脆弱性の修正について : LDR / LDRポケット 開発日誌
livedoor Readerをご利用いただきありがとうございます。 担当の佐々木です。 1月19日にXSS脆弱性の修正を行いました。 フィード内に含まれるリンク(トップページ、サイト画像、および記事URLへのリンク)に http 以外のリンクを埋め込むことが可能となっていました。 なお、今回の脆弱性が攻撃に利用された形跡はありませんでした。 livedoor Readerでは、安全のため、記事表示の際に一部のタグを制限した状態で表示しています。 今後ともlivedoor Readerをよろしくお願いいたします。
セキュリティは誰かがやらねば - @IT自分戦略研究所
いま、現場で求められているキャリアやスキルは、どんなものだろうか。本連載では、さまざまなITエンジニアに自身の体験談を聞いていく。その体験談の中から、読者のヒントになるようなキャリアやスキルが見つかることを願っている。 いまや情報セキュリティは、業務で情報システムを使用する企業だけでなく、インターネットの一般ユーザーにとっても大きな課題である。 JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ 情報セキュリティアナリスト 小宮山功一朗氏は、これまでのキャリアで一貫してセキュリティにかかわってきた。あくまでもセキュリティにこだわり続ける理由は何なのか。セキュリティのどこに魅力を感じているのだろうか。 ■セキュリティ業界に入ったきっかけは JPCERT/CCは、セキュリティにかかわる事象(コンピュータセキュリティインシデント)への対応を支援する非営利の組織。国内外
[ThinkIT] 第1回:データベース・セキュリティは本当に必要なのか (1/3)
近年、個人情報をはじめとする機密情報が外部に漏洩する事件が多発しています。各種メディアで報道されるだけでもかなりの件数がありますが、外部に公表せずに処理してしまったものや、そもそも情報漏洩の事実に企業側が気付いていないものを含めると、実際には相当な件数の情報漏洩事件が起こっていると考えられます。 情報漏洩の経路は様々です。Winnyを通じて感染を拡げるウィルスにより、PC上の個人情報や機密情報が漏洩する事件が後を絶ちません。またノートPCの盗難・紛失によって、機密情報が漏洩したおそれがあるという趣旨の報道発表も少なくありません。このような「過失」による情報漏洩だけでなく、外部からの不正アクセスや内部者による情報の持ち出しなど、「故意」による情報漏洩も少なくありません。 こうした「故意」による情報漏洩事件の相次ぐ発生を受け、データベースのセキュリティ対策「データベース・セキュリティ」が近年急
Geekなぺーじ:Google Code Searchの危険な使われ方
「Fun With Google Code Search」によると、 Google Code Searchを使って脆弱なソフトウェアを見つけられてしまうそうです。 実際に、Google Code Search経由で発見されてサーバを乗っ取られた事例が「How Hackers Are Using Google To Pwn Your Site」という記事で紹介されています。 ShoeMoneyが乗っ取られた事例では、恐らくWebサーバの設定ミスで.phpファイルの関連付けを行わない状態で、Google Sitemapsに登録してしまったため、Google Code Searchに自作コードが載ってしまい、それを見たクラッカーがサイトを乗っ取ったのであろうと思われます。 バッファオーバーフロー strcpy : strcpy\((\w+,\w+) lang:c sprintf : (sprin
鵜飼裕司のSecurity from USA : P2PソフトShareの暗号を解析,ネットワーク可視化システムを開発
1. はじめに Shareと呼ばれるP2P型ファイル交換・共有システムがここ二年ほどで急速に普及し、Winnyについで第2の巨大P2Pネットワークを構成している事は皆様もご存知かと思います。以前、ネットワーク脆弱性スキャナ「Retina」(http://www.scs.co.jp/eeye/)にWinnyの検出機能を実装致しましたが、同様にShareの検出機能も実装して欲しいという強い要望を日本の皆様から頂いておりました。このためには、Shareを解析せねばなりません。 どうせShareを解析するならば、利用されている暗号アルゴリズムやプロトコルを詳細に解析し、現在日本で大きな社会的問題となっているShareネットワークでの情報漏えい問題に何か手を打てればと思い、年明けからShare EX2の解析に着手しました(以降、「Share」 = 「Share EX2」とする)。この甲斐あって、Re
やっぱり、LifeHackは「内部統制」につぶされる - @IT
「つぶされる」認識を新たに 2位には「「LifeHack」が内部統制につぶされる」がランクインしたが、記者は経済産業省が1月19日に公表したIT統制のガイドライン「システム管理基準 追補版(財務報告に係るIT統制ガイダンス)」(参考記事)を読んで、「やっぱりLifeHackは内部統制につぶされる」と認識を新たにした。 というのもIT統制ガイダンスがエンドユーザーコンピューティング(EUC)を大きく取り上げ、そのコントロールの必要性を説いているからだ。IT統制ガイダンスはEUCを「一般にはスプレッドシート(表計算ソフトで作成した数式、マクロ、プログラム等を含む表)やデータベース管理ソフトが用いられることが多い。EUCの特徴は、入力される数式、処理を自動化するマクロ、小規模なプログラムの入力、作成や保守が情報システム部門ではなく、ユーザー部門により行われることである」と定義している。この定義で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.attacklabs.com/xssfilter/
XSS filter to protect from XSS attacks