神戸デジタル・ラボの「セルフチェックかんたん5」は試すな危険 - ockeghem's blog
株式会社神戸デジタル・ラボが公表している「セルフチェックかんたん5」がWebアプリケーションセキュリティの一部専門家の間で話題になっている。 mi1kmanさん経由。 神戸デジタル・ラボさんの Webセキュリティ診断の販促ページ。 色々と言いたいことはありますが、一番は、「Webサイトセキュリティチェックリスト」の7ページ目:【中略】の部分ですかね。 手元の IE7/Firefox3 で試してみた限りでは、「http://int21h.jp/../」にアクセスした場合、ブラウザから出るリクエストの時点で「GET / HTTP/1.1」になっていました。(ブラウザが勝手に訂正してくれるので、GET /../ HTTP/1.1 のようなリクエストが送信されることは無さそう。) はたして“何らかのエラーメッセージ”が表示されることはあるのでしょうか…。(^-^; http://yamagata.
怪談: SQLインジェクションの恐怖 | 水無月ばけらのえび日記
ところが、同じチェックシートの『チェック3「内部データをのぞき見されているかもしれない」チェック』は、益は少しあるかもしれないが、それ以上に予期しないトラブル、具体的にはデータベースの破壊を招きかねないという点で、けっして「かんたん」というものではない。 (~中略~) SQLインジェクションの検査は、専門家がやっても時としてデータベースを破壊しかねないものであるので、診断に先立って必ず免責事項を取り交わす。そのような危険を伴う診断行為を一般ユーザに試させるのであれば、まずは安全第一の検査パターンを紹介した上で、診断に伴う危険性を十分に告知することが検査会社としての責務であると考える。 これ、個人的に恐怖体験があります。 「JVN#92832583 Advance-Flow におけるクロスサイトスクリプティングの脆弱性 (jvn.jp)」というのがありますが、私がこれを発見したとき、同時にS
POC2008@韓国 1日目 - 葉っぱ日記
POC2008 本番の日。朝の一発目からまたPHPか…と思ってよくよくスピーカの名前を見たら、"Month of PHP Bugs" や Suhoshin で有名な Stefan Esser 氏!! PHPのバイトコード実行の内部動作の説明や現存するPHPの難読化ツールの紹介に始まり、それらを使った場合でも opcode table をフックすることにより実行されるバイトコードを記録し、関数呼び出しの相関図を描くツールの構想を説明。さらに、呼び出される関数の流れを追跡可能とすることでデータフローが把握できるので、それを利用してPHPアプリケーションに典型的な脆弱性がないかを検査することも考えているとのこと。まだ実現していないようですが、すごい! 午後からは私の発表。通訳が昨夜急きょ決まった代理の方で、テクニカルな内容は全くわからない、とのこと。実際、話している最中に通訳が追い付いていなかっ
I, newbie » PacSec 2008 - もはやPDFは安全なファイルではない
まー、相変わらずばたばたしてましたが。 今年は、翻訳関連は全部の権限を奪って好きなようにさせてもらった。翻訳者の選定からスライドの割り当て、成果物のレビューも。自分は仕切りに回って、最後までなるべく手を空けておいたけど、それはやっぱり正解で、最後の最後でややこしい問題が起きてもなんとか余裕を持って対応できた。翻訳に関して言えば一番まともだったと思う。いくつかレビューが間に合わないものがあったり、ギリギリまでスライドを翻訳者にお渡しできなかったりしたけれど、全体としては充分合格点だった。ただ、自分として(翻訳の内容とかではなく)この結果にはまだ不満足で、もっとよくできたはずという思いが残った。このあたりを改善するには、もっと運営にcommitしなくてはいけないね。 運営のほうは改善すべき点がたくさんあって、これは日本人をもう少しスタッフに加えればなんとかなるはず。Dragosはできのいいリー
第1回■ぜい弱性がなくならない本当の理由(わけ)
2008年に入り,SQLインジェクション攻撃が猛威を奮い続けている。8月6日には,アウトドア商品などを扱う通販サイト「ナチュラム・イーコマース」が外部からSQLインジェクション攻撃を受けたことを明らかにした(関連記事)。約65万件の個人情報が流出した可能性があるという。その少し前の7月23日には,ECサイト事業を手がけるアイリスプラザが攻撃を受けたと発表した。使っていない古いプログラムのぜい弱性を突かれ,カード情報2万8000件が漏えいした可能性があった。 SQLインジェクション攻撃では,情報を盗み出すものだけでなく,サイト改ざん事件も多発している。例えば(米国のビジネスウィーク誌のサイトが乗っ取られた事件(関連記事)。Webページではないが,ゴルフダイジェストオンラインもSQLインジェクション攻撃によって,メルマガ配信用のコンテンツを書き換えられた。 SQLインジェクション以外のぜい弱性
NIKKEI NET(日経ネット):社説・春秋-日本経済新聞の社説、1面コラムの春秋 ネットから個人情報を守ろう(11/16)
一時1バレル76ドルと約4年ぶり高値を付けた後、40ドル台半ばまで急落した2018年の原油相場。石油輸出国機構(OPEC)と非加盟の主要産油国は19年も協調減産を続けることで合意し、相場の下支えを…続き 米利上げ路線 岐路に FRB、来年2回に減速へ 中東に空白、世界のリスク [有料会員限定]
Googleマイマップ、自動保存でリアルタイム公開の怖さ
前回に引き続いて、インターネットを通じた情報流出について検証していく。前回取り上げた「Googleマイマップ」について書き漏らした点があるので補足したい。企業が利用する際には特に気をつけるべき危険性がある。 書いている途中でリアルタイム更新 Googleマップのマイマップでは、公開範囲を「一般公開」と「限定公開」から選択できると前回紹介した。新しい地図を一般公開で作成すると、少々驚くことが起きた。新しい地図を作成している途中にもかかわらず、その情報は既に広いインターネットの世界に公開されているのである。「保存」ボタンを押すこともない。自動保存なのである。 図2のように、書きかけだったはずの「大阪で会議をしましょう」という情報が公開されているのが分かる。キーワード連動広告までついている。遊び半分で書いたようなものでも自動保存でリアルタイム更新されるわけだ。「保存」という動作をユーザーにさせる
グーグルマップに名前や住所、うっかり公開37校980人 : 社会 : YOMIURI ONLINE(読売新聞)
インターネット上の無料地図情報サービス「グーグルマップ」で、名前や住所などの個人情報が誰でも閲覧できる状態になっていた問題で、小中高校などの教員らが誤って公開してしまった児童・生徒の個人情報が、全国で少なくとも37校の約980人分に上ることが16日、読売新聞の調査でわかった。 一部のデータは削除しようとしても、閲覧可能な状態が続くことも判明。事態を受け、文部科学省は都道府県教育委員会を通じ、全国の教育機関に個人情報の扱いなどについて注意するよう指示した。 誤って公開されてしまったのは、北海道、青森、千葉、埼玉、愛知、大阪、宮崎など21道府県の3幼稚園(34人)、15小学校(約420人)、15中学校(約390人)、4高校(133人)の個人情報。 問題が起きているのは、ネット検索大手「グーグル」が提供しているグーグルマップの「マイマップ」機能で、昨年4月にスタートした。住所を打ち込むと、場所が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
