IBM DeveloperIBM Developer is your one-stop location for getting hands-on training and learning in-demand skills on relevant technologies such as generative AI, data science, AI, and open source.
ここが危ない!Web2.0のセキュリティ 記事一覧 | gihyo.jp
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
ヤフーにおけるインプットバリデーション「何も信じるな」 (Yahoo! JAPAN Tech Blog)
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田 薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか? たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ(XMLやJSONなど) パートナー企業の入稿用 F
WEBプログラマー必見!WEB脆弱性基礎知識最速マスター - 燈明日記
以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF(
UTF-8の冗長なエンコードとは何で、なんでそれがセキュリティ的に危ないのか?を文字コード知識レヴェル3くらいの凡プログラマが考えてみる - tohokuaikiのチラシの裏
何故かあたり前にならない文字エンコーディングバリデーション | yohgaki's blog ってあるように、いまいち文字コードの不正な判定による危険性ってのが分かってない。 SJISの問題は、(2/3)SQLインジェクションを根絶!セキュア開発の極意 - 第5回■注目される文字コードのセキュリティ問題:ITproの記事がわかりやすかった。 というか、やっぱりPHP使ってると誰でも一度は「なんじゃこの『¥』は?」って思うもんなんで。 なるほど、確かに↓の図のように「あるバイト」が2つの意味を持つっていう文字コード形態はやばいんだなと。 EUC-JPはそんなことはしないで、1つのバイトには1つの意味しか取らせない。 だけど、これでも文字化けが起こることがある。経験的には、「マルチバイトをXX文字で切り落としたい」とかやった場合。ちゃんと文字コードを判定してくれるPHPでいえばmb_subst
Amazonウィッシュリスト、設定変更ガイド |デジタルマガジン
2008.03.12 9:31 Amazonの個人情報垂れ流しは未だに続いている。リンクなどでここに来ている人も多いようなので、ウィッシュリストの変更方法のガイドを掲載しようと思う。設定の変更方法が分からないという人はこれを見て欲しい。 まずAmazonのページ、右上にある「ほしい物リスト」のボタンをクリックする。 次にページ右側にある「設定内容を変更する」のテキストリンクをクリック。 そしてログイン。 ログイン後、設定画面へと切り替わるので、ここで公開・友達だけ公開・非公開を設定する。公開したままの場合は名前などを変更しておくと良い。この名前部分はウィッシュリストの部分だけに適用されるので偽名・ニックネームで構わない。 そして最後に更新ボタンを押せば、このように名前が切り替わっている。 知人に知られると恥ずかしいものをリストしている人は今すぐ変更しよう。
海外犯罪グループ、次の標的は非接触カードか / SAFETY JAPAN [松村 喜秀氏] / 日経BP社
第17回 海外犯罪グループ、次の標的は非接触カードか 松村テクノロジー社長 松村喜秀氏 2008年2月15日 「モバイルスイカ」を不正使用した容疑者が先日、逮捕された。 「モバイルスイカ」は携帯電話の電子マネー機能。これを使って電車に乗ったり買い物したりできる。この男は他人のクレジットカード情報を盗み、偽名で入手した携帯電話からモバイルスイカのサイトにアクセスして会員登録し、本人になりすまして不正にチャージを繰り返した。 新聞報道によると、20数回にわたって計13万円以上をチャージしたという。 実はモバイルスイカの不正利用は多発しており、被害総額は約1000万円程度に達するといわれている。 というのも、携帯を使ったモバイルスイカの会員登録では、クレジットカードの暗証番号を入力する必要性がなく、またカード情報の一部しかカード会社と照合されないため、なりすましが容易なのだ。 モバイ
コンプライアンス不況 - 池田信夫 blog
木村剛氏のブログに「コンプライアンス不況」という話が出ている。特にひどいのは住宅で、建築基準法が改正されてから、9月の住宅着工は前年比44%減となり、1965年に住宅着工統計ができて以来の最低を記録した。この原因は、いうまでもなく姉歯事件でメディアにたたかれた国交省が、建築確認の審査を異常に厳格化したためである。しかも古い建物の増改築にも新しい耐震基準が適用されることになったため、改築ができなくなり、かえって住宅の老朽化が進むおそれが強い。だいたい首都圏のマンションの30%が1982年の耐震基準以前の建築物であり、「姉歯マンション」を取り壊すなら、こうしたマンションも取り壊さなければならない。新築や増改築だけを規制しても、町は安全にならないのである。 それにしても、この騒ぎの発端となった姉歯事件とは何だったのか。「共犯者」として逮捕され、会社も倒産したイーホームズの元社長の『月に響く笛:
第9回 発見不能!OSの下で動作するルートキット(前編)
