エフセキュアブログ : XSSの脆弱性についてのコメント
XSSの脆弱性についてのコメント 2010年06月23日17:05 ツイート masanori_katayama オフィシャルコメント by:片山 昌憲 サイト運営者の視点でXSSの脆弱性についてコメントしたいと思います。このlivedoorブログだけでなく、エキサイトでもXSSの脆弱性は過去にありました。では、どのようにしてXSSの脆弱性を発見しているか?と言いますと、脆弱性のテストを外部機関にお願いして発見しています。もちろん、社内でもインターネットセキュリティに対する知見がある人材がおり、脆弱性についてはテストしていますが、セキュリティのプロでなければ発見できない脆弱性があるという事です。この脆弱性の発見後の対応は、もちろん開発したエンジニアが対応しており、同じような問題が2度と発生しないようにしています。ここで、重要な要素は以下のとおりです。 ・WEBサイトの開発者はセキュリティ
無料メールフォームCGIのダウンロード
メールフォームCGIはWebページのフォームに入力された内容をメールで通知するPerlスクリプトです。オープンソースライセンス(GPLv2)ですので無料で自由にカスタマイズして利用できます。メールフォームCGIは、Webページのフォームに入力された内容をメールで通知するPerlスクリプトです。 オープンソースライセンス(GPLv2)ですので無料で自由にカスタマイズして利用できます。 設置手順 ホームページへのメールフォームの追加は、CGIが利用できるサーバーであれば、次のような手順で簡単にできます。 1. mailform.cgi の先頭の以下の部分をサーバーなどの利用環境にあわせて変更します。 my $webmaster_email = 'webmaster@59log.com'; # Webmaster's E-mail address my $sendmail_path = '
EmPro.pdf - 情報漏洩に関するお知らせおよび今後の対策について
変化の中での営業力の本質的な強化に向けて AIの活用や営業機能の役割分化によって、営業組織を取り巻く環境が変化し続ける今、成果につなげるための営業力は、従来のスキル研修だけで身につくのでしょうか? 変化する環境に適応した営業能力とは? その時マネジャーに求められる役割とは? ウィルソン・ラーニングは、変化に適応できる営業・営業組織の能力開発に焦点を当て、関連するさまざまな要素を「見える化」し、営業組織のパフォーマンス向上をお手伝いします。 営業力強化 メンバーの可能性と自発性を高めるマネジメントを 今、管理職には、ビジネスを正しく効率的に管理するマネジメントと同時に、価値創造と変革をリードする新しいスタイルのマネジメントが求められています。その最先端とも言うべき「新規事業創造」の分野における実践研究から、価値創造の挑戦を支援する「イネーブルメント」という考え方が生まれました。あらゆるリーダ
書籍「はじめてのPHPプログラミング基本編5.3対応」にSQLインジェクション脆弱性 - 徳丸浩の日記(2008-10-29)
id:hasegawayosuke氏にそそのかされるような格好で、「はじめてのPHPプログラミング基本編5.3対応」という書籍を購入した。 本書は、ウノウ株式会社の下岡秀幸氏、中村悟氏の共著なので、現役バリバリのPHP開発者が執筆しているということ、下記のようにセキュリティのことも少しは記述されているらしいという期待から購入したものだ。 目次から抜粋引用 07-07 Webアプリケーションのセキュリティ [セキュリティ] 08-04 データベースのセキュリティ [SQLインジェクション] 09-13 セキュリティ対策 [セキュリティ] 本書をざっと眺めた印象は、「ゆるいなぁ」というものであるが、その「ゆるさ」のゆえんはおいおい報告するとして、その経過で致命的な脆弱性を発見したので報告する。 問題の報告 それは、本書P280に登場する「SQLインジェクション対策用の関数(dbescape)」
http://www.nttv6.net/files/DKA-20080723.pdf
DNS DNS Cache Poisoningの概要と対処 (Dan KaminskyによるDNS脆弱性指摘に関して) 23rd Jul 2008 Updated 19th Aug 2008 NTT情報流通プラットフォーム研究所 豊野 剛 toyono@nttv6.net Information Sharing Platform Labs. NTT 1 はじめに はじめに • この文書の目的 – 2008年7月22日に漏洩,8月7日に公開されたDNS脆 弱性攻撃手法に関して概略的に述べたものです • 問題点と影響度 • 対処方法 – 攻撃手法に関しては説明していません – BlackHat2008の資料が公開されたため附記 (8/7) • 多くのWebサイト上で技術的な解説がされています • 各種の攻撃ツールが出回っています Information Sharing Platfor
第3回 サーバー・ソフトのぜい弱性をなくす
