SQLインジェクション攻撃が激増
SecureWorksによれば、1~3月には1日当たり100~200件程度だったSQLインジェクション攻撃が、4月に入って1000件から4000件、8000件という規模になったという。 ITセキュリティ管理サービスの米SecureWorksは7月18日、銀行や信用組合、公益企業を標的としたSQLインジェクション攻撃が、過去3カ月で激増していると発表した。 1~3月にかけて同社が遮断したSQLインジェクション攻撃は1日当たり100~200件程度だったが、4月に入って激増し、1000件から4000件、8000件という規模になったという。 攻撃の大部分は米国外から仕掛けられ、特定の組織に標的を絞る傾向が見られると同社。攻撃が巧妙になれば顧客データベースにアクセスされ、口座番号やクレジット番号、社会保障番号などが盗み出される恐れがあると解説している。 最近のSQLインジェクション攻撃としては、昨年
hoshikuzu | star_dust の書斎 XSS脆弱性修正に失敗してしまった駄目な例
■XSS脆弱性修正に失敗してしまった駄目な例 はじめに 本件は本日IPAに報告したものです。未修正の脆弱性を抱えているサイトについてつまびらかにすることは宜しくありませんし、そのことは重々承知しております。しかしながら色々な意味で非常に教訓的ですので、やや辛口の意見をここに書くことにしました。 XSS脆弱性があったのはどんなサイトでどんなページか 世界的に有数の超優良営利企業であり、主たる利益をITのセキュリティ方面で叩き出している某企業の公式サイトです。XSS脆弱性が存在するページは、その企業の収益を支える基幹ないし中核部分を担うサービスを行うCGIページです。 過去の恥辱と現在と 該当するページには、最近のことではありませんが、かつてXSS脆弱性が存在することが明らかになり広く報道された経緯があります。セキュリティ方面の企業としてはいかがなものかという評価を誰もが下すことでしょう。 そ
葉っぱ日記 - [雑記] [security] 『ネットランナー』にはまちちゃんインタビュー - 児童小銃 .456 11:41
# Hamachiya2 『 > 脆弱性の公開は、修正後が基本です。 え!それって誰ちゃんと誰ちゃんの間での基本ルールなんでしょうか! よかったら、ぼくもこんど仲間に入れてね…!』 # otsune 『>え!それって誰ちゃんと誰ちゃんの間での基本ルールなんでしょうか! いろいろ海外のSecurity界隈で話し合った結果の「脆弱性を報告する善意な人」のルールかなぁ。(当然Crackerはそのルールを守ることを期待されていないので除外される) 逆説的に、そのルールを理解出来ないし守るつもりもみられない人は「わざととぼけたCracker」と見なされる。という話。』 # Hamachiya2『 otsuneさま教えてくれてありがとう! わーキホンだったのか、ぼくそんなの知らなくてどうしよう!とか思ってたんだけど、それをきいて安心したよ! どこかの国のセキュリティの話題が好きな人たちの集まりでのロー
![葉っぱ日記 - [雑記] [security] 『ネットランナー』にはまちちゃんインタビュー - 児童小銃 .456 11:41](https://cdn-ak-scissors.b.st-hatena.com/image/square/06a15c64ba0ceec233d86d71001ebb29a9dcbf5d/height=288;version=1;width=512/https%3A%2F%2Fcdn.blog.st-hatena.com%2Fimages%2Ftheme%2Fog-image-1500.png)
a threadless kite - 糸の切れた凧
[雑談] いろいろ。「Apex Legends」にリモートコード実行エクスプロイトの可能性、大会中のプロ選手が攻撃の対象に - GIGAZINE バトルロイヤルFPS「Apex Legends」を運営するElectronic Arts(EA)は、公式大会「Apex Legends Grobal Series(ALGS)」の北米エリア決勝戦を延期すると発表しました。延期の原因は、2024年3月18日に開催された北米エリア決勝戦でゲーム中のプロ選手が突然チートを付与されるという異常事態が発生したためで、「Apex Legends」に使用されているアンチチートツールあるいはゲームエンジンの脆弱(ぜいじゃく)性を利用した任意コード実行エクスプロイトが原因ではないかと推測されています。
W-ZERO3向けウィルススキャン、1日でアウト | スラド
有料サービスとして提供する前に、安定動作するかどうか 動作確認しなかったのでしょうか?。 少なくともフリーウェアじゃなく、キャリアが提供する 有料のアプリケーションであり、しかもセキュリティーの ツールなんですからしっかりとして貰いたい。 PDAのアプリでしたが、これが携帯電話のアプリで、端末に 深刻なダメージを与える代物だったりしたらぞっとします。 ウィルコムの発表 [willcom-inc.com]によれば、 4月27日にマカフィー株式会社より提供開始された、W-ZERO3向け「マカフィー・ウイルススキャン・モバイル」について、このソフトをインストールするとW-ZERO3の動作が不安定になる場合があることが判明しましたのでお知らせいたします。 (中略) なお、今回W-ZERO3向け「マカフィー・ウイルススキャン・モバイル」をダウンロードされたお客さまにつきましては、期間中の利用料金がか
Ph3rny's Blog: Vulnerability in Gmail
I was recently attempting to mail some javascript code from my yahoo account to my gmail when I came across this vulnerability. Apparently javascript will run if it is withing the preview of the message. I only tested this sending from a yahoo account. Sending gmail to gmail appears to filter this out. This is what the message has to compose of A short subject to increase the ammount of code to ru
■ - hoshikuzu | star_dust の書斎
