CSRF対策は基本? | 水無月ばけらのえび日記
コミュニティーサイト構築に詳しい専門家は、「CSRF対策は基本的なところ。Amebaなうが対策していなかったのは意外だ」と話している。 「CSRF対策は基本的なところ」と言われると、発見も対処も容易であるような印象を受けますが、これは少し違和感がありますね。 半年ほど前の話ですが、弊社 (www.b-architects.com)のクライアントが新規のECサイトを立ち上げるにあたって脆弱性診断をしようという話になり、外部の会社に見積もり依頼をしたことがあります。その際、業界では知らない人がいないような大手会社の診断メニューも見せていただきました。 そこで印象的だったのは、標準とされるプランにCSRFの診断が含まれていなかったことです。標準のコースにはXSSやSQLインジェクションの診断が含まれますが、CSRFは「アドバンスド」プランの方にしか含まれていませんでした。普通のサイトではXSSや
アメーバでセキュリティ欠陥 スパム攻撃、プロフ消去相次ぐ
サイバーエージェント運営のブログサービスで、セキュリティの欠陥による被害が相次いでいる。新しいミニブログ「アメーバなう」にスパム感染が広がったほか、「アメーバブログ」でもプロフィールが消える被害が次々見つかった。なぜこんな初歩的な対策漏れがあったのか。 ツイッターのモノマネとして話題の「アメーバなう」が、最初からつまずいた。携帯電話版が始まった翌日の2009年12月9日、古典的なスパム感染が起きたのだ。 2005年4月のミクシィ被害と酷似 それは、「こんにちはこんにちは!!」という投稿を見て、記載のURLをクリックすると起きる現象だ。勝手に同じ投稿をさせられたうえ、「はまちや2」というユーザーを自動的にフォローしてしまうのだ。 ネットユーザーには見覚えのあるスパム投稿に違いない。それは、ミクシィで05年4月に広がった被害と似ているからだ。そのときは、「ぼくはまちちゃん!」という投稿だった。
おごちゃんの雑文 » Blog Archive » これは「エンジニアの反乱」ではないか?
ヨーカドーのネット通販が酷いことになっている。 セブンネットショッピング、会員の個人情報がダダ漏れ。さらにネラーに注文番号の規則性を解析される セブンアンドワイ、XSS脆弱性が見つかる。また社員が2chを覗いていたことが判明 セブンアンドワイ、Google検索で個人情報が丸見えだった模様。また今回の件でアフィリエイトにまで影響が とうとう「オープンソース化」までされる始末。 セブンアンドワイ、今度はソースコードを流出させる。 svnで公開なんてやってくれるぜ。私は初期版をcvsの類で出すのは消極的なんだけど(これはいずれ連載の方で)。 ただ、この前の「はまちちゃん」もそうなんだが、これは実は「エンジニアの反乱」ではないか? もちろん、一連の事件はエンジニアが結託してサボタージュをやったとか、そーゆー類では断じてないだろう。みんなそれぞれのエンジニアは、自分の能力の範囲、自分の仕事の範囲では
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 有料会員(月額プラン)は初月無料! お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
サンシャイン牧場 情報「露出」問題のまとめ | 鳩丸よもやま話
「サンシャイン牧場」において、課金操作を行った人のメールアドレスと電話番号が「露出」していた件のまとめです。 はじめに「サンシャイン牧場」はmixiアプリとして提供されているゲームです。mixiアプリとしては最大の利用者数を誇り、2009年11月23日現在、利用者は300万人を突破しています。運営しているのはRekooという中国の会社です (が、最近、日本法人もできました)。 2009年10月21日、サンシャイン牧場に「Kコイン」の仕組みが導入されました。実際のお金を支払って「Kチャージ」を行うとKコインが増え、Kコインを消費することで、通常では購入できない作物や肥料などを手に入れられる仕組みです。リアルのお金を支払ってアイテムを購入するという、いわゆるアイテム課金の制度になります。支払い方法は、株式会社ゼロの決済代行サービスを利用したクレジットカード払いでした。 ところが、この課金に際し
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
twitterアイコンの微妙な注意点 - ぼくはまちちゃん!
