securityとdevに関するmumincacaoのブックマーク (105)

  • 株式会社VOYAGE GROUP

    株式会社VOYAGE GROUPは、2022年1月、株式会社CARTA HOLDINGSと合併いたしました。 関連リリース:CARTA HOLDINGS、基幹グループ会社のCCIおよびVOYAGE GROUPと統合へ https://cartaholdings.co.jp/news/20210513_01/ CARTA トップへ

    株式会社VOYAGE GROUP
    mumincacao
    mumincacao 2010/12/14
    そいえば言語問わず POST や Cookie もろぐに記録するようにしたっておはなしは聞くけど,このあたりのますく処理ははじめて聞いたような気がしたりしなかったりくまくま(・【みかん
  • 文字コードに起因する脆弱性とその対策(増補版)

    2. Copyright © 2010 HASH Consulting Corp. 2 日お話しする内容 • 文字コード超入門 • 文字コードの扱いに起因する脆弱性デモ6+1連発 • 文字コードの扱いに関する原則 • 現実的な設計・開発指針 • まとめ 3. 前提とする内容 • 文字コードに起因する脆弱性とは – 正しいセキュリティ対策をしているかに見えるコードにおいて、 文字コードの取り扱いが原因で生じる脆弱性 • 以下の脆弱性に関する一般的な知識は既知のものとします – SQLインジェクション脆弱性 – クロスサイト・スクリプティング(XSS)脆弱性 – パストラバーサル脆弱性 Copyright © 2010 HASH Consulting Corp. 3 4. Copyright © 2010 HASH Consulting Corp. 4 徳丸浩の自己紹介 • 経歴 – 198

    文字コードに起因する脆弱性とその対策(増補版)
    mumincacao
    mumincacao 2010/11/01
    けーたい対応で UTF-8→Shift_JIS が避けられないときは UTF-8→Shift_JIS→UTF-8 であらかじめ範囲外の文字を統合しちゃうかぁ...〆(´・ω【みかん
  • 第38回 MOPS:PHPにおけるコード実行(2) | gihyo.jp

    第32回 PHPセキュリティ月間(Month of PHP Sercurity)で「PHPセキュリティ月間」(⁠MOPS - Month of PHP Security)について簡単に紹介しました。 前回もArthur Gerkis氏が投稿したPHPにおけるコード実行を解説した文書を紹介しました。今回はその続きです。 MOPS Submission 07: Our Dynamic PHP - Obvious and not so obvious PHP code injection and evaluation http://www.php-security.org/2010/05/20/mops-submission-07-our-dynamic-php/index.html 動的コード 動的コードでのコード実行には「任意コードの実行」のみでなく「不正なコード実行パス」も含めて議論してい

    第38回 MOPS:PHPにおけるコード実行(2) | gihyo.jp
    mumincacao
    mumincacao 2010/10/26
    {} とか unserialize + __destruct とかこれは気付きにくいにゃー(´ロ【みかん って攻撃用くらすを流し込めるなら __wakeup も対象になりそうかなぁ?(・【みかん
  • 第37回 MOPS:PHPにおけるコード実行(1) | gihyo.jp

    第32回 PHPセキュリティ月間(Month of PHP Sercurity)で「PHPセキュリティ月間」(⁠MOPS - Month of PHP Security)について簡単に紹介しました。 今回もMOPS関連の話題です。MOPSではPHP関連のセキュリティ製品やセキュリティ知識の論文を募集し、11の論文が公開されました。今回はArthur Gerkis氏が投稿したPHPにおけるコード実行を解説した文書を紹介します。 MOPS Submission 07: Our Dynamic PHP - Obvious and not so obvious PHP code injection and evaluation http://www.php-security.org/2010/05/20/mops-submission-07-our-dynamic-php/index.html

    第37回 MOPS:PHPにおけるコード実行(1) | gihyo.jp
    mumincacao
    mumincacao 2010/10/15
    DATA すきーむでだいれくとあたっくなのですか!?Σ(´ロ【みかん preg_quote() はあんまり認知されて無い印象あるかなぁ? htmlspecialchars() かけるひともいるし・・・
  • 文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定

    補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブはてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの

    mumincacao
    mumincacao 2010/09/29
    mbstring.http_input が変更できないようなさーばで動く可能性のあるものはやっぱりふれーむ部分でいろいろ吸収できるようにしておかないとかにゃぁ...〆(´・ω【みかん
  • iptablesでできるDoS/DDoS対策

    はじめに 今回はDoS/DDoS対策を紹介します。今回はiptablesを使った方法とともに、Linuxのカーネルパラメータを使った方法も紹介します。 関連リンク: →Linuxで作るファイアウォール[パケットフィルタリング設定編] http://www.atmarkit.co.jp/flinux/rensai/security05/security05a.html →連載記事 「習うより慣れろ! iptablesテンプレート集」 http://www.atmarkit.co.jp/flinux/index/indexfiles/iptablesindex.html →連載記事 「習うより慣れろ! iptablesテンプレート集 改訂版」 http://www.atmarkit.co.jp/flinux/index/indexfiles/newiptablesindex.html DoS/

    iptablesでできるDoS/DDoS対策
    mumincacao
    mumincacao 2010/07/15
    iptables で limit もじゅ& hashlimit もじゅの使い方...〆(・x・。【みかん
  • ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)

