大規模なWebサイト改ざんとゼロデイ攻撃:危険な組み合わせ
今日のインターネットをとりまく状況を考えると,ゼロデイ攻撃もWebサイト改ざんも,残念ながら,もはやおなじみのセキュリティ上の脅威と言える。ただ,これら二つの脅威を組み合わせられると,ユーザーにとって非常に危険な脅威となる。最近確認された攻撃は,それをはっきりと物語るものだった。 ゼロデイ攻撃から大規模Webサイト改ざんへ 2009年 7月中旬,マイクロソフトは,“Microsoft Office Web コンポーネント”のActiveXコントロールに存在する脆弱性を詳しく説明したセキュリティ・アドバイサリ(973472)を公開した。この脆弱性により,悪意あるWebサイトを介して感染したユーザーのコンピュータに対し,攻撃者がリモートから任意のコードを実行可能になる。通常,マイクロソフトは定期的に修正パッチを公開しているが,この脆弱性は8月3日の公開まで修正されなかった。 この攻撃の発生後し
はてなが不正アクセスされた? | 水無月ばけらのえび日記
公開: 2009年10月3日16時35分頃 「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 (hatena.g.hatena.ne.jp)。実は私もはてなブックマークは使っているので、他人事ではなかったりします。 はてなブックマークでは、モバイル版のページのうち /entrymobile ページで、コンテンツの一部をキャッシュしていましたが、このキャッシュ制御の処理に不備があり、docomo の端末を利用時のみ与えられるセッションキー (URL のクエリパラメータ) が、本来キャッシュされるべきでないところでキャッシュされておりました。 つまり、こういうことですね。 docomo端末でログインした場合、URLにセッションIDを付加することによってアクセス制御を行うようになっていたその際、他のページへのリンクの箇所には、セッションIDつきのURLが出力されてい
はてなブックマーク開発ブログ
はてなブックマークのブックマーク数が多い順に記事を紹介する「はてなブックマーク数ランキング」。2024年2月のトップ50です*1。 順位 タイトル 1位 マンションリフォーム虎の巻 2位 死ぬほど嫌でした|佐藤秀峰 3位 「面倒なことはChatGPTにやらせよう」の全プロンプトを実行した配信のリンクを整理しました|カレーちゃん 4位 管理職必読 順番に読むと理解が深まる「マネジメントの名著」11冊 | 日経BOOKプラス 5位 メルカリで値段の「¥マーク」を小さくしたら購入率が伸びた理由、ペイディがサービス名を「カタカナ表記」にする理由など、プロダクトのマーケ施策まとめ30(2023)|アプリマーケティング研究所 6位 7年適当に自炊してきて調味料について思ったことを書く 7位 ウクライナ軍に入隊したアジャイルコーチが、さまざまなメソッドを駆使して中隊長としてのリーダーシップを実現した話(
!JP 汎用JPドメイン名登録等に関する技術細則
社団法人 日本ネットワークインフォメーションセンター 公開: 2000年11月2日 改訂: 2002年2月1日 株式会社日本レジストリサービス 改訂: 2003年3月10日 改訂: 2003年7月2日 改訂: 2004年8月17日 改訂: 2005年8月30日 改訂: 2005年12月 5日 改訂: 2010年8月12日 改訂: 2010年11月16日 改訂: 2012年5月16日 改訂: 2013年11月12日 改訂: 2019年7月18日 改訂: 2021年5月19日 実施: 2021年8月22日 汎用JPドメイン名登録等に関する技術細則 目次 0. はじめに 1.登録可能な汎用JPドメイン名の文字種別と文字列 2.汎用JPドメイン名の構成 3.申請文字列の正規化 4.ネームサーバ設定における日本語ラベルのエンコーディング 5.汎用JPドメイン名に設定可能な署名鍵の形式 6.制限事項
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
エフセキュアブログ : ネットのフィッシング、リアルの銀行ATMスキミング
ネットのフィッシング、リアルの銀行ATMスキミング 2009年09月16日03:26 ツイート gohsuke_takama オフィシャルコメント by:高間 剛典 スウェイジ・スパム のポストにあるように、ネット上で人々の注目を引く出来事には、すぐにそれを利用してマルウェアサイトへ誘導するスパムが発生しています。フィッシングを仕掛ける側は手段を選びません。しかし人を騙すことにおいては、ネットの世界のテクニックとリアルの世界のテクニックは変わらくなってきているようです。 最近、事件映像を集めているLiveLeakに上がっていたのは、監視カメラに写った、ブラジルのとある銀行ATMのカード読み取りスロット部分に覆いかぶさる、スキミング用の偽のカバー部品を取り付けている最中の男の姿でした。幸いにも、映像の後半でこの男の仲間と思われる人物が現金をおろしている最中に、警察に捕まって手錠をかけられて
情報処理推進機構:セキュリティセンター:セキュリティ関連NIST文書
IPA/ISEC(独立行政法人情報処理推進機構 セキュリティセンター)は、 政府や企業の経営者、セキュリティ担当者などが、自組織の情報セキュリティ対策を向上させることに役立つ資料として、世界的に評価の高い海外の情報セキュリティ関連文書等の翻訳・調査研究をNRIセキュアテクノロジーズ(株)と共同で行い、その成果を一般に公開しています。 米国国立標準技術研究所(NIST: National Institute of Standards and Technology)の発行するSP800シリーズ(SP: Special Publications)とFIPS(Federal Information Processing Standards)の中から、日本において参照するニーズが高いと想定される文書の翻訳・監修を行い、公開するとともに、NISTの文書体系や内容について、日本の実情に即した解説を行うよ
無償のPC導入ソフトぜい弱性検査ツールを評価する