こんにちはこんにちは!! 蒸し暑い日が続いてますが…、げんきにtwitterしてますか! さて今日はtwitterで見落としがちな 微妙な注意点について、ちょこっとだけメモです…! 実はtwitterのプロフィールアイコンの画像URLって… 元の画像ファイル名がそのまま使われているよ!!! 自分のPCのマイピクチャとかのファイル名と同じ! ファイル名バレバレ! なので、わー知らなかったーって人は、自分のtwitterのアイコンのURLが、 うっかりと本名とか、「彼氏彼女の名前_lovelove_daisuki_chu_chu_chu.jpg」みたいな名前になっちゃっていないか、 いちど見直してみた方がいいかもしれないですね…! ちなみにこのファイル名、日本語でもそのままURLになるので ぼくの場合は、ちょっとだけSEO(になるのかどうかも微妙だけどね!)を期待して「はまちちゃん」としてある
楽天がパソコンから検索履歴を収集 個人情報を無断利用? (1/3ページ) - MSN産経ニュース
楽天がパソコンから検索履歴を収集 個人情報を無断利用? (1/3ページ) 2009.8.21 00:18 楽天が同社の検索サイトにアクセスした利用者のパソコンから、他社サイトにアクセスした履歴に関する情報を収集し、広告配信に利用していることが判明した。行政や消費者団体なども巻き込んで問題視する声が強まっている。この行為自体に違法性はないが、「情報が勝手に収集されて気味が悪い」などという利用者の声に加え、インターネット広告事業者なども「広告価値を下げる」と批判している。 問題が指摘されたのは、楽天が昨年6月から自社の検索サイト「インフォシーク」に導入した「楽天ad4U(アドフォーユー)」と呼ばれる広告配信システム。これは、インフォシークを訪れた利用者のパソコン上のブラウザ(閲覧ソフト)内に蓄積された過去のサイト閲覧履歴を15種類に分類。楽天がその情報に基づき、利用者の閲覧履歴に合わせた分野
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
i-mode2.0セキュリティの検討: 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 - 徳丸浩の日記(2009-08-05)
_携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 このエントリでは、携帯電話のブラウザに搭載されたJavaScriptと、WebサイトのXSSの組み合わせにより、いわゆる「かんたんログイン」に対する不正ログインの可能性について検討する。 5月28にはてなダイアリーに書いた日記「i-mode2.0は前途多難」にて、今年のNTTドコモの夏モデルP-07AにてJavaScript機能が利用停止されたことを指摘した。同日付のNTTドコモ社のリリースによると、「ソフトウェア更新に伴い、高度化した機能の一部をご利用いただけなくなっていますが、再びご利用いただけるよう速やかに対処いたします」とあったが、それ以来2ヶ月以上が経つものの、未だにJavaScript機能は利用できない状態のままだ。 実は、NTTドコモ社が慌てふためいてJavaScript機能を急遽停止
人体へのハッキング攻撃:発達する「神経工学」とその危険性 | WIRED VISION
前の記事 最新テーザー銃で撃たれた体験レポート(動画) 人体へのハッキング攻撃:発達する「神経工学」とその危険性 2009年8月 3日 Hadley Leggett Image: University of Washington。サイトトップの画像は別の日本語版記事より これまで研究者らは、指1本動かさずに脳波だけでコンピューターを操作し、『Twitter』にメッセージを投稿したり(日本語版記事)、車椅子を動かしたり(日本語版記事)できる技術を開発してきた。だが、神経科学的な機器が複雑化・ワイヤレス化した現在、一部の専門家たちは「脳ハッキング」のリスクを真剣に考えるべきだと警鐘を鳴らしている。 ハッカーたちは四六時中パーソナル・コンピューターに侵入しているが、もし、ハッカーたちがその悪意ある熱意を、これらの医療機器に向けたら何が起こるだろう。たとえば現在パーキンソン病やうつ病の治療に使われ
Twitter,危険なURLを含む投稿のフィルタリングを開始