前回はパスワード攻撃への対策について説明したが,今回はプラットフォームぜい弱性対策について説明する。 ITproの記事「大規模なWeb改ざんが再び,『50万サイトが被害,偽動画サイトへ誘導』」によると,phpBBという掲示板プログラムの既知のぜい弱性を悪用されて非常に多くのサイトが改ざんの被害を受けた。phpBBのようなアプリケーションも含め,OS(WindowsやUNIX),Webサーバー・ソフト(IIS,Apacheなど),言語処理系やミドルウエア(PHP,Tomcatなど),不特定のユーザーが利用する商用製品やオープンソースのソフトウエアにぜい弱性があり,それを悪用されるという攻撃事例は多い。 phpBBの場合は掲示板アプリケーションのぜい弱性を狙われたわけだが,phpBBの記述にも利用されている言語PHPのぜい弱性が狙われた事例も多い。歴史的には,個別アプリケーションのぜい弱性より
これは CSRF ですか? | 水無月ばけらのえび日記
Webアプリケーションの中には,セッションIDを格納したクッキーを発行するものがある。例えばSNSのような会員制サービス,Webメール,オンライン・ショッピングなどでよく使われる。セッションIDは認証済みのユーザーに対して発行されるため,これを奪い取られると第三者によるなりすましを許してしまう。これを狙って,ユーザーが気付かないうちにブラウザを「乗っ取る」のが,CSRFのぜい弱性を突く攻撃である。 えーっ。ちがうよ、全然ちがうよ! この説明は単なる Cookie 奪取によるセッションハイジャックで、CSRF ではないと思います。むしろ「Cookie の奪取が必要ない」というのが CSRF のポイントだと思いますし。 図もやや微妙ですね……。図の 4番で CSRF 攻撃によるパスワード変更が行われた後、5番ではそのパスワードを使って攻撃者がアクセスしています。これはこれで間違ってはいないので
高木浩光@自宅の日記 - 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰?
■ 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰? 目次 一太郎zero-day攻撃発覚経緯の謎 Symantecは脆弱性分析のプロではない 日本人Symantec社員は非日本国民か 非国民は誰? ジャストシステム社も経済産業省告示を無視? 現行の届出制度はzero-day攻撃に対応していない 一太郎zero-day攻撃発覚経緯の謎 先週こんな報道があった。 一太郎の脆弱性を狙う新たな攻撃、集中的に狙われているとSymantecが警告, INTERNET Watch, 2007年12月14日 またか。 「また一太郎か」という意味ではなく、「また Symantec か」という意味でだ。 一太郎関連製品のバッファオーバーフロー系の脆弱性はこれまでに8回見つかっており、うち3回は、攻撃に悪用される前にIPAとJPCERT/CCを通じて事前に修正されたもの(JVN#90815371,
CSRF対策を行いました - はてなハイク日記
先ほど、はてなハイクでの投稿時に、CSRF対策を追加しました。 この対策が行われていなかったことで、特定のURLをクリックするとあらかじめ第三者が用意した内容が自動的に投稿されてしまう問題がありました。 ご指摘を頂いたユーザー様、有難うございました。
twitterにクロスサイトスクリプティング(XSS)脆弱性があればパスワードを変更できる - ockeghem's blog
秋のDK収穫祭などで騒がれている、いわゆるDK祭り。 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 http://blog.livedoor.jp/dankogai/archives/50959103.html 現象から見てセッションハイジャックされたと思われるが、原因となる脆弱性が小飼弾氏の主張どおりCSRF(Cross Site Request Forgeries)だったのか、パスワードは窃取されたのか、元々のパスワードが類推しやすいものだったのかなど、議論を呼んでいる。 私は、現象からみて、原因となる脆弱性はCSRFではなく、XSSだったと思う*1。twitterにXSS脆弱性があれば、セッションハイジャックにより、第三者が小飼弾氏になりすまして発言するところまでは可能だ。しかし、一般的にはXSSではパスワードまでは窃取できない。id:ha
Firefoxに危険度「高」の脆弱性、最新版にアップデートを
仏セキュリティ機関FrSIRTは11月26日、Mozilla Foundationの「Firefox」ブラウザおよび「Seamonkey」スイートで3件の脆弱性が発見されたと報告した。危険度は4段階中最も高い「Critical」としている。 1つ目の脆弱性は、不正な形式のデータを処理する際にメモリ破損エラーが生じるというもの。攻撃者がこれを悪用すると、ユーザーをだまして不正なWebページに誘導することで、ブラウザをクラッシュさせたり、任意のコードを実行することが可能になる。 2つ目の脆弱性は、「window.location」プロパティを設定する際に競合状態が起きることが原因。この脆弱性を悪用すると、クロスサイトリクエストフォージェリ(CSRF)攻撃を実行できるという。 3つ目の問題は、「jar:」を処理する際のエラーが原因で起きる。この問題を突かれるとクロスサイトスクリプティング(XSS
メモリを解析して脆弱性を自動的に検出、攻撃コードを作成するツール
