第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
「Macに媚びるやつらが嫌い」、Macファンの人気ブログがハッキング被害に
2件のMacファンサイトが「Macユーザー」を名乗る人物にハッキングされ、内容を書き換えられたと、McAfeeが11月27日のブログで伝えた。 McAfeeによると、ハッキングされたのは有名なMac関連ブログの「http://www.applematters.com/」と「http://iphonematters.com/」。 書き換えられたページには「I’M A MAC USER. I JUST HAVE A STRONG DISTASTE FOR MAC SYCOPHANTS」(わたしはMacユーザーだ。Macに媚びるやつらを嫌悪する」と書かれている。 Mac関連サイトが攻撃の標的になったのは恐らくこれが初めてだろうとMcAfeeは解説している。11月はMacに感染するトロイの木馬出現で、Macを狙った本格的なマルウェア攻撃が報告されるなど、Apple絡みのセキュリティ問題が相次いで発
クリックしなくてもシステム乗っ取り:マルウェアが有名サイトに続々侵入 | WIRED VISION
クリックしなくてもシステム乗っ取り:マルウェアが有名サイトに続々侵入 2007年11月19日 IT コメント: トラックバック (0) Betsy Schiffman これまで、オンライン広告と言えばせいぜい目障りで、メモリを食い、ユーザーの気を散らすくらいのことだった。だが新種のバナー広告群はもっと悪質で、ユーザーのパソコンを乗っ取っていじめ抜き、ついには相手をアンチウイルス・ソフトウェアの購入に同意させてしまう。 しかもこうした広告は、ユーザーがクリックしなくても、その悪意ある任務を遂行してしまうのだ。 マルウェアを仕込んだ広告は、さまざまな合法のウェブサイト上で確認されている。英国の雑誌『The Economist』誌のサイトから、米メジャーリーグの『MLB.com』、ニュースポータル『Canada.com』まで、対象もさまざまだ。 クラッカーたちは、騙しのテクニックと『Flash』
不審なメールに要注意、トロイの木馬「新首相」:CodeZine
シマンテックは26日、福田康夫総裁の首相就任を利用したバッグドア型のトロイの木馬が出回っていると発表した。脅威レベルは最低レベルの1としている。 これは、福田新首相を送信者と偽った不審なメールが配信されているもので、メールに添付された圧縮ファイルを解凍すると、マルウェアが仕込まれる可能性がある。同メールはアジアとの外交に関する内容で、末尾には事務所の実際の住所や電話番号が記してあり、信憑性を高めようとしている。添付ファイル名は「mofa.zip」で、この「MOFA」は、外務省(Ministry of Foreign Affairs)の頭文字を語源としたものと考えられる。 シマンテックではウイルス対策ソフトを最新アップデートしておくほか、予想外のメールを受信したときは削除することを推奨している。 また福田首相公式サイトでも、本件に関する注意を呼びかけている。 Symantec Sec
ぼくはまちちゃん!(Hatena) - Port801 (初心者向け)セキュリティ勉強会 Hamachiya2編
こんにちはこんにちは!! 先日、Twitterで声をかけてもらって、 第一回 Port801 セキュリティ勉強会っていうのに参加してきたよ!! (↑pw: security) そこで、すこし喋った時のビデオを頂いたので、もったいないので公開しちゃいますね! プレゼンだとかそういうの慣れてなくて、ぐだぐだな感じだけど、 よかったら何かの参考にしたり、晩ご飯のおかずにしてください>< Port801 セキュリティ勉強会 - Hamachiya2 その1 (http編) Port801 セキュリティ勉強会 - Hamachiya2 その2 (CSRF編1) Port801 セキュリティ勉強会 - Hamachiya2 その3 (CSRF編2) Port801 セキュリティ勉強会 - Hamachiya2 その4 (XSS編1) Port801 セキュリティ勉強会 - Hamachiya2 その5
窓の杜 - 【NEWS】フリーのウイルス対策ソフト「AVG Anti-Virus Free Edition」の日本語版が公開
(株)コージェンメディアは8日、フリーのウイルス対策ソフト「AVG Anti-Virus Free Edition」の日本語版を公開した。Windows 98/Me/NT/2000/XP/Vistaに対応し、非商用目的に限り無償で利用可能。現在、同社のホームページからダウンロードできる。なお、すでに英語版をインストールしている場合、日本語版のインストール前にあらかじめ英語版をアンインストールしておく必要があるとのこと。 「AVG Anti-Virus Free Edition」は、チェコ共和国のGRISOFT, s.r.o.が開発するウイルス対策ソフト。常駐してリアルタイムにウイルス侵入を監視できるほか、ドライブやフォルダ単位の手動スキャン、受信メールのスキャン、スケジュールによるスキャンなどの機能を備えている。 なお8日20時現在、編集部にてダウンロードを試したところ、サーバー混雑のため
PHPによる攻撃コードが出現--GIFファイルに隠される
セキュリティ研究者らは米国時間6月19日、PHPによって記述され、GIFファイルに埋め込まれた攻撃コードを大手の画像ホスティングサイトで発見した。SANS Internet Storm Centerへの投稿によると、この攻撃コードはファイルの先頭に正規の画像を配置することで監視の目をすり抜けたという。 同社のセキュリティブログでは「これは、ネットワークセキュリティツールを迂回し、警報を鳴らしたり注意を引いたりすることなく攻撃コードを他者に引き渡す狡猾な方法だ」と説明されている。 悪意のある攻撃者によってPHPで記述された攻撃スクリプトは画像ファイルに埋め込まれる。PHPは動的なウェブサイトを作成するプログラミング言語としてよく用いられている。 SANS Instituteの最高調査責任者(Chief Research Officer)であるJohannes Ullrich氏は、この手の悪質
