隠されていたSQLインジェクション ― @IT
星野君は赤坂さんと一緒にお客さんのWebアプリケーションの検査をすることになった。辛うじて「不必要情報」の脆弱性を見つけたものの、赤坂さんは不満げだ。 「だって、これ、ほかにもっと危険な脆弱性あるよ……」。 赤坂さん 「ってことで、今回は50点ってとこかな」 星野君 「うわっ。厳しいですね……。一応脆弱性は見つけたんだからもう少し……」 赤坂さん 「え。だって、これ、ほかにもっと危険な脆弱性あるよ」 星野君 「(ほかにも脆弱性あるっていってもなぁ……)」 赤坂さんに「ほかにもっと危険な脆弱性あるよ」と指摘されたにもかかわらず、星野君にはサッパリ見当が付かなかった。不必要情報(Unnecessary Information)の脆弱性に気付くまでの作業で、一通り思い付くことはやりつくしていた。 そうこうしているうちに時間は過ぎ、結局ほかの脆弱性を見つけられないまま、お客さんと約束した時間になっ
診断の現場からの提言!Webサイトの脆弱性が潜む場所を知る
これまでの記事でWebサイトのセキュリティについてお伝えしてきましたが、実際にWebサイトの診断を行っていると、脆弱(ぜいじゃく)性が発見されるパターンが非常に似通っていて、同じ脆弱性が同じような画面で発見されることがあります。 最終回となる今回は、実際に診断していて発見されるケースについて、紹介したいと思います。 1. こんな場所に発見されるケースが多い (1)検索画面(トップページや全画面共通) ・発見される脆弱性:XSS(クロス・サイト・スクリプティング) 検索結果を表示する画面で、入力されたキーワードを表示しようとして、XSS(クロス・サイト・スクリプティング)が発生するケースがあります。 汎用的なモジュールを使用する場合は問題がないケースもありますが、自社内や開発業者のハンドメイドの場合には、脆弱性が作り込まれているケースが見受けられます。 (2)入力フォーム(問合せフォームや会
知ってる? クレジットカード番号の意味と暗算認証術
知ってる? クレジットカード番号の意味と暗算認証術2011.01.24 12:0029,016 satomi 暗算で偽造カード見分けられるなんて...知らなかった! 毎日のように使うクレジットカード。丸暗記して時間セーブしてる人も、あの数字16桁の意味までは知らないんじゃ? 16個の数字にはそれぞれ意味があるんですよ。米国で人気のオンライン資産管理サービス「Mint」がズバリ図解してくれました! (図の訳) 1)最初の1桁:主要産業識別子 (MII:Major industry identifier)。カード発行者の業界を表します。 0 予備 1、2 航空 3 旅行・娯楽 4、5 銀行・金融 6 商品輸送・銀行 7 石油 8 通信 9 国ごとの割り当て分 2)MIIを含む最初6桁:発行者識別番号(IIN:Issuer Identifier Number)。カード発行者の身元を表します。 [
捨印の恐ろしい本当の話し
捨印の恐ろしい本当の話し (文:結城) 捨印は現代の凶器です。 ただし、誰もが使えるわけではありません。凶器として使えるのは金融機関です。皆さんが契約した金銭消費貸借契約書や保証契約書に必ず押されています。そう、あなたはこの押印の意味を知らずに、金融機関の人に言われるままに契約書の端の方に、ハンコを押したはずです。「ここに印鑑(捨印)を押してください。はいわかりました。」と。もちろん正しくその印鑑(捨印)の効用など金融機関の人は教えてくれなかったはずです。 捨印の効用は、契約書に後から債務者や保証人の意思確認をしなくても、勝手に金融機関の人が書き加えたり修正したり出来る事です。具体的には契約者本人の署名や借入金額の修正などを金融機関の人は勝手に出来るという事です。つまり、捨印を押す事によって、白紙の契約書を差し入れした事と同じになるのです。 法的な根拠は、民事訴訟法228条の4です。この条
質の高いTwitterのアカウントを増やす方法 - ぼくはまちちゃん!(Hatena)
こんにちはこんにちは!! Twitterはじめていよいよ2年半くらいたっちゃいましたが、 ようやく自作自演用の副アカウントが10を越えようかという段階に達しました!!! ついったーやってる人なら誰だって自演用の副アカ増やしたいですよね…! もちろん、ぼくもそうなんです!! でもね、単純に副アカ増やすだけなら誰だってできますよ! ミエミエの自演アカウントを増やすことが目的じゃなく、 自作自演でありながらも、つぶやいた内容がしっかりと影響力があったりするような、 Google先生にも即インデックスされちゃうくらいのやつ。 質の高い感じのすてきな副アカづくり。 そういったアカウントでの自作自演がTwitter本来の楽しみであるべきかなーと思います!! だけどそんな副アカ、真面目にみっつもよっつも育てるのは大変ですよね…! そこで今回は、 比較的、質の高い副アカウントを簡単に増やすためのチップスを