フィンランドのF-Secureは現地時間2009年8月3日,ミニブログ・サービスのTwitterからまだ正式な発表はないものの,同サービスで危険なURLのフィルタリングが始まっていると報告した。 Twitterへのメッセージ(tweet)を投稿する際,Tweetに危険なWebサイトへのURLが含まれていると「Oops! Your tweet contained a URL to a known malware site!」(「あ,tweetに既知のマルウエア・サイトを指すURLが入っている!」)という警告が表示されるようになった。ただし米メディア(InfoWorld)は,このフィルタリング機能は不十分で,「Tinyurl」や「Bit.ly」などのURL短縮サービスで加工したURLは警告できないと報じている。 F-Secureは,利用者の増加に伴い,Twitterがワームやスパム,アカウント
児童買春「きっかけは一般サイト」急増 : 社会 : YOMIURI ONLINE(読売新聞)
北海道警が今年上半期に摘発した児童買春などの福祉犯罪で、被害に遭った18歳未満の少女が犯罪に巻き込まれるきっかけになったのは、ゲームやプロフなどの一般サイトが46件に上り、出会い系サイト(22件)の2倍以上だったことが、分かった。 昨年1年間は出会い系サイトが51件、一般サイトが41件で、一般サイトをきっかけに、未成年者を狙う犯罪が急増していることが裏付けられた。 今年上半期に道警が摘発した児童買春・児童ポルノ禁止法違反や道青少年健全育成条例違反などの事件139件の被害者113人を対象にしたアンケート調査で判明した。回答は82人から得た。 ウェブサイトをきっかけに事件に巻き込まれた68件のうち一般サイトは46件。内訳はゲームサイトが24件(52・2%)で最も多く、ブログ・プロフの13件(28・3%)、ソーシャル・ネットワーキング・サービス(SNS)4件(8・7%)と続いた。携帯電話を所持し
ECサイトから65万人の情報漏洩 20人が70時間,不眠不休で対応
1. 8万のカード情報を含む65万人の個人情報が漏洩し,セキュリティをいちから見直した 2. 漏洩が判明した直後は延べ20人が3日間,夜を徹して作業に当たった 3. カード情報の管理を第三者に任せ,WAFを導入するなど安全性を高めた 「えらいことになってしまった。覚悟せなあかんな」。 2008年7月10日の深夜のこと。アウトドア用品や釣り具の販売で年間40億円を売り上げるECサイト「ナチュラム」を運営するミネルヴァ・ホールディングス(当時の社名はナチュラム,8月1日に持ち株会社として改称)の中島成浩氏(代表取締役会長兼社長CEO)は,創業以来の危機に直面していた。ナチュラムのサイトから,クレジットカード情報を含む個人情報がほぼ確実に漏洩していたことが判明したのだ。大阪市中央区の本社会議室に集まったメンバーは皆青ざめていた。 まず取り組んだのは被害の拡大を防ぐこと(図1)。丸3日間で一気に対
mod_securityでWebサーバを守る(第1回)
一体、Webサイトを持たない組織は今どれくらいあるでしょうか。 Webサーバを自前で持つ、ホスティングサービスを利用する、など運用形態はさまざまですが、Webサイトを持たない組織はほとんどないと思える程に Webは普及しています。 ファイアウォールはほとんどの組織で導入済みであり、多くのWebサーバはファイアウォールの中で運用されているのが一般的です。 しかしながら、最も普及しているファイアウォールはIPアドレス、ポートレベルでのフィルタリングです。この方法でのフィルタリングでは、許可していないサービスが持つ脆弱性を狙った攻撃を阻止できるため有用ではありますが、HTTPを許可している場合Web自体への攻撃に対して無力です。一方で、HTTPを不許可にした場合にはWebサイトへアクセスできなくなってしまうため本来の目的を達成できません。しかもここ数年、Webサイトを狙ったワームや不正アクセスは
高木浩光@自宅の日記 - EV SSLを緑色だというだけで信用してはいけない実例
■ EV SSLを緑色だというだけで信用してはいけない実例 EV SSLに関して以前から懸念されていたことが既に現実になっていた。一時期、EV証明書を発行する一部のCA事業者が、EV SSLの宣伝で「緑色になったら安全」などといいかげんな広告を打っていて、誤った理解が広まりかねないと心配されていたわけだが、「緑色になったら安全」という理解がなぜ駄目なのか、その理由の一つは、いわゆる「共用SSL」サービスにEV SSLが使われかねないという懸念だった。 そして、その実例が既に存在していたことに気付いた。図1は私が作ったWebページである。 アドレスバーは緑色になっているが、ここに入力されたデータは私宛にメールで送信*1されてくる。(このページは既に閉鎖している。) 悪意ある者がこうしたページを作成*2し、何らかの方法でこのページに人々を誘導*3すれば、フィッシングの被害が出るおそれがある。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20090801/p01/
Twitter社員がハッキング被害に、社内文書がばらまかれる 