第6回 アクセスポイント利用中でもほかの機能を使える?――「N-06A」
質問:アクセスポイント利用時に通話やメールは利用できるか 「N-06A」を無線LANアクセスポイントとして利用する「アクセスポイントモード」の起動中に、ほかの機能は利用できるのだろうか。アクセスポイントモードの動作中は、マルチタスクは原則として無効になり、別の機能は起動できない。メールは受信できず、通知もされない。ただし音声着信した際に応答することはでき、通話中も(アクセスポイントモード経由の)インターネット接続は途絶えない。 FOMAは音声通話とパケット通信を同時に行える仕様だが、アクセスポイントの動作時は、パケット通信がFOMA網ではなくmoperaUに接続されるので、通知も受信できないのだろう。アクセスポイントモード利用中に届いたメールをすぐに読みたければ、アクセスポイントモード終了後に「iモード問い合わせ」を実行するのが確実だ。 質問:アクセスポイントモードの電波が届く範囲は? N
第1回 無線LANにかかる料金はいくら?――「N-06A」
NEC製の「N-06A」。ボディカラーはMaster Black、Active Red、Supreme Silverの3色 質問:無線LANで利用できるサービスは 「N-06A」は802.11b/g対応の無線LAN機能を使った通信が可能。ドコモの無線LAN接続サービスの「ホームU」を利用すれば、下り最大54Mbpsの高速通信や最大50Mバイトの大容量iモーションのダウンロードが可能になる。ほかの公衆無線LANサービスと異なり、ホームUエリアではiモードを利用できるのも特徴だ。 つまり、ホームUで接続設定された無線LANエリア内では、通常のFOMA網と同じサービスを利用できる。 ホームUユーザー同士がホームUエリア内で通話した場合の通話料は無料になるほか、ホームUエリアからほかのケータイや一般電話には3割安くかけられる。 なお、ホームU以外の無線LANサービスでは、フルブラウザのみが無線LA
iモードブラウザ2.0の「かんたん認証」を利用した不正アクセス手法が発見される : CNETニュース : ニュース : ネット&デジタル : YOMIURI ONLINE(読売新聞)
HASHコンサルティングは11月24日、NTTドコモのiモードIDを利用した認証機能(かんたんログイン)について、不正アクセスが可能となる場合があると発表した。iモードブラウザ2.0のJavaScriptとDNSリバインディング問題の組み合わせにより実現する。同社ではモバイルサイト運営者に対して至急対策を取るよう呼びかけている。 かんたんログインとは、契約者の固有IDを利用した簡易認証機能。ユーザーがIDやパスワードを入力しなくても認証ができることから、モバイルサイトでは広く採用されている。NTTドコモの場合はiモードIDと呼ばれる端末固有の7ケタの番号を使っている。 NTTドコモでは2009年5月以降に発売した端末において、JavaScriptなどに対応した「iモードブラウザ2.0」と呼ばれる新ブラウザを採用。10月末からJavaScriptが利用可能となっている。また、DNSリバイ
高木浩光@自宅の日記 - ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ
■ ドコモはXMLHttpRequestにiモードIDを載せるのを止めるべきだ (建設予定地) (27日追記)建設計画廃止。XMLHttpRequestだけ止めても効果がないことを理解したため。 (29日追記)何が言いたかったか、後日書く。
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp
文字コードが引き起こす問題点は、これまで説明したような比較の一致・不一致といったソフトウェアの処理上のものだけでなく、人間に対する視覚的な効果という点でも強く影響を与え、攻撃者にとっての強力な道具となることがあります。 今回および次回で、そのような文字コードが引き起こす視覚的な問題点を紹介します。 視覚的に似た文字 見かけのよく似た文字は、フィッシングなどによく利用されます。典型的な例としては、アルファベット小文字のl(エル)と数字の1などがあります。たとえば、http://bank1.example.jp/ というURLのオンラインバンクがあったとすると、攻撃者は http://bankl.example.jp/ というURLを使ってフィッシングを企むということは容易に想像できると思います。 もちろん、収録している文字数が増えれば増えるだけ、このように見かけのよく似た文字が存在する率も高
