Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測
Apache Struts 2に深刻な脆弱性、国内でも攻撃を観測:場合によってはリクエストの制限などの回避策を推奨 Apache Software Foundationは米国時間の2013年7月16日、深刻な脆弱性を修正するアップデート「Struts 2.3.15.1」を公開した。 Apache Software Foundationは米国時間の2013年7月16日、Webアプリケーションフレームワーク「Struts 2」の新バージョン「Struts 2.3.15.1」を公開した。深刻な脆弱性を修正するもので、同Foundationは早急なアップデートを推奨している。 Struts 2は、JavaによるWebアプリケーション開発に広く使われているフレームワークで、国内でも多くのサービスが採用している。 今回修正された脆弱性(S2-016)は、Struts 2.0.0から2.3.15までに存
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Suica履歴、販売していた…乗客に説明せず : 社会 : YOMIURI ONLINE(読売新聞)
約4300万人が利用するICカード乗車券「Suica(スイカ)」の乗降履歴が、今月からJR東日本によって市場調査用データとして販売され始めた。 JR東は「名前などは匿名化している」として、利用者に販売の事実を説明していなかった。国土交通省は個人情報保護法に抵触する可能性がないかJR東から事情を聞く一方、「事前に利用者に説明すべきだった」と注意した。企業の熱い視線がビッグデータに注がれる一方、プライバシー保護については明確なルールがない状態だ。 提供データは、私鉄を含む首都圏約1800駅の利用者の性別、年齢、乗降日時。定期券として使う客の場合も氏名や住所は除き、IDで個々のデータを識別する。日立製作所が購入し、駅ごとの集客力や客層を分析の上で販売。情報料は最低で年500万円になるが、「企業のマーケティング戦略に役立ち、需要は大きい」と説明する。
フェイスブック閲覧後にログインサイトでクロスサイト・スクリプティングに遭遇!対処法は? - OKWAVE
捕捉への返答です。 基本的にXXSはスクリプトが埋め込まれたページを開いたら実行され、その場で終わりです。ウイルスとかパソコンにインストールされるようなものではありませんので。 ただし、XXSを使うことにより、FlashやJavaなどのプラグインの脆弱性を利用し、外部ファイルをダウンロード、開かせることでマルウェア・ウイルスをパソコンにインストールさせることは可能だろうと思います。 ですので、XXS自体の危険性はもうないですが、XXSにより何をされたかは不明なので、念のためウイルス検索などしてみたほうがいいでしょう。 あと、Flashなどのプラグインは常に最新にアップデートしておくべきです。また不要なものは必ず無効にしておくのも忘れずに。普通の人はウェブブラウザにJavaは不要なはずです。Adobe Readerのプラグインも無効にしておいたほうが安全です。 個人的意見というか好みの問題で
セキュリティアナリストのつぶやき
2022.03.09 Azure AD導入環境に対するペネトレーションテストの資格「Certified Az Red Te...
Rails4セキュリティ レボリューションズ : iwamotのブログ
2013年07月18日01:09 カテゴリ Rails4セキュリティ レボリューションズ Rails4セキュリティ リローデッド(仮) Strong Parametersは仕組みとしてコントローラで入力パラメータのバリデーションを推奨。 params.require(:user).permit(:name, :email) my_params_validate(params) または paramsオブジェクトからバリデーションメソッドを呼ぶ様に拡張 params.require(:user).permit(:name, :email).validate(self) 「コントローラで入力パラメータのバリデーションを推奨」している大垣さんにとって、Strong Parameters がそれっぽいものに見えた これはよいものだと講演で取り上げた しかし、実際には単なるフィルタだった(大垣さんが定
[PHP] preg_replace における //e があぶない話 - tokuhirom's blog
Malware Hidden Inside JPG EXIF Headers という話題がでていたので見てみたところ、単に preg_replace がセキュリティ上問題があるインターフェイスだという話であって、EXIF 云々は直接的に 関係がなく、釣りエントリであることが判明した。 preg_replace は第一引数に正規表現を渡すが、その際に外部からの入力をそのままわたすと危険という話。 なぜならば preg_replace は '/.*/e' のように、eval flag をわたすことができるからだ。 以下のコードをみよ。 <?php preg_replace('/.*/e', 'eval("echo 5960+3;")', ''); つまり、preg_replace($_POST['foo'], $_POST['bar'], '') のようなコードがあった場合、任意のコードが実行
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://japan.internet.com/webtech/20130718/1.html