セキュリティに関するkkmymのブックマーク (86)

  • ■ - 「高木浩光@茨城県つくば市の日記」跡地

    移転しました。

    ■ - 「高木浩光@茨城県つくば市の日記」跡地
    kkmym
    kkmym 2007/06/13
    端末ID/ユーザーIDに関するはなし
  • 携帯業界の認証事情 Part2 - y-kawazの日記

    先日の日記で携帯の認証に関しての考察をして、とりあえずキャリア毎のIP制限を行っていれば端末IDやユーザID認証を信用していいのでは無いか?と書いたのだが、更に調べた結果どうも怪しい実態が見えてきたので危険度と合わせて再度纏めてみようと思う。 とりあえず指摘があったので前回のテストに加えて以下を試してみました。 NO uidに指定した値 実際に送信されてくる値 8 %30%31%32%33%34%35%36%37%38%39%61%62*1 1234567890ab うわ弱っ、駄目じゃん。見事にuidの詐称が成功してしまった…。 DoCoMoのユーザIDの信頼性が地に落ちた瞬間です。 2007-03-01追記)DoCoMoスゲー!昨日は確かに上記の方法で詐称できたのに、今日はもう既に対策されとるし(^^; 今、同じことを試すと以下のメッセージが出るのみでした。 IPサイトの記述に誤りがある

    携帯業界の認証事情 Part2 - y-kawazの日記
    kkmym
    kkmym 2007/06/12
    端末IDの詐称とか
  • http://japan.internet.com/webtech/20070608/12.html

    kkmym
    kkmym 2007/06/08
    運用に入ったらちゃんとパッチあてろ、と。
  • sakichan.org - sakichan リソースおよび情報

    sakichan.org は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、sakichan.orgが全てとなります。あなたがお探しの内容が見つかることを願っています!

  • “サイバー戦争”に耐えたエストニア、国家の関与を否定するロシア

    著者プロフィール:藤田正美 「ニューズウィーク日版」元編集長。 東京大学経済学部卒業後、「週刊東洋経済」の記者・編集者として14年間の経験を積む。1985年に「よりグローバルな視点」を求めて「ニューズウィーク日版」創刊プロジェクトに参加。1994年~2000年に同誌編集長、2001年~2004年3月に同誌編集主幹を勤める。2004年4月からはフリーランスとして、インターネットを中心にコラムを執筆するほか、テレビにコメンテーターとして出演。ブログ「藤田正美の世の中まるごと“Observer”」 EU(欧州連合)とロシアの首脳会議が5月18日に開かれた。今年末に期限の切れるEUとロシアの「パートナーシップ協力協定」(1994年締結)に代わる新協定の協議を始めるはずだったが、結局、何の合意にも至らなかった。 EUとロシアの対立点はいくつかある。例えばポーランドは、エネルギーのロシア依存から脱

    “サイバー戦争”に耐えたエストニア、国家の関与を否定するロシア
  • 無料で使えるSQLインジェクション対策スキャナ トップ15*ホームページを作る人のネタ帳

    いったい何人の人がSQLインジェクションに対して興味があるのかが気になるところですが、今回はSQLインジェクションに対する対策スキャナのご紹介です。 Top 15 free SQL Injection Scanners SQLインジェクションとは、アプリケーションのセキュリティ上の不備を意図的に利用し、アプリケーションが想定しないSQL文を実行させることにより、データベースシステムを不正に操作する攻撃方法のこと。また、その攻撃を可能とする脆弱性のこと。 SQLに別のSQL文を「注入 (inject)」されることから、「ダイレクトSQLコマンドインジェクション」とも呼ばれる。 WIKIぺディア参照 この攻撃はけっこうやばいです。 SQLから侵入し、rootを盗ると広範囲で好きなことが出来ます。 サーバーそのものをいじくる事や、データを盗んだり、ポストフィックス等、SQLを使用するWEBメール

    無料で使えるSQLインジェクション対策スキャナ トップ15*ホームページを作る人のネタ帳
  • ockeghem(徳丸浩)の日記 - XSS対策:どの文字をエスケープするべきなのか - コメント#1

    ITproの連載中に、id:hasegawayosukeさんから以下のようなコメントをいただいていました。 対策遅らせるHTMLエンコーディングの「神話」:ITpro - 葉っぱ日記 全ての文字をエスケープしようなどと非現実的なことは言わないけれど(とはいえMicrosoft Anti-Cross Site Scripting Libraryのようにほとんど全ての文字を実体参照に置き換えるものもあるので、あながち非現実的とも言えないのかも知れない)、エスケープ対象を「'」「"」「<」「>」「&」の5文字に限定しているのは何かこの記事に書かれていない理由があるはずだと思ったからです。 はてぶの方は見ていましたが、日記の方を見落としていまして、お返事が遅れました(_ _)。 なぜ、「<」、「>」、「&」、「"」、「'」の5種類の文字をエスケープするのかについては、色々考えるところがあります。

    ockeghem(徳丸浩)の日記 - XSS対策:どの文字をエスケープするべきなのか - コメント#1
  • 数値リテラルをシングルクォートで囲むことの是非 - ockeghem's blog