![第9回 文字コードが引き起こす表示上の問題点[前編] | gihyo.jp](https://cdn-ak-scissors.b.st-hatena.com/image/square/762fdaf17889a9d833f0bd06908e69f5624e1f46/height=288;version=1;width=512/https%3A%2F%2Fgihyo.jp%2Fassets%2Fimages%2FICON%2F2009%2F343_charcode.png)
i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
「2009年版 Webアプリケーション脆弱性傾向」ホワイトペーパーお申し込み
お問い合わせの前に 【個人情報ご提供にあたってのご同意事項】 個人情報取り扱い会社の名称 京セラコミュニケーションシステム株式会社 個人情報保護管理者の役職、氏名および連絡先 管理本部副本部長 村上 智 TEL:075-623-0318 個人情報の利用目的 お客様のお申し込みの受け付け、お申し込みへの対応、これらの管理に使用させていただくほか、弊社の製品・サービスまたは弊社のイベント、キャンペーンおよびセミナーに関する情報提供に使用させていただく場合があります。 個人情報の第三者への提供について 弊社は、以下の場合は除いて、あらかじめ同意を得ることなく個人情報を第三者に提供することはありません。 1)法令に基づく場合。 2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 3)公衆衛生の向上または児童の健全な育成の推進のために特
Hacking CSRF Tokens using CSS History Hack
Update: Security researchers Sirdarckcat and Gareth were kind enough to share the code for a pure CSS based CSRF token finder here . This is stealthier than my PoC below, which used a combination of both JS and CSS. So, it will still work even if you disable javascript and you are not safe anymore . To make this PoC more responsive to the client, you need to use multiple CSS stylesheets using the
セッション管理無しのケータイサイト | 水無月ばけらのえび日記
公開: 2009年7月15日18時50分頃 「携帯電話向けWebアプリのセッション管理はどうなっているか (d.hatena.ne.jp)」。 PHP×携帯サイト 実践アプリケーション集 (www.amazon.co.jp)のアプリケーションが、ことごとく個体識別番号に依存した作りになっているらしいというお話。携帯電話向けサイトでは、Cookie非対応端末のために、セッションIDがURLに含まれるという作りが一般的です。が、この本ではそういうことはしないで、アクセスごとに個体識別番号を見る設計になっているのだそうで。 個体識別番号に依存した認証については、高木さんの「無責任なキャリア様に群がるIDクレクレ乞食 ―― 退化してゆく日本のWeb開発者 (takagi-hiromitsu.jp)」でも問題が指摘されていますが、ここではさらに「標準的なセキュリテイ対策手法が使用できない」ことが指摘
PHP6移行で増える脆弱なWebアプリ
(Last Updated On: 2009年9月19日)PHP6のリリースはまだまだ先の話なのですが、PHP6への移行で脆弱なWebアプリが大量に発生する可能性があります。 理由は2つ – mb_check_encodingで全ての入力文字エンコーディングが正しいかチェックしていない – PHP6のhtmlentities/htmlspecialcharにはマルチバイト文字チェックコードが削除される PHPのコードを書いている人も自覚していないと思いますが、この影響はかなりあると考えられます。 近日中にgihyo.jpのセキュリティブログに詳しい情報を記述します。 追記:PHP5.3のコードを見てみたら、バックポートすべきではないのにバックポートされてました。つまり、PHP6がリリースされたらと言う問題ではなく、今ある問題になっています。一応、改修を提案するつもりですがどうなるか判りませ
携帯電話向けWebアプリのセッション管理はどうなっているか - ockeghem's blog