■Internet Explorer drag&drop 0day(その2) ■注意報■Windows XP SP2 上でも Internet Explorer drag&drop 0day は有害です■注意報■ Windows XP SP2 でも Internet Explorer drag&drop 0day は働きます。 従いまして、セキュリティホールMEMOの以下の記述は間違いです。即時に修正されています。 この問題は Windows XP SP2 にはない いかにしてこのように判断できますか この問題を最初に指摘した Matthew Murphy は、[Full-disclosure] Advisory: Internet Explorer Drag and Drop Redeux [CVE-2005-3240] (fwd) において以下のように言明しています。 There ha
エスケープしてもSQLインジェクション対策にならない - Webと何かとその近所
.NET Frameworksを利用するWebアプリケーションでの、文字コードの扱いが謎です。Webページの表示とFormへの入力だけならともかく、DBを使ったりするとよく解らんのです。 基本的に.NET Frameworksの内部*1ではUnicode*2が使われていて、生成されるWebページはUTF-8になっているようです。この場合にユーザからの入力を受け付けるページでは ユーザの入力 ↓UTF-8 ASP.NET ↓Unicode Webアプリケーション(.NET Frameworks) という感じで文字コードの変換が行われているようです。 ここにEUC-JPが使われているMySQLへのODBC接続が加わると ユーザの入力 ↓UTF-8 ASP.NET ↓Unicode Webアプリケーション(.NET Frameworks) ↓Shift_JIS MyODBC日本語変換機能版(EU
Ywcafe.net
Ywcafe.net This Page Is Under Construction - Coming Soon! Why am I seeing this 'Under Construction' page? Related Searches: Accident Lawyers Anti Wrinkle Creams Free Credit Report All Inclusive Vacation Packages 10 Best Mutual Funds Trademark Free Notice Review our Privacy Policy Service Agreement Legal Notice Privacy Policy
セキュリティの“ベンダー任せ”が危ない
不正アクセス事件が後を絶たない。11月19日には,ワコールの電子商取引サイト「ワコールオンライン」が不正アクセスを受け,同サイトから商品を購入した顧客の情報(5124人分)が奪われていたことが明らかになった(関連記事[1],[2])。奪われた情報に顧客の氏名は含まれなかったものの,2016件の決済情報(クレジットカード番号と有効期限)は漏えいしており,一部がインターネット・ゲームの決済などに不正利用されたもようだ。 ワコールはもちろん,同社からシステムの構築と運用を委託されているNECネクサソリューションズは,顧客から指摘を受けるまで不正アクセスの被害に気づいていなかった。同社では当初,「8月に実施したシステム改修でアプリケーション・レベルの脆弱(ぜいじゃく)性を混入させてしまい,そこを狙われた可能性が高い」(ワコール広報部)としていた(関連記事)が,その後の調査で2003年にも不正アクセ
ぼくはまちちゃん!とは ウェブの人気・最新記事を集めました - はてな
mixiバージョン 2005/4/19、mixi内に貼られたCSRF脆弱性を利用したトラップ。 踏むと、自分のmixi日記に「ぼくはまちちゃん!」というタイトルで発生元(トラップが貼ってある)日記へのリンクが書き込まれる。人間の好奇心が媒介となってウィルス的に広まっている。 d:id:mixi_love:20050419:p1 など参照。
「相次ぐWinnyによる情報漏えい,原因の一つは厳しすぎる社内ルール」---ISS
「個人情報保護法が全面施行されても,情報漏えい事故は減っていない。特に,Winny(ウィニー)による情報漏えい事件が相次いで報告されている。漏えいさせたユーザーに問題があることはもちろんだが,業務実態を考慮していない社内ルールが原因の一つである場合もある」---。インターネット セキュリティ システムズ(ISS)の最高技術責任者(CTO)兼エグゼクティブ セキュリティ アナリストの高橋正和氏は11月24日,報道陣向けのセミナーにおいて,個人情報保護法施行後の情報セキュリティの現状などについて解説した。以下,同氏の発言内容の一部をまとめた。 個人情報保護法が全面施行された4月以降,ファイル共有ソフトWinnyによる情報漏えい事件が頻発している。例えば,原子力発電所に関係する情報漏えい事故が3件も報道されている。漏えいした情報一つひとつはそれほど深刻なものではなくても,重要インフラ防御の観点か
NTT西日本、問い合わせサイトのSSLが「オレオレ証明書」 | スラド
ストーリー by GetSet 2005年10月23日 10時30分 レビュー時か試験時に気づくでしょ? 部門より あるAnonymous Coward曰く、"NTT西日本の料金明細サービス「Myビリング」やNTT西日本名古屋支店のページなどからリンクされている「料金に関するお問い合わせ」のページで、「個人のお客様」などのリンクをクリックすると、「Webサイトが未知の認証局により認証されています」(Firefoxの場合)との警告が出る。証明書の内容を見てみると、発行対象は「組織: NTTWEST 部門: EigyouSuisin」、発行元は「一般名称: NTTWestEigyouSuisin」となっており、自作ルート証明書で署名したいわゆる「オレオレ証明書」でサービスしているようだ。証明書の発行日が 2005/09/17 となっており、比較的最近作られたらしい。これでは入力する個人情報も盗
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
asahi.com:電話番号知らなくても電話連絡網 情報保護意識高まり - 暮らし
http://www.orkspace.net/owned/
IT news, careers, business technology, reviews
On Off and Beyond: 「きみはペット」に見るカーリーフィオリーナ三つ指幻想
Amazon.co.jp: 追跡!ネットワークセキュリティ24時 (IDGムックシリーズ): 山羽六 (著), 月刊NETWORKWORLD特別編集 (編集): 本
「スパムメールは採算が取れるうちは根絶されない」京大高倉助教授
Unicodeとサニタイジング回避テクニック