セキュリティ・コンサルタント 村上 純一 前回,ルートキットを改ざん対象となるリソースの性質に基づいてタイプ0からタイプ3に分類した。本稿では,タイプ3のルートキット,すなわちハードウエアの仮想化支援機能を利用して動作するルートキットを紹介する。 仮想化技術の進展でハードウエアが進化 コンピュータの仮想化技術と言えば,VMwareを想像される方も多いのではないだろうか。近年,VMware製品に限らず米マイクロソフトのVirtual Server,XenSourceのXenなど仮想化技術の実装した製品は多数登場しており,特にサーバー統合の分野で注目を集めている。 ハードウエアの仮想化技術を平たく説明すると,1台のコンピュータ上で複数台のコンピュータが動作しているかのように見せる技術である。その実現方式は複数存在するが,現在VMM(Virtual Machine Monitor:仮想マシン・モ
第1回 ルートキットの進化を追う
セキュリティ・コンサルタント 村上 純一 昨今,ボットやスパイウエアなどのマルウエアによる被害が増加している。こうした最近のマルウエアには,ユーザーから自身の姿を隠すために,ルートキットと呼ぶソフトウエアが併用されていることが多い。ところが,ルートキットの危険性の認知はその被害の規模に反して低い。これはルートキット自体が「隠れることを目的とする」という性質を持つことに起因していると思われる。そこで,本稿ではルートキットの現状に至るまでの経緯と,その実態を紹介する。 1997年から始まった 1997年ごろに登場した初期のルートキットは,SolarisやBSD,LinuxといったUNIXを対象としたものがほとんどだった。こうした初期のルートキットは,名前から推測できるようにツールキットとしての意味合いが強く,侵入者がコンピュータのコントロールを奪取するための不正プログラムの“詰め合わせ”だった
現行の「セキュア・プログラミング講座」:IPA 独立行政法人 情報処理推進機構
「セキュア・プログラミング講座」(旧版)のコンテンツを作成して以来、 4年が経過しました。 セキュリティセンターは、文部科学省からの科学技術振興調整費財源 [1] に基づいて「ソースコード検査技術の脆弱性検出能力向上のための研究」を実施した一環として、取りまとめた内容を「セキュア・プログラミング講座」の改訂版として編集しました。ここに公開します。 http://www.ipa.go.jp/security/awareness/vendor/programmingv2/index.html 前の版は、典型的な脆弱性について紹介し、それらについての対策を説明していましたが、今般の改訂版は、ソフトウェアの開発工程に沿って、意識すべき論点を整理しました。 これには下流の工程においては、取り返しがつかない脆弱性をもってしまわないように、上流工程(要件定義、設計)から脆弱性対策の論点を意識できるように
仙石浩明の日記: chroot されたディレクトリから脱出してみる
要約すれば、 「chrootなんて簡単に抜けられるからセキュリティ目的で使っても意味ないよ。」 ってことね。そうだったのか。 そうだったのか orz Note that this call does not change the current working directory, so that `.' can be outside the tree rooted at `/'. In particular, the super-user can escape from a `chroot jail' by doing `mkdir foo; chroot foo; cd ..'. chroot するときは、そのディレクトリへ chdir しておくのが常識と 思っていたので気づいていなかった。 つまり、 故意にカレントディレクトリを chroot 外へもっていけば、 chroot された
生体認証
✓ Initiate instant domain transfer ✓ All registrars ✓ 30-day money-back guarantee ✓ Live Chat Support Protect-Law.com is a robust and commanding domain that conveys a strong sense of security and legal assurance. Its direct approach speaks to a sense of safety, particularly in the context of legal services. This domain name is highly memorable due to the clear and urgent imperative “Protect” combi
誰が攻撃しているか突き止めたい:ITpro
ブロードバンド・ルーターを介さずにパソコンをインターネットに直接つないでいたり,ルーターのポートを開けてLAN内のパソコンをサーバーとして外部に公開したりしていると,毎日のように不審なパケットが何者かによって送りつけられてくる。 つい先日も,実験のためにWebサーバーを公開したときの1カ月分のアクセス・ログを見てみたら,攻撃を受けた痕跡が大量に記録されていた。 こうしたインターネットからの攻撃を受けたとき,やるべきことは二つ。まず最優先はサーバーやパソコンが被害を受けていないかをチェックすることだ。被害を受けていたらすぐに修復し,適切なセキュリティ対策を施す。 それから,攻撃してきたのがどこの誰なのかを突き止める。攻撃パケットをいくつか受け取ったからといって目くじらを立てる必要はないが,あまりにしつこいようなら攻撃者が契約しているプロバイダに連絡するなどの手を打つことも考えたい。そのために
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
文字コードに起因する脆弱性とその対策
秀逸なXSSの練習サイト | スラド セキュリティ
Japan.internet.com コラム/DevX