    補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブはてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win

    ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
    mumincacao
    mumincacao 2010/07/02
    安全な SQL の呼び出し方でまとめのとこにこっそり描いてあったけど MDB2 を選んだ理由のとこでも PDO について触れてあったほうがよかったのかなぁ? やっぱり PDO 選びたくなっちゃうし…
  • 自堕落な技術者の日記 : Pure JavaScriptでRSA署名するソースを公開しちゃいますよ〜〜〜〜w - livedoor Blog(ブログ)

    は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 ちょっと前に、Stanford大のTom Wuさんという方がPure JavaScriptで公開鍵暗号を実装しているっていうのを、どなたかのつぶやきで見ました。送信相手のRSA公開鍵を使って、相手に対してメッセージを暗号化して、受取人はそれに対応した秘密鍵で復号するというものです。Base64やBigIntegerなんかもJavaScriptで実装されていました。 やる〜〜〜〜〜 ここまでできてりゃ、ひょっとしたらJavaScriptでPKCS#1 v2.1 RSASSA-PKCS1-v1_5署名もできちゃうんじゃね?、、、と思って2、3週間前に作ってみました。できたヤツは放置プレイしていたんですが、ワールドカップイヤーなもんでサッカー見なが

    mumincacao
    mumincacao 2010/06/17
    みゅ・・・ なにこれすごいにゃぁ・・・ もしかしたらこれ使って鍵認証ろぐいんとか実装できちゃったりするのかなぁ?(・ω【みかん
  • https://support.microsoft.com/ja-jp/help/316431

    すべて Microsoft 製品 Microsoft 365 Office Windows Surface Xbox セール サポート ソフトウェア Windows アプリ OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画テレビ番組 法人向け Microsoft Azure Microsoft Dynamics 365 Microsoft 365 Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer & IT .NET Visual Studio

    mumincacao
    mumincacao 2010/06/14
    IE + SSL で IE 以外に関連づいてるふぁいるが開けないのは【仕様です】ヾ(・ω【みかん
  • Definitive PHP security checklist | sk89q

    I’ve prepared a pretty comprehensive PHP security checklist that’s a good scan through. Update: This list was written in 2009 and now it is outdated, incomplete, and you can find more modern sources, such as OWASP. If you have any questions, feel free to leave a comment. The following is also now in a very concise printable form. Basic: Have strong passwords be sure that your “password recovery qu

    mumincacao
    mumincacao 2010/06/01
    PHP あぷりのせきゅりてぃちぇっくし~と☆ あとで日本語訳してみないとかなぁ...〆(・x・。【みかん
  • 第29回 SQLインジェクションの復習 | gihyo.jp

    セキュリティは古くて新しい問題です。SQLインジェクションも古くからある問題ですが現在の問題です。対策は比較的簡単なのですが今でもなくなりません。と言うよりも今でも現役のセキュリティ上の問題で十分注意が必要です。この連載でも何度かSQLインジェクション対策について簡単に取り上げています。 第5回 まだまだ残っているSQLインジェクション 第14回 減らないSQLインジェクション脆弱性 第15回 減らないSQLインジェクション脆弱性(解答編) 第24回 無くならないSQLインジェクション脆弱性 今回はSQLインジェクションを復習してみたいと思います。 SQLインジェクションとは SQLインジェクションはプログラマが意図しないSQL文を実行させる攻撃で、2種類の攻撃方法に分類できます。 直接SQLインジェクション 間接SQLインジェクション 直接SQLインジェクション 直接SQLインジェクショ

    第29回 SQLインジェクションの復習 | gihyo.jp
    mumincacao
    mumincacao 2010/06/01
    そういえば直接のほうはよく目にするけど間接のほうはあんまり触れられてない記事多いような・・・(・【みかん 『入力前にちゃんとちぇっくしてあるからだいじょ~ぶ☆』とか綱渡りすぎるくまー(´・ω【みかん
  • Web Application Exploits and Defenses

    A Codelab by Bruce Leban, Mugdha Bendre, and Parisa Tabriz Want to beat the hackers at their own game? Learn how hackers find security vulnerabilities! Learn how hackers exploit web applications! Learn how to stop them! This codelab shows how web application vulnerabilities can be exploited and how to defend against these attacks. The best way to learn things is by doing, so you'll get a chance to

    mumincacao
    mumincacao 2010/05/11
    XSS, CSRF, PathTraversal, DoS, 外部こーど実行, 各種埋め込み, ばっふぁおーばーふろー,etcっていろいろ遊べるぐぅぐるせんせのくらっきんぐ演習さいと?(・ω【みかん
  • 情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開

    IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ

    mumincacao
    mumincacao 2010/03/19
    ときどきせっかくぷれ~すほるだが準備されててもそこに文字列合成した SQL 投げ込むひとがいるけど・・・あれはどうしてその結論に行き着いたのかなぁ?(´・ω・`;【みかん
  • block a country, block by ip address, deny access by country