最近購入したPHP×携帯サイト 実践アプリケーション集を読んでいて妙な感じがしたので、この感覚はなんだろうと思っていたら、その理由に気づいた。本書に出てくるアプリケーションは、PHPのセッション管理機構を使っていないのだ。そんな馬鹿なと思ったが、目次にも索引にも「セッション」や「session」という語は出てこない。サンプルプログラムのCD-ROM上で session を検索しても出てこないので、セッションはどこでも使っていないのだろう。 そうは言っても、本書にはブログやSNSなど認証が必要なアプリケーションも登場する。本書で採用している認証方式はこうだ。 携帯電話の個体識別番号を用いた、いわゆる「かんたんログイン」のみを使う 認証状態をセッション管理機構で維持しない。全てのページで毎回認証する そのため、「iモードID」など、ユーザに確認せずに自動的に送信されるIDを用いる つまり、全て
ウェブ健康診断 - 財団法人 地方自治情報センター(LASDEC)
地方公共団体が運営するホームぺージの改ざん防止等を図り、安定的な電子行政に資するため、ウェブアプリケーションの脆弱性の有無を診断し、その対処方法をお知らせします。ハッカーからの攻撃等による個人情報漏えいの危険性がある脆弱性についても診断できます。 ※診断実施希望団体(平成20年度)の募集は終了しました。 ウェブ健康診断とは? 「ウェブ健康診断」とは、地方公共団体が運営するWebアプリケーションについて、インターネットを介して脆弱性の有無を診断するものです。地方公共団体であれば、無償で診断を受けることができます。本事業は、人間に例えるなら、その名のとおり 「健康診断」にあたるような位置づけの診断です。人間ドックに比べたら精密ではありませんが、昨年度事業での診断結果傾向等を考慮しながら重要な診断項目を網羅してあります。基本的な対策が出来ているかどうかを診断するものとお捉えください。 We
UTF-16の動的コンテンツにおけるXSS - masa141421356’s blog
charset指定を明示しない動的なUTF-16のHTMLでは、 動的に生成した部分に1バイトで文字を表現できるエンコーディングで HTMLのタグと認識できるようなバイト列を注入することでXSSが成立する。 例: UTF-16(BE,BOMなし)で生成されるレスポンスが <html><head> <title>ユーザー入力文字列</title> </head> <body>AA</body></html>の場合。(便宜上改行していますが実際には改行されていないものと思ってください) ユーザー入力文字列のUTF-16でのバイト列が hex表記で 3C 2F 74 69 74 6C 65 3E 3C 73 63 72 69 70 74 3E 61 6C 65 72 74 28 64 6F 63 75 6D 65 6E 74 2E 63 6F 6F 6B 69 65 29 3C 2F 73 63
ASP.Net 4: Change the Default Encoder
Free course demos allow you to see course content, watch world-class instructors in action, and evaluate course difficulty.
第27回 見過ごされているWebアプリケーションのバリデーションの欠陥 | gihyo.jp
今回解説するWebアプリケーションのバリデーションの欠陥はPHPに限った問題ではありません。多くのプラットフォームのWebアプリケーションで見過ごされているバリデーション仕様の欠陥です。それは文字エンコーディングのチェックです。 文字エンコーディングバリデーションの必要性 筆者の知る限りでは、2004年に相次いで今まで知られていなかったアタックベクタ(攻撃経路)が見つかりました。2004年に多く見つかった新しいアタックベクタとは不正な文字エンコーディングを利用した攻撃です。不正な文字列を利用したJavaScriptインジェクションやSQLインジェクションの攻撃手法が公開されました。 文字エンコーディングを利用した攻撃自体は当時でも新しい攻撃手法ではありませんでした。文字エンコーディングを利用した攻撃は、少なくとも2000年から広く知られていた攻撃手法でした。ブラウザが文字エンコーディングを
<script type="text/javascript"> - Bing
結果がありません: <script type="text/javascript">スペルを確認するか、別のキーワードを試してみてください Ref A: 66f8a2104aaa43028d71784619f7dc14 Ref B: PUSEEAP00002CAB Ref C: 2024-09-29T00:40:48Z
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
MicrosoftのウェブブラウザベースOS:Gazelle
