はてなブログ | 無料ブログを作成しよう
織田信長 ぼちぼち、元気にやっています。少し薬にも慣れた...んかなぁ。相変わらず食べられないけど。朝、指がこわばって文字なんて入力できなかったけど、それはほぼなくなった。関節もどこも痛くない。薬効いてきたんやろな。 で、ブログを書こうと言う気がまた起きてきた。 …
#OCJP-112:”マルウェアCookieBomb”のIFRAMEに感染された国内サイト(現在120件以上)
2013年7月17日の追加情報ですが、最新情報を先に報告させて頂きます: 本事件の原因がサイトのFTPアカウントが取られてしまいましたと確認しました。 証拠として、下記はハッキングされた時のFTPロとなります↓ [2013/07/11 21:46:54] xxxxxxxx 71.89.72.41: C="PASS (hidden)" B=- S=530 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="USER xxxxxxxx" B=- S=331 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="PASS (hidden)" B=- S=230 [2013/07/11 21:46:55] xxxxxxxx 83.138.146.85: C="SYST" B=- S=215 [2013/07/
もう入力値検証はセキュリティ対策として *あてにしない* ようにしよう
スタックオーバーフロー対策をする場合、関数の入口でチェックすれば大抵対策可能なんだけど、それだと対策漏れの可能性があるから、例えば、strcpyの代わりにstrncpyあるいはもっと高機能な文字列関数を使うことが当然になってきました。 これは、入口でのチェックだと漏れやすいから、脆弱性が発生するその箇所で対策するという考え方にシフトしているのだと私は考えます。 Webアプリケーションの場合も同様で、XSSやSQLインジェクションの対策は、脆弱性の発生する箇所、すなわち、HTMLの生成とか、SQLの呼び出しの時点で行います。いや、これらは「セキュリティ対策」ではなく、全ての文字を扱うために必要なエスケープ処理に過ぎないので、例がよくないですね。例えば、パストラバーサル脆弱性対処のためのファイル名の確認は、ファイルをオープンする直前(ファイル名を使う直前)に行うべきだ、という考え方です。 スタ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
INASOFT、トレンドマイクロ製品がインストールされていると警告を表示する機能を実装
複数の自治体が講演会で著作物のパクリ自慢をする会社と組んで海外進出するという悪夢 #sg問題