セブンネットショッピング、「デモ用ソースコード」が流出、XSS脆弱性も 「個人情報流出はない」
セブン&アイグループが12月8日にオープンしたECサイト「セブンネットショッピング」のソースコードが流出したとネットで騒ぎになっている。同サイトの広報担当者によると、流出したのは「検証で使っていたデモ用コードで、本番用のものではない」。個人情報流出の可能性もないとしている。 デモ用のソースコードが公開サーバに置いてあり、誰でもアクセスできる状態になっていた。同社は12月17日午前、ソースコードに外部からアクセスがあったことに気付き、すぐに公開サーバから削除。「データベース等非公開サーバに侵入されたわけではなく、個人情報流出の危険はない」としている。 同サイトについては14日ごろから、XSS(クロスサイトスクリプティング)脆弱性も指摘されていた。「個人情報を扱うページではXSS脆弱性はなく、個人情報の流出はないが、そうでないページに脆弱性があった」とし、15日までに対策を取ったという。 届け
もいちどイチから! HTTP基礎訓練中 連載インデックス - @IT -
XSSは知ってても、それだけじゃ困ります? もいちどイチから! HTTP基礎訓練中(1) Webアプリのセキュリティについてもっと詳しく知りたいけれど、まず何を勉強すればいいの? そんな疑問に応える新連載! (2007/9/28) リクエストをいじれば脆弱性の仕組みが見えるのだ! もいちどイチから! HTTP基礎訓練中(2) Webサイトを見るということは、HTTPのやりとりを行っているということ。それをのぞき見していじってみるとさらに理解が深まります (2007/10/26) Ajaxのセキュリティ、特殊なものだと思ってました もいちどイチから! HTTP基礎訓練中(3) AjaxでなければWeb2.0ではない、といわんばかりのAjaxブーム。対抗するには「セキュリティ2.0」が必要なのか、勉強会で確認! (2007/12/7)
「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起
「クロスサイト・スクリプティング(XSS)脆弱性を悪用された場合の被害例としては『Cookieを盗まれる』ことがよく挙げられる。しかし,実際にはもっと深刻な被害を受ける恐れがある。管理者や開発者はその危険性を十分に認識して,対策を施す必要がある」――。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は11月10日,ITproの取材に対して,XSS脆弱性の脅威を強調した。 さまざまなWebサイト(Webアプリケーション)において,XSS脆弱性が相次いで見つかっている。その背景には,開発者などの認識不足があると徳丸氏は指摘する。「適切に対策を施すには,XSS脆弱性のリスクを把握する必要がある」(徳丸氏)。しかしながら,実際には,XSS脆弱性のリスクを過小評価しているケースが少なくないという。 例えば,「(自分たちが運営している)携帯電話向けサイトでは(携帯電話上で
「Web 2.0」導入が進む中、後回しにされるセキュリティ - CNET Japan
「Web 2.0」は、ウェブサイトで実現できることの限界を拡張する新技術として、導入が急速に進んでいる。しかし、機能を追加しようと急ぐあまり、セキュリティが後回しにされていると、専門家は指摘する。 Web 2.0の流行には、高額な参加費のカンファレンス、大量に生まれる新興企業、革新的な企業(「MySpace」を保有していたIntermix Mediaや「Writely」を開発したUpstartleなど)の巨額買収といった特徴から、1990年のインターネットブームを思い起こさせるところがある。そして、また別の面でこうした既視感をいっそう強く抱いている専門家たちもいる。デスクトップソフトウェアが登場して間もない頃と同じように、開発の推進力となっているのはすべて機能に関することで、セキュリティの確保はおろそかにされていると、専門家たちは話す。 ウェブセキュリティ企業のSPI Dynamicsでリ
SNSがXSS攻撃の格好の標的に――F-Secure
MySpaceを狙った攻撃が相次いだことを受け、F-Secureがほかの人気SNSを調べたところ、ワーム作成に利用できる脆弱性が幾つも見つかったという。 人気ソーシャルネットワーキングサイト(SNS)のMySpaceを標的とした攻撃が相次いで浮上する中、セキュリティ企業のF-Secureは、ほかのSNSにもこうした攻撃に悪用されかねない脆弱性が多数存在すると報告した。 F-Secureによると、Webサイトに存在するクロスサイトスクリプティング(XSS)の脆弱性を突いたWebアプリケーションワームが、新手のマルウェアとして浮上。SNSが格好の標的になっており、MySpaceを標的としたワームは既に2件出現しているという。 このうち昨年10月に問題になった「Samy」はMySpaceで勝手に友達を増やしてしまうワーム。数日前に登場した「Flash」ワームはFlashの脆弱性を突いて、ユーザー
フィッシングに悪用されたPayPalのXSS脆弱性,2年間放置されていた可能性あり
英Netcraftは現地時間7月20日,同社が6月に警告した米PayPalのWebサイトの脆弱性(セキュリティ・ホール)は,2年間放置されていた可能性があることを明らかにした(関連記事:フィッシング詐欺に新手法)。PayPalでは同社サイトに見つかったクロスサイト・スクリプティング(XSS)の脆弱性を6月に修正したが,この脆弱性自体は2年前に第三者によって報告されていたという。 PayPalのWebサイトに見つかったようなXSS脆弱性を悪用すれば,攻撃者は細工を施したリンク(URL)をユーザーにクリックさせることで,任意のスクリプトやHTMLをユーザーのブラウザに送り込める。これにより,本物のWebサイトから偽サイトへユーザーを誘導することが可能となる。つまり,フィッシング詐欺に悪用できる。 このXSS脆弱性を突くフィッシング目的の偽メールが出回ったことで,Netcraftは脆弱性の存在を
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA、セミナー受付フォームにXSSの脆弱性が見つかる