Windows版Safari「思ったよりぜい弱」に非難殺到 - bogusnews
米Apple社が公開した同社製ブラウザ「Safari」のWindows版が、 「あまりにぜい弱すぎる」 として非難の的になっている。なかには「Safariがかわいそう」「人間とは思えない非道さ」との指摘もあり、同社は対応に追われている。 調べによると、Windows版Safariリリースにあたっては 「おとっつぁん、Windows版ができたわよ」 「ゴホッゴホッ。 いつもすまないねぇ…こんなとき、まともな開発者ともっとたくさんのユーザーがいてくれれば…」 「おとっつぁん! それは言わない約束でしょ!」 「す、すまん…。 でも、わしがもっと早くオープンで、プリエンプティブマルチタスクなOSになっていれば、おまえには苦労をかけずにすんだのに…」 「おとっつぁん…。 おとっつぁんはカラダが弱いんだから、今はゆっくり休んでくれればいいのよ…」 「ひゃーはっはっはっは! くだらねえ人情劇はそこまでだ
あっちのほーが、たーのーしーそーだなー - カナかな団首領の自転車置き場ダイアリー
そっかー、住所・氏名・年齢・勤務先くらいは、前もって明らかにしておくと、コワイモノなしなのかもしれないんだなー。 「お前の身元、割り出すぞ」 「プロフィールに書いて有りますが……」 「あ……」 実名て、名前だけ明かしておけば好いものなのか。名前しか明かしてない人は、住所まで明かしている人に負けるのか。住所・電話番号・勤務先まで明かしている人は最強なのか。そういう人は、他人の批判とかしないのか。そうでもないんだよな。裁判してる人も居るしな。 素性を明かして、なおかつ、批判を堂々と繰り広げる人って、強い人なんだろな。
YouTube動画ファイルを装ったトロイの木馬が出現
YouTubeの動画を装ったファイルが出回っており、これをダウンロードするとコンピュータを危険にさらす恐れがあると、Trend Microが警告している。問題のファイルは、実行された場合、ハイテクが滅んだ後の社会を描いたウェブテレビシリーズ「Afterworld」の1エピソードを掲載したYouTubeのページを表示し、その背後で別のサーバに接続してトロイの木馬をダウンロードする。ウェブセキュリティ企業のWebsenseもこのトロイの木馬を追跡調査し、もともとはかつてのソビエト連邦に割り当てられ、現在でも利用されている「.su」ドメインが出所であることを突き止めている。 ネット上のメディアファイルを利用して一般ユーザーのコンピュータに感染するマルウェアは、今回が初めてではない。2006年12月には、Appleの「QuickTime」が搭載したJavaScript機能の脆弱性を利用したワームが
ボットネット脅威に対抗する妙案は「ネット免許制」? | WIRED VISION
ボットネット脅威に対抗する妙案は「ネット免許制」? 2007年6月 8日 社会 コメント: トラックバック (0) 『Internet2』のセキュリティー責任者、Joe St Sauver氏は、サンフランシスコで5月末に開催された『Counter e-Crime Operations Summit』の参加者に向けて、全米規模でパソコンの健康診断を行なうクリニックのビジョンを説明した。 Photo: Ryan Singel サンフランシスコ発――セキュリティー企業、法執行機関、銀行、電子商取引サイトなどで、インターネット犯罪と最前線で戦う人々が、5月30〜31日(米国時間)に開催された秘密めいた会議に集まり、サイバー犯罪を撲滅するための新しい方策について協議した。インターネットがマルウェア(悪意のあるソフトウェア)の感染や詐欺などを誘発する危険な温床になっていることについては、ほぼ全員が同
Googleによるマルウェア論文:Geekなぺーじ
「The Ghost In The Browser Analysis of Web-based Malware」というUsenixの論文がありました。 PDFがダウンロード可能なので、興味のある方は読んでみる事をお勧めします。 この論文は、HotBots 07というボットネットに関してのWorkshopで、他に発表されていた論文も面白そうでした(まだ他のは読んでいません)。 NATやファイアウォールの普及によって、最近ではワーム(Worm)の勢いが衰えてきて、マルウェア作者にとってはWebが活動の主体になりつつあるそうです。 この論文は、Google社の社員5人によって書かれています。 Googleのクローラが収集しているWebページリポジトリを利用して解析を行った論文です。 この論文では、ふるいにかけたURLをバーチャルマシン上のInternet Explorerに渡して実行状況をモニタ
おさかなラボ - 人間様には見えなくて、spamボットには見える不思議なCAPTCHA
それは偶然発見した。なんとGmailのパスワード入力画面にもちゃんと歪んだ画像CAPTCHAが実装されているのだ。しかもほとんどのボットに見え、ほとんどの人間に見えないCAPTCHAである。ちょっとした工夫でCAPTCHAの欠点を補い、利点を生かしているのだ。見つけた時、思わず拍手してしまった。 事の始まりはこうだ。さっき、Gmailにログインしようとしたら、以下のようなエラーが出た。 平凡なエラーだ。しかしまずいことに、2度目、3度目も間違えた。そこでふと「Gmailは何回くらいでアカウントがロックされるんだろう」という疑問が湧いた。そもそも自分には、ブルートフォースアタックに対抗するにはアカウントロックしかないと考えていた。 するとなんと、10回目のミスで、次の画面が現れたのだ。 アカウントがロックされる代わりに、突然CAPTCHAが現れた。 つまりこうだ。パスワードを10回
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ネトサン XPのキーがGoogleで検索できてしまう
http://www.kingsoft.jp/release/070829.htm
How to Clean Up a Windows Spyware Infestation
僕は見ていた : WordPress の弱点
How strong is your password? � WordPress.com
JavaScript++かも日記 - 1997年からの
うんこくさいドットコム