49.95ドルで販売している。 しかし、エフ・セキュア社によると、携帯の持ち主はソフトの存在が分かりにくいうえ、簡単には削除できない。インストール
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自分でできるWebアプリケーション脆弱性診断 - デブサミ2010
安全なWebサイト設計の注意点