    高木浩光氏からの批判の一つは、数値リテラルをシングルクォートで囲むことに対する論拠のあいまいさであったように思う。 「性能的にも不利だし」 < 性能の影響は皆無。問題はそこではなく、挙動がSQL仕様で定義されているか。 以下にもう少し掘り下げて考察してみよう。 SQL仕様でどう定義されているか? 以下のようなSQLで、列IDがint型であると仮定しよう DELETE FROM DOCUMENTS WHERE ID=1 この数値リテラル1をシングルクォートで囲んだ場合の動作はどう規定されているか? DELETE FROM DOCUMENTS WHERE ID='1' 今手元にJIS SQLなどの規定がないので記憶に頼って書くしかないが、このような場合は、varchar型などの文字型から、int型への「暗黙の型変換」が実施される。つまり、'1'という文字列は、1という数値(整数)に変換されてか

    数値リテラルをシングルクォートで囲むことの是非 - ockeghem's blog
  • 数百万人を抱える楽天モバイル事業の秘密兵器、「前略プロフ」の秘密

    「プロフ」というサービスをご存じだろうか。携帯電話やPCなどに対応した自己紹介ページを作成できるサービスの総称だ。10代を中心に人気を集め、コミュニケーション手段の1つとして使われている。メディアシークが自社モバイルサイトの利用者に対して行った調査によれば、13歳〜15歳の85人のうち90%がプロフの存在を知っているといい、実際にプロフページを持っている人も67%にのぼるという。多くのユーザーは携帯電話から自分のプロフを作成し、友人同士で見せ合っているようだ。 プロフを運営している事業者はいくつかあるが、その中でも多くのユーザーを抱えているサービスの1つが「前略プロフィール」だ。900万以上のプロフィールページが開設されており、ユーザー数は「数百万人」と運営者は話す。 実は、この前略プロフィールを運営しているのはショッピングモールの最大手、楽天だ。ただし「楽天」というブランド名は前面に押し

    数百万人を抱える楽天モバイル事業の秘密兵器、「前略プロフ」の秘密
  • CakePHP のおいしい食べ方

    今年2011年はPHPフレームワーク的にみると大きな転換点?かもしれません。 全地域で見ると、Code IgniterがCakePHPを超えて検索量トップに出てきているようです。 軽く高速なフレームワーク、というコンセプトがPHPとうまくかみ合っているのかもしれません。

    CakePHP のおいしい食べ方
  • 情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方

    「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す

    情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
  • 対策遅らせるHTMLエンコーディングの「神話」

    クロスサイト・スクリプティングという言葉は元々,WebアプリケーションのHTMLエンコード漏れなどを利用することによって第三者にJavaScriptを実行させる手法を指す。広義では,HTMLのエンコードによる画面改変などを含むこともある。 前回述べたように,クロスサイト・スクリプティングのぜい弱性はWebアプリケーションに見付かるぜい弱性の半分以上を占める。数年前から指摘されているにもかかわらず,一向になくならない。その理由として,クロスサイト・スクリプティング対策あるいはHTMLエンコード注1)に対する「神話」があり,正しい対策の普及を遅らせているように思う。その「神話」の数々について説明しよう。 注1)実体参照(entity reference)というのが正式だが,あまり普及していない用語なので,HTMLエンコードという用語を用いる 「すべからくHTMLエンコードすべし」が鉄則 HTM

    対策遅らせるHTMLエンコーディングの「神話」
  • 企業イントラネットのちょっとグロイ小話4本

    私はホームページ作成の他、PC設置・メンテナンス・なども行っている。 そんな時にみかけた、企業側が社員の情報をセキュリティの為に採取するシステムがいくつかありました。 私がこれまで見てきたちょっとエグイなぁと思われるシステムをご紹介。 PCの検索キーワードを全て取得 インターネットエクスプローラを立ち上げると、会社のグループウェアが立ち上がり、そこにYahooGoogle検索ボックスがついている。 社員はそれを何気なく使う。 そこに仕掛けがあった。 かなり簡単な構造です。 検索ボックスから http://(自社グループウェアドメイン)/get.php に対して、検索ボックスからクエリを送信する。 ここで、サーバーに検索キーワード履歴を保存します。 その後、何事もなかったかのように header("Location: http://www.google.co.jp/search?q=".$