崩れゆく「Mac OS X安全神話」
Mac OS Xは一部の人から極めて安全なOSだと思われている。その人たちは、同OSには多くのセキュリティ機能があるため、Appleのソフトを使えば、危険を冒してMicrosoftのWindowsを使うよりもずっと安全でいられると主張している。Microsoftがパッチを当ててきたセキュリティ脆弱性の数と、Appleのそれとを比べれば証拠は歴然だと彼らは言う。そのロジックの真相が見え始めていることを彼らは知りたがるかもしれない。それは単なるミスリーディングなのだ。 Appleは先に、Mac OS X 10.5 Leopardのアップデートをリリースした。Airportシステムとの互換性向上やBluetoothの信頼性強化のほか、18件のセキュリティフィックスを盛り込んでいる。これらのフィックスは、悪意を持ったハッカーがシステムファイルにアクセスすることを許したり、第三者が画像リンクを利用し
高木浩光@自宅の日記 - やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合
■ やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 一年前、「退化してゆく日本のWeb開発者」という題で、ケータイWebの技術面での蛸壺化について次のように書いた。 iPhoneに契約者固有ID送信機能が搭載される日 (略)こうして退化してゆくケータイWebが、日本のスタンダードとなってしまい、いつの日か、PC向けの普通のインターネットまで、単一IDの全サイト送信が必須になってしまうのではないかと危惧した。 (略)iPod touchでNAVITIMEを動かしてみたところ、下の図のようになった。 (略)契約者固有IDがないとどうやって会員登録システムを作ったらいいのかわからないんじゃないのか……というのはさすがに穿ち過ぎだと思いたい。NAVITIMEからソフトバンクモバイルに対して、契約者固有ID送信用プロキシサーバの用意を要請している……なんてことがなけれ
高木浩光@自宅の日記 - Macでは「何回も何回も観てニヤニヤ」がバレる
■ Macでは「何回も何回も観てニヤニヤ」がバレる 前回の日記で「「何回もクリックされてる」というのは、いったいどうやって調べるというのだろう? 」と書いたが、Mac OS Xでは開いた日が記録されていると、はてなブックマークのコメントで教えて頂いた。 それは「Spotlight」の検索用インデックス内に記録されている。「最後に開いた日」の条件で検索できることは知っていたが、その他に、デフォルト設定ではメニューにない「使用日」という隠れた検索属性が用意されていることを知った。検索属性の指定で「その他」を選ぶと、たくさんの属性が用意されていて、その中に「使用日」という属性がある(図1)。 この「使用日」のチェックボックスをオンにすると、「使用日」で検索できるようになる。「使用日」とは、ファイルを開いたことのある日が記録されたもので、「最後に開いた日」より過去の開いた日も記録されている。 たと
楽天、利用者のメールアドレスを含む個人情報を「1件10円」でダウンロード販売していることが判明
※この記事は「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」の続きですので、1本目の記事を読んでいない方はまず1本目の記事に目を通してからご覧ください。 「楽天市場から個人情報がスパム業者に流出か、実名の記載された迷惑メールが楽天でしか使っていないメールアドレスに届き始める」という記事中でも触れましたが、楽天は2005年7月の個人情報流出騒動によってシステムを変更し、楽天に出店しているショップに対してはメールアドレスを「非表示」にしているとお伝えしましたが、実際にはまったく違っていました。 なんと、楽天市場に登録した個人情報のほとんどを各ショップは閲覧することが可能で、なおかつメールアドレスを含む個人情報については楽天市場自身が各ショップに1件10円でダウンロード販売しているとのこと。ダウンロードはCSV形式のファイ
履歴消去じゃ消えないエロサイトの隠れた痕跡に要注意 - てっく煮ブログ
色んなホームページを見ていると閲覧履歴が自動で保存されます。恥ずかしいページを見たあとには、他の人にばれてしまわないように、こっそり履歴を消している人もいることでしょう。通常、ブラウザには「履歴を削除する機能」が備わっていて、ブラウザの履歴を削除すればあなたの悪行の数々は消え去ってくれるように思えます。しかし、ブラウザからは消せない履歴が残っているのです…ブラウザからは消せない履歴それが Flash の Local Shared Object です。Local Shared Object は Flash 版の Cookie みたいなもので、Flash で一時的なデータを保存するときにはよく用いられるものです。Local Shared Object は次の場所に保存されています。OS場所Windows XPC:\Documents and Settings\ユーザ名\Application