オープンソースのセキュリティツールで有名(?)なImmunityのDebuggerが結構話題になっている。他にもいろいろ紹介されているようですがeWeekの記事が分かりやすい。 http://www.eweek.com/article2/0,1895,2166829,00.asp Debuggerはヒープやスタックメモリを自動的に解析して脆弱性を検出し、ほぼ自動的に攻撃コードを作成することもできるようです。攻撃コードの作成時間を50%削減できるとしています。 http://www.immunitysec.com/products-immdbg.shtml 一時的には0day攻撃が増える事が予想されますが脆弱性検査が容易になる、特に機械的検出できるような脆弱性検査が容易になる、のは良い事だと思います。
Webアプリ脆弱性を検出する“エクスプローラー” - @IT
2007/09/26 ユービーセキュアは9月26日、クライアント/サーバ型のWebアプリ脆弱性検査ツール「VEX(Vulnerability EXplorer)」を発表した。 これまで市販されている検査ツールはクライアントPC上で動作する形態が一般的であったが、VEXでは独立したサーバ上で動作し、検査結果を1カ所に蓄積する。これにより、プロジェクトの品質情報を開発チーム内で共有できることが特徴だ。 Webアプリケーションの脆弱性は、開発時に意図せず混入されることが多いため、開発段階で繰り返し脆弱性検査を行うことが望ましい。VEXは同社コンサルタントが持つノウハウを基に検査パターンを作成し、潜在する脆弱性を検査する。主な検査可能項目としてはSQLインジェクションやクロスサイトスクリプティング、不正なクッキーなど、既知の一般的な脆弱性をカバーしている。 レポート出力機能を用意していて、検出され
Firefoxのひどい脆弱性 - ockeghem's blog
id:hasegawayosukeさん経由 FirefoxとIEの相互作用でまた新たな脆弱性、エクスプロイトも公開 - ITmedia エンタープライズ MozillaのFirefoxブラウザとMicrosoftのInternet Explorer(IE)の相互作用で生じる深刻な脆弱性が、また新たに報告された。Firefoxが数日前にリリースしたバージョン2.0.0.5では未対応。IE 7が関与するエクスプロイトも公開されているという。 【中略】 US-CERTによると、この脆弱性は、Firefoxが特定のURIをフィルタにかけないまま、登録されたアプリケーションに引き渡してしまうことに起因する。これにより、リモートの攻撃者がFirefoxを攻撃経路として使い、悪質なURIを利用して任意のコマンドを実行することが可能になる。 インターネット上のコンテンツ経由で、クライアントのプログラムを実
[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記
だいぶ時間がたってしまいましたが、大垣さんの以下のブログにコメントしたことなどをまとめます。 画像ファイルにPHPコードを埋め込む攻撃は既知の問題 – yohgaki's blog アップロード画像を利用した攻撃についてです。 攻撃の概要 画像ファイルにPHPコマンドを挿入する攻撃は、大きく2種類に分けることができます。 1つは、画像のアップロード機能を持つサイト自身を狙う攻撃です。PHPで開発されており、任意の拡張子のファイルのアップロードを許すサイトでは、拡張子がphpなどのファイルをアップロードされる恐れがあります。 拡張子がphpなどのファイルに仕込まれたPHPコマンドは、そのファイルにHTTP/HTTPSでアクセスされた際に実行されます。攻撃者は、アップロードファイルを通じて、画像が置かれるWebサーバ上で任意のコマンドを実行することできます。 この脆弱性は、アップロード可能なフ
![[セキュリティ]画像へのPHPコマンド挿入 ― T.Teradaの日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/714eff136aa194124b20af8bc1cd8f12535fef11/height=288;version=1;width=512/https%3A%2F%2Fcdn.image.st-hatena.com%2Fimage%2Fscale%2Fdda40cd304cd0a1b53411a50c48189820296dcde%2Fbackend%3Dimagemagick%3Bversion%3D1%3Bwidth%3D1300%2Fhttp%253A%252F%252Ff.hatena.ne.jp%252Fimages%252Ffotolife%252Ft%252Fteracc%252F20070624%252F20070624205401.gif)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JVN#06045169: mod_imap におけるクロスサイトスクリプティングの脆弱性
【セキュリティ ニュース】「@SOLAショップ」の個人情報流出問題で丸紅インフォが調査報告 - システムや顧客情報は廃棄へ(1ページ目 / 全1ページ):Security NEXT
http://www.soldam.co.jp/info/20071013/index.html
United States
https://www.jpcert.or.jp/at/2007/at070016.txt