    企業イントラネットのちょっとグロイ小話4本
  • パスワードによるユーザー認証【前編】:ITpro

    図1 携帯電話からアクセスするユーザーを認証 不正アクセスを防ぐためのユーザー認証の手法として,使い捨てのパスワードを使う「ワンタイム・パスワード」を中心に解説する。 ※図をクリックすると拡大図を表示します。 携帯電話を端末とするリモート・アクセス・システムのセキュリティ対策として,入り口となるクライアントを識別・認証する手段がある(図1)。 前回はリモート・アクセスする端末そのものを識別する仕組みを取り上げた(「端末を特定し不正侵入を防ぐ」【前編】【後編】)。今回は,端末を使うユーザーを識別する手段について見ていこう。 最も簡便なユーザー認証手段は IDとパスワードによるベーシック認証 ユーザーを識別する手段としては,IDとパスワードの組み合わせが一般的だ。Webブラウザを使ったリモート・アクセスでは,ベーシック認証と呼ぶ仕組みを使うことが多い。 ベーシック認証の機能は,ほとんどのWe

  • KDDI、リファラ漏洩が発生する端末の改修を実施

    KDDIは、auおよびツーカーの携帯電話のうち、2003年3月~2005年8月に発売された機種において、特定の操作を行なった場合に来送出されないはずのリファラが送出されるという事象があることを明らかにした。同社では、店頭で改修受付を開始している。 リファラは、ブラウザ使用中にサイトへアクセスするとサーバーに送信されるデータ。直前まで見ていたページのURLなどが含まれる。通常は、リンクを選択してアクセスした場合にのみ送出されるデータだが、同社の一部端末では、特定の操作を行なうとこれ以外の場合にもリファラが送出されるケースがあるという。 サイト「A」を閲覧した後、「お気に入り」に登録されたサイト「B」、あるいはメール文中にあるURLのサイト「B'」にアクセスしてから「ページ更新」すると、「B」や「B'」のサーバーに「A」を見ていたことを示すリファラが送出される。 原因はブラウザソフトの不具

  • あまり知られていない脆弱性:DOM Based XSSにご用心|アークウェブのブログ

    こんにちは、SEの進地です。 XSS(Cross Site Scripting)脆弱性の中であまり注意を払われていないタイプにDOM Based XSSというものがあります。アナウンス自体は随分と昔から行われており、webappsec.orgでも2005/7/4にAmit Klein氏が"DOM Based Cross Site Scripting or XSS of the Third Kind"を発表しています。 Web 2.0的アプリなどでのAjaxの普及でJavaScriptが多用される現在のWeb開発では、DOM Based XSSが入り込む可能性は従来よりも高まっています。そこで、今回はこのDOM Based XSSについて説明しようと思います。 DOM Based XSSとは何か? 一般的にXSS脆弱性と聞いて思い浮かべるのは、攻撃者の悪意ある入力データ(JavaScript

  • 携帯で端末ID詐称は可能かもしれない話

    この記事は移動しました URL: http://blog.rocaz.net/cgi/article.cgi?t=2007/02/26T11:03:00

    携帯で端末ID詐称は可能かもしれない話
    kkmym
    kkmym 2007/04/11
    HTC Universal。ややこしい。
  • http://securit.gtrc.aist.go.jp/SecurIT/advisory/webmail-1/

  • T.Teradaの日記 - ログイン直後のレスポンスの返し方

    多くの会員制Webサイトでは、ID/PWによるログイン処理がある。ユーザにログイン画面を提示し、ユーザがフォームにID/PWを入力してsubmitする。ID/PWがOKであれば、ユーザのブラウザにはログイン後の画面が表示される。 以下に、これを実現するための2通りのシーケンス図を描く。セキュリティの観点で望ましいのはA、Bのどちらだろう?というのが今回のテーマ。 Aではログイン要求に対してHTTPステータス200応答とともにログイン後画面をブラウザに返している。Bではログイン要求に302応答を返して(HTTP1.1では303応答)、ログイン後画面にリダイレクトしている。 結論を言うと、セキュリティの観点では、私はBの方が望ましいと考えている。 逆に言うと、Aにはどうにも気に入らないところがある。それは、ID/PWを含むリクエストに対して200応答を返していることだ。200応答のページは、ブ

  • teracc’s blog

    表題のとおりですが、 # PHP7.4.3(Ubuntu 20.04)にxdebugをインストール apt install php-xdebug phpenmod xdebug systemctl restart apache2 # xdebugを無効にする phpdismod xdebug systemctl restart apache2 ApacheでPHPのページにアクセスするとsegmentation faultになる。 [Thu Dec 16 19:32:08.276046 2021] [core:notice] [pid 421823] AH00051: child pid 421937 exit signal Segmentation fault (11), possible coredump in /etc/apache2CLIも同じで、gdbで見ると以下のような感じです

    teracc’s blog