荻上式BLOG - 騙しサイトで表示される「個人情報を取得しました」画像を集めてみた
アダルトサイトっぽいページでリンク先に飛ぼうとすると、「個人情報を取得しました→登録が完了しました→何日以内に払え、払わないと通報」的な画像が表示されることがよくあります。ソーシャルブックマークなどでセルクマしてランキング操作しているサイトもあるので、知らずに訪れて焦ってしまう方も少なからずいるのでは。 しかし、それらの画像のほとんどはただの gif 画像。「請求の 正体見たり gif 画像」ということで、さっさとページを閉じ、サイトの URL を検索してみるとかが吉かと。 ところでそれらの画像って、マジマジと見ると大抵マヌケな感じがしてほほえましい。今までも当サイトで何度か取り上げたのだけれど、他にもそういう画像がないかと釣りサイトを巡ってみた。というわけで、以下ではそれらのサイトから収集した gif 画像を紹介します。画像をクリックすると、それぞれの画像を単体でみれるよ。再生が一回で終
asahi.com(朝日新聞社):「ハッカー」に逆襲、パスワード盗み返す 中3書類送検 - 社会
インターネットのIDとパスワードを盗もうとした「ハッカー」から逆にパスワードなどを盗み返したとして、愛知県警は5日、兵庫県尼崎市の中学3年の少年(15)を不正アクセス禁止法違反の疑いで書類送検した。調べに対して、少年は「メールを盗み見たりして、困らせてやろうと思った」と話しているという。 生活経済課と西枇杷島署の発表によると、少年は08年7月11〜14日、長野県大町市の無職男性(20)=同法違反容疑で書類送検=からポータルサイト「ヤフー」のIDとパスワードを盗み、男性になりすまして計16回、不正にアクセスした疑いがある。 少年と男性はオンラインゲーム仲間。男性が少年に「キャラクターを強くするプログラムをあげる」と偽って、実際にはIDやパスワードなど、パソコンのキー操作の履歴を盗み取るスパイソフト「キーロガー」をネット上から送りつけた。少年はゲームの動きが悪くなったことからキーロガーに気
画像ファイルに PHP コードを埋め込む攻撃は既知の問題
(Last Updated On: 2015年9月10日)国内外のメディアで「画像ファイルに攻撃用のPHPコードが含まれていた」と比較的大きく取り上げられています。しかし、この攻撃手法は古くから知られていた方法です。条件は多少厳しくなりますがPerl, Ruby, Pythonでも同様の攻撃は考えられます。PHPの場合は言語仕様的に他の言語に比べ攻撃が容易です。 典型的な攻撃のシナリオは次の通りです。 追記:Tokenizerを使った例に修正しました。 アバダなどの画像ファイルをアップロードできるサイトを探す ローカルファイルインクルードバグを探す 画像ファイルにサイトが利用している言語のコードを埋め込む 攻撃コードを含んだファイルを画像ファイルとしてアップロードする ローカルファイルインクルードバグを利用して攻撃コードを実行する PHPの場合、リモートインクルードバグを攻撃するための攻撃
TrueCryptで、Dropboxをもっと“セキュア”に使う - ITmedia Biz.ID
第21回 TrueCryptで、Dropboxをもっと“セキュア”に使う:“PCで仕事”を速くする Dropboxは便利なオンラインストレージサービスだが、ファイルをオンラインにも置くことになるので、どうしてもセキュリティが気になる。そこで、暗号化ドライブ作成ソフトTrueCryptと組み合わせてセキュアに使ってみよう。 Dropboxといえば、(1)差分だけをほぼリアルタイムに高速バックアップ (2)複数のPC(MacもWindowsもLinuxも)でファイルを自動同期 (3)履歴自動保存で上書きしたファイルも復活可能 といった特徴を持つオンラインストレージサービス(こちらの記事参照)。年額99.99ドルで50Gバイト、2Gバイトなら無料で利用が可能だ。 しかしデータをオンラインにも置くことになるため、利用に当たってはそのセキュリティが気になる人もいるだろう。IDとログインパスワードだけ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
まとめよう、あつまろう - Togetter
インターネットの人を本気で好きになったのですが(追記)(修正)
http://www.machu.jp/posts/20090801/p01/
Microsoft Corporation
おしえてBP! wormが毎回、毎回.....
外務省 海外安全ホームページ