    Block a complete country by IP address. Create automatically a free htaccess file that denies access to your website. No more unwanted traffic from countries you do not want to give access.Getting visitors you really don't want to have on your site? You can now block them easily with our free blocking service. Simply select the countries you want to block from your website and press the "Go" butto

    mumincacao
    mumincacao 2010/03/01
    なにこれすてきにまな~の悪い C とか K とか R なひとたちをまとめてぽいしたいときに便利なのです(・ω・。【みかん
  • CWE -2009 CWE/SANS Top 25 Most Dangerous Programming Errors

    Welcome to the 2023 Common Weakness Enumeration (CWE™) Top 25 Most Dangerous Software Weaknesses list (CWE™ Top 25). This list demonstrates the currently most common and impactful software weaknesses. Often easy to find and exploit, these can lead to exploitable vulnerabilities that allow adversaries to completely take over a system, steal data, or prevent applications from working. CWEs are becom

    mumincacao
    mumincacao 2010/02/19
    なんだか去年はなんちゃって翻訳した気がするけどどこが変わったのかなぁ? 〆(・x・。【みかん
  • [ニッチ]E4Xで攻撃できる? できない?

    [ニッチ]E4Xで攻撃できる? できない?:教科書に載らないWebアプリケーションセキュリティ(6)(1/3 ページ) XSSにCSRFにSQLインジェクションにディレクトリトラバーサル……Webアプリケーションのプログラマが知っておくべき脆弱性はいっぱいあります。そこで連載では、そのようなメジャーなもの“以外”も掘り下げていきます (編集部) ECMAScriptでXMLを扱う“E4X” 皆さんこんにちは、はせがわようすけです。今回は、Mozilla Firefoxでクロスドメイン制約を回避する方法の一例として、E4Xという機能を利用した攻撃方法を紹介します。 E4Xとは、「ECMAScript for XML」の略であり、JavaScriptやActionScriptなどのECMAScript処理系において、XMLをネイティブ機能として扱うための仕様です。 現在、FirefoxのJa

    [ニッチ]E4Xで攻撃できる? できない?
    mumincacao
    mumincacao 2010/02/08
    最速変態 JavaScript さんにちょくちょく出てきた出てきた E4X の解説...〆(・ω・。【みかん それにしても短すぎる名称って検索しづらいよね・・・
  • JavaScript変態文法最速マスター - 葉っぱ日記

    Java変態文法最速マスター - プログラマーの脳みそをリスペクト。 JavaScriptの変態文法・技法一覧です。あんまり使わないけど、知ってるとXSSとか攻撃したいのにWAFに妨害されるなど、いろいろ制約があるという場合に便利。 文字列の生成 引用符を使わずにさくっと文字列を作る。fromCharCode とか使ってもいいけどめんどくさいので、正規表現やE4Xを利用。 alert( /string/.source ); alert( <>string</> ) 空白文字を使わず記述 文脈上、スペースを書きたいけれどいろいろ制約があって書けない場合にはコメントで代替。実行するコードを作り上げてevalしてもいいけど大袈裟なので。 var/**/x=1; */ を含むコードブロックをコメントアウト コードの塊りをコメントアウトしようと思って /* */ で囲むと、コード内に string.

    JavaScript変態文法最速マスター - 葉っぱ日記
    mumincacao
    mumincacao 2010/02/04
    こんなの見てるとほんとぶらっくりすと方式で XSS 対策はきけんがいっぱいくまー(´・ω・`;【みかん
  • 徳丸浩の日記 - iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になった

    _iモードブラウザ2.0のXMLHttpRequestでPOSTデータの扱いが困難になった このエントリでは、iモードブラウザ2.0の制限により、XMLHttpRequestでPOSTメソッドの利用が困難になっていることを確認したので報告する。 iモードブラウザ2.0のJavaScriptを試していて、POSTメソッドでデータが渡せていないことに気がついた。以下のようなプログラムで検証してみた。 【post.html】 <html> <head> <script> function test() { try { var requester = new XMLHttpRequest(); requester.open('POST', '/dumppost.php', true); requester.onreadystatechange = function() { if (requeste

    mumincacao
    mumincacao 2010/01/19
    予想通りけ~たいの JavaScript はまだまだ実用範囲外ってこt・・・っていうか Content-type: text/xml なのにどう見ても XML に見えないのは気のせい・・・にう? 〆(・x・;【みかん
  • はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知

    はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28

    はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
    mumincacao
    mumincacao 2009/12/17
    確かにちょっとめんど~でも大事な操作の前にぱすわ~ど確認は必要な気がするにゃぁ・・・ってあれ? ねた記事・・・にう? 〆(・x・;【みかん
  • 知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog

    先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ

    mumincacao
    mumincacao 2009/12/17
    冒頭の CSRF だけ XSRF になってるのがちょっと気になるけど・・・あとは正しい SSL の使い方とかかなぁ?(・x・。【みかん