ある企業のシステム管理者から『家庭用のパソコンは,家族と共用しているため子供が勝手にソフトウエアをインストールすることがある。しかし,セキュリティ的にぜい弱性があるものは放置できないので,タイムリーにレベルアップやパッチを適用したい。簡単で手間をかけずに,自分が知らずにインストールされたソフトも含めてぜい弱性の存在を検出するツールはないか』と相談を受けました。 以前のコラムで述べたように,私自身は「自分が使う個人所有パソコンは,できる限り家族とは共有しない」ことを勧めています。しかしその一方で,家族が個々にパソコンを持てば,家庭内にパソコンが増え,継続的に実施しなければならないメンテナンスの手間が増えてしまうことも事実です。パターン・ファイルの最新化やOSのパッチ適用はまだしも,そのパソコンに自分が知らないうちにインストールされた数多くのソフトウエアを含めて,そのぜい弱性を検出することは非
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 会員の方はこちら ログイン 有料会員(月額プラン)は初月無料! お申し込み 日経クロステック TOPページ
信頼できるWebサイトに専用マーク,ベリサインが2010年に新サービス
「SSL化していないWebサイトを対象に,企業のWebサイトの信頼性を担保するサービスを始める」---。PKIベンダーの米VeriSignで認証製品担当シニアVPを務めるFran Rosch氏は2009年8月27日,同社が2010年にサービス開始を予定する新サービス「Certification Service」(証明書サービス)について明らかにした。 Certification Serviceとは,ユーザー企業が自社のWebページに専用のマークを貼り付けることで,Webサイトの信頼性をアピールできるようにするサービスである。主として暗号化通信を必要とする電子商取引などを利用していないためにWebサイトをSSL化していない企業を主な対象とする。SSL(SSL証明書やEV SSL証明書)とは異なる手段で,Webサイトの信頼性を担保する。 マークを発行するまでの過程は,米VeriSignが企業の
twitterアイコンの微妙な注意点 - ぼくはまちちゃん!
こんにちはこんにちは!! 蒸し暑い日が続いてますが…、げんきにtwitterしてますか! さて今日はtwitterで見落としがちな 微妙な注意点について、ちょこっとだけメモです…! 実はtwitterのプロフィールアイコンの画像URLって… 元の画像ファイル名がそのまま使われているよ!!! 自分のPCのマイピクチャとかのファイル名と同じ! ファイル名バレバレ! なので、わー知らなかったーって人は、自分のtwitterのアイコンのURLが、 うっかりと本名とか、「彼氏彼女の名前_lovelove_daisuki_chu_chu_chu.jpg」みたいな名前になっちゃっていないか、 いちど見直してみた方がいいかもしれないですね…! ちなみにこのファイル名、日本語でもそのままURLになるので ぼくの場合は、ちょっとだけSEO(になるのかどうかも微妙だけどね!)を期待して「はまちちゃん」としてある
楽天がパソコンから検索履歴を収集 個人情報を無断利用? (1/3ページ) - MSN産経ニュース
楽天がパソコンから検索履歴を収集 個人情報を無断利用? (1/3ページ) 2009.8.21 00:18 楽天が同社の検索サイトにアクセスした利用者のパソコンから、他社サイトにアクセスした履歴に関する情報を収集し、広告配信に利用していることが判明した。行政や消費者団体なども巻き込んで問題視する声が強まっている。この行為自体に違法性はないが、「情報が勝手に収集されて気味が悪い」などという利用者の声に加え、インターネット広告事業者なども「広告価値を下げる」と批判している。 問題が指摘されたのは、楽天が昨年6月から自社の検索サイト「インフォシーク」に導入した「楽天ad4U(アドフォーユー)」と呼ばれる広告配信システム。これは、インフォシークを訪れた利用者のパソコン上のブラウザ(閲覧ソフト)内に蓄積された過去のサイト閲覧履歴を15種類に分類。楽天がその情報に基づき、利用者の閲覧履歴に合わせた分野
[気になる]JSONPの守り方
XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで本連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) JSONPだって、セキュリティを気にしてほしい 皆さんこんにちは、はせがわようすけです。今回は、JSONPを使用する場合のセキュリティについて解説しましょう。 JSONPとは、JSON with Paddingの名称が示しているとおり、JSON形式のデータにコールバック関数の呼び出しのためのコードを付加することで、クロスドメインでデータの受け渡しを実現するためのデータ形式です。JavaScriptからクロスドメインでのデータが簡単に扱えることなどを理由に、多数のWebアプリケーションでAPIの一部としてJSONP形式でデータの提供が行われています。 具体的な例を見
![[気になる]JSONPの守り方](https://cdn-ak-scissors.b.st-hatena.com/image/square/6e84fc6ab06f31b2e64248cbfc92fe06deb5bab5/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fimages%2Flogo%2F1200x630_500x500_ait.gif)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
KLab
全スパム送信の9割弱にボットネットが関与、メッセージラボ調査 
Burp Suite - Application Security Testing Software
IAA project link
https://blogs.oracle.com/jsecurityworld/2009/09/post_4.html
IT news, careers, business technology, reviews
http://www.businessweek.com/technology/content/aug2009/tc20090824_567409.htm