[デブサミ2012]趣味と実益の脆弱性発見神戸ITフェスティバル講演 http://kobe-it-fes.org/kif2014/seminar/entry-197.html
![[デブサミ2012]趣味と実益の脆弱性発見](https://cdn-ak-scissors.b.st-hatena.com/image/square/015ac7c0c6da545a8500c8b3b7ff71205daa1e44/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fdevsumi-hasegawa-120216203637-phpapp01-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
[柔軟すぎる]IEのCSS解釈で起こるXSS
[柔軟すぎる]IEのCSS解釈で起こるXSS:教科書に載らないWebアプリケーションセキュリティ(3)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) なぜか奥深いIEのXSSの話 皆さんこんにちは、はせがわようすけです。 第1回「[これはひどい]IEの引用符の解釈」と第2回「[無視できない]IEのContent-Type無視」でInternet Explorer(IE)の独自の機能がクロスサイトスクリプティング(XSS:cross-site scripting)を引き起こす可能性があるということについて説明してきました。 第3回でも引き続き、IE特有の機能がXSSを引き起こす例ということで、
![[柔軟すぎる]IEのCSS解釈で起こるXSS](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
[AS3.0] RSA暗号化して通信経路途中での改ざんを防止
[AS3.0] RSA暗号化して通信経路途中での改ざんを防止 例えば、ゲームのセーブデータをサーバで保存していて 「アイテム1個持ってます」という情報をSWFで受け取る場合、 SWFに届く前に「アイテム100個持ってます」に改竄されるとまずいということで暗号化することにしました。 RSA暗号は「暗号」と「署名」の2つの使い方ができます。 ▼暗号 公開鍵を使って誰でも暗号化できるが、復号できるのは秘密鍵を持っている人だけ。 SWFからサーバに送るデータを途中で読み取られないようにする場合などに使うと思います。 SWFに埋め込んだ公開鍵で暗号化して送り、サーバ側にある秘密鍵で解読というような使い方。 こちらが参考になります:suz-lab - blog: AS3で暗号/復号化(RSA版) ▼署名 秘密鍵を使って暗号化したデータを、公開鍵で復号する。 暗号文を復号した結果が平文と同じなら、正しい
![[AS3.0] RSA暗号化して通信経路途中での改ざんを防止](https://cdn-ak-scissors.b.st-hatena.com/image/square/8c167577147cc4603ba0f3fcc03731ee912a9f36/height=288;version=1;width=512/https%3A%2F%2Fwww.kyucon.com%2Fcgi-bin%2Fblog%2Fmt-static%2Fsupport%2Ftheme_static%2Frainier%2Fimg%2Fsiteicon-sample.png)
2008-11-02
ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた. 出来ればフリーで,無ければ有償でもいいので.いや,やっぱりフリーで... 調べて実際にインストールや使ってみた順に載せてみます. Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな.有名だし. でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使
高木浩光@自宅の日記 - MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を
■ MacユーザはIPv6を切るかnet.inet6.ip6.use_tempaddr=1の設定を Mac OS Xの初期設定の危険性 私の周囲に物理的に近づくことのできる人は、私が使っているノート型コンピュータの無線LANインターフェイスのMACアドレス*1を知ることができる。たとえば、セミナー等で私が講演している会場に来れば、講演中に私が無線LANのスイッチを切り忘れていたなら、無線LANのパケットを傍受することで私のMACアドレスを知るだろう*2。それだけでは他の人のアドレスと混じって区別できないだろうが、別の場所で再び同じことをすれば、両方に存在したものが私のMACアドレスだ。 これはもう隠しようがないので、先に自ら暴露してしまおう。「00:1f:5b:d1:ec:bd」は私のMACアドレスだ(図1)。 これを暴露するのはリスクのある行為であり、お薦め出来ない。また、仮に他人のMA
AIRでパスワードを保存する時はEncryptedLocalStoreを使うべき - プログラミングとかそんなの
WebサービスにアクセスするAIRアプリを作成していると、ユーザーの利便性を考慮してWebサービスのユーザー名とパスワードを保存しておきたいと思う時があります。 そうした時のために、AIRにはEncryptedLocalStoreクラスが用意されています。このクラスはOS固有のデータ保護APIを使用してデータを保護する仕組みを提供しています。 このクラスを通して保存されたデータは、他のユーザーやアプリケーションが解釈できないように暗号化して保存されます。具体的には128 ビットの AES-CBC暗号 が使われています。 AES暗号のような共通鍵暗号を使う場合、アプリケーションに固定の鍵を組み込んでおくような実装をしがちですが、そういった実装だとアプリケーションを解析すれば鍵を取得出来るため、アプリケーションが保存しているWebサービスのユーザー名とパスワードを回収するような悪意のあるプログ
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイト運営入門
「安全なウェブサイト運営入門」にOSコマンド・インジェクションの脆弱性が存在することが判明しました。 この脆弱性を悪用された場合、悪意ある第三者の攻撃により「安全なウェブサイト運営入門」が動作しているコンピュータ上でOSコマンドが実行されてしまう危険性があります。 このことから「安全なウェブサイト運営入門」は使用しないでください。 脆弱性の説明 「安全なウェブサイト運営入門」が、細工されたセーブデータを読み込むことで任意の OSコマンドを実行される可能性があります。 脆弱性がもたらす脅威 悪意のある第三者によってコンピュータが任意に操作される可能性があります。 対策方法 「安全なウェブサイト運営入門」を使用しない。 「安全なウェブサイト運営入門」の開発およびサポートは終了いたしました。そのため、今後本脆弱性の対策版を提供する予定はありません。「安全なウェブサイト運営入門」の使用を停止してく
南京錠の鎖 - Radium Software
Kevin Kelly's Lifestream - One Gate, Multiple Locks 門に鍵を付けたいのだけれど,複数の人がその鍵を開けられるようにしたい。 そんなときは,複数の南京錠をチェーン状に繋げよう。 こうすれば,どれかの錠を外すだけで門を開けることができるようになる。 もし,どれかの鍵を無くしてしまっても,その錠だけを取り替えれば,セキュリティは守られる。合鍵だと,錠とすべての合鍵を取り替えなきゃならない。 こういうインプロビゼーションは大好き。一目では何をしたいのか分からないところもいいね。
ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い
フォルダ/USBメモリ暗号化「Folder Encryption」 | 教えて君.net
パスワードによってフォルダやUSBメモリを暗号化するフリーソフト「Folder Encryption」は、常用を考慮した使い勝手の良さが最大の特徴。職場マシンやノーパソ、USBメモリ内の機密ファイルなどを盗難から防ぐために活用して欲しい。 「Folder Encryption」は、機密ファイルを入れたフォルダ内に本体を置いて利用する。本体を起動してパスを入力すればフォルダ内ファイルの暗号化が行われ、後日もう一度本体ファイルを起動してパスを入力すれば復号化、という動作だ。復号化後の再暗号化はタスクトレイアイコンから一発だし、動作原理上ネットカフェなどのマシンでも問題なく利用できる。使い勝手が非常に良い暗号化ツールだぞ。 参考:安定していて強力なUSBメモリ暗号化ツールが欲しい。USBメモリ全体を暗号化する予定 :教えて君.net TrueCryptをポータブル化してUSBメモリ全体を暗号化す
レジーナクリニック福岡博多天神院|口コミと評判は?キャンペーン&料金や効果、店舗へのアクセス(行き方)などレジクリについてのまとめ|
しっかりと早く脱毛するには医療脱毛!医療脱毛は脱毛エステと比べて高いイメージがあるかもしれませんが、レジーナクリニックなら月々なんと6,300円! 今ならキャッシュレス(paypay)の導入で更に契約金の2%還元!お得にしっかり脱毛して綺麗なスベスベ肌を手に入れよう☆
javascript - パスワードを確認するbookmarklet : 404 Blog Not Found
2007年11月24日15:30 カテゴリLightweight LanguagesTips javascript - パスワードを確認するbookmarklet これの改良版です。 アスタリスクで隠されたパスワードを確認する方法 通常、このようなフォーム内のパスワード部分に入力した文字は盗み見防止のため、「********」のようなアスタリスクになって文字が隠されるようになっていますが、しばしば、この入力したパスワードを確認したい状況になる場合も少なくありません。 ブックマークレット: Check Password ソース: javascript:(function(){ var F=document.getElementsByTagName('input'), a=[]; for (var i=0,l=F.length;i<l;i++){ if(F[i].type.toLowerCas
アスタリスクで隠されたパスワードを確認する方法 [K'conf]
ログインが必要なサイトの多くは、IDとパスワードを入力するフォームが設置されています。 通常、このようなフォーム内のパスワード部分に入力した文字は盗み見防止のため、「********」のようなアスタリスクになって文字が隠されるようになっていますが、しばしば、この入力したパスワードを確認したい状況になる場合も少なくありません。 このようなケースに役立つハックの紹介。 以下のJavaScriptをアドレスバーに入力すると、次のようなダイアログ内にパスワードが表示されます。 javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() ==
![アスタリスクで隠されたパスワードを確認する方法 [K'conf]](https://cdn-ak-scissors.b.st-hatena.com/image/square/1a87d5887c466cccb0b849babb90931bdfa1b8c8/height=288;version=1;width=512/http%3A%2F%2Fkenz0.s201.xrea.com%2Fimage%2Fweblog%2F071121%2F2.gif)
IE5.xのフォーム入力パスワード保存を無効にさせたい
Internet Explorerの機能の1つ,パスワード保存機能は入力の手間を軽減させる便利な機能だ。しかし,複数のユーザーで1台のパソコンを利用している場合には,この機能でほかの人にWebメールのアカウントを使われてしまう可能性がある。そこで,この機能をオフにする方法を紹介しよう。 通常は,このようにパスワード入力の際に「このパスワードを保存する(S)」というチェックボックスが表示される 次にレジストリエディタで次のキーを表示させる。 HKEY_CURRENT_USER\Software\Microsoft\Windows \CurrentVersion\Internet Settings このキー上で右クリックをして「新規(N)」→「DWORD値(D)」を選択する 「新規値 #1」に「DisablePasswordCaching」と入力する これをダブルクリックして「値のデータ(V)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
官网 - 资金理赔,大额无忧!
有効なWikiNameではありません - namespace gimite
Ad4Uでどのサイトの情報が抜かれているかを調べる - 素人がプログラミングを勉強していたブログ
IEに依存した Webアプリケーション セキュリティ