CWE-20は知られているか? 〜 開発者必修のNo.1脆弱性のハズが知られていない 〜
(Last Updated On: 2021年6月17日) CWE-20とは何か?と聞かれて即答できる開発者は多くないと思います。そもそもCWEとは何か?もあまり知られていないかも知れません。 実はCWE-20 不適切な入力バリデーション はソフトウェアセキュリティで最も重要な脆弱性とされています、CWEのみでなく情報セキュリティ標準的に情報セキュリティ関連法的にも。 ※ CWE: Common Weakness Enumeration (共通脆弱性タイプ) CWEは脆弱性識別子のCVEで有名なMITRE(米国でのIPAの様な組織)が管理するソフトウエア脆弱性パターンを列挙したドキュメント/データベースです。日本語名の通り、よくある共通のソフトウェア脆弱性を集めた物がCWEです。 CWE-20の解説 – CWE/SANS Top 25 Monster Mitigation M1 実は態々私
「うんこボタン」全品交換の理由 - ITmedia NEWS
ソフトウェア開発会社の144Labは11月26日、同社が販売しているIoTデバイス「うんこボタン」の不具合について発表した。赤ちゃんの排泄をボタンを押すだけでクラウドに記録する「うんこボタン」は、これまで販売した全品が通信の不具合により動作しなくなったため、同社が回収し交換する。 不具合の原因は「2018年11月24日のうんこボタンサーバの通信環境アップデートにおけるミス」と同社は説明。後進復帰も不可能であるためボタンデバイス側のファームウェアを直接更新する必要があるという。 うんこボタンは、2つの押しボタンで赤ちゃんがうんこ、おしっこをしたタイミングをクラウドに記録。スマートフォンで使えるWebアプリとの連動により、固いか柔らかいかといった細かい情報を後で追加することもでき、それらの情報をLINEグループにより家族などと共有できる。2017年にMakuakeでクラウドファンディングし人気
ホンダの工場 サイバー攻撃受け1日操業停止 | NHKニュース
世界各国の企業などが大規模なサイバー攻撃を受け、事業を妨害される事態が広がる中、大手自動車メーカー、ホンダの埼玉県の工場もサイバー攻撃を受け、19日操業を停止したことがわかりました。 ホンダによりますと、感染したコンピューターウイルスは、先月、日産自動車のイギリス工場や日立製作所をはじめ、世界中の企業などに被害をもたらしたウイルスと同じタイプと見られるということです。ホンダは、ほかにもサイバー攻撃を受けた工場があり、詳しい調査を行っていますが、これまでのところ埼玉県の工場以外に生産への影響は出ていないということです。
元東大女子だが
http://anond.hatelabo.jp/20161115002441 三鷹国際宿舎は女子フロアの数が少ないので新入生の女子の枠は留学生含め30人程度、かつ留学生から優先的に入れるので(当然だが)、実質日本人女子は十名以下の定員だ。これはいくらなんでも少ない。 昔は三鷹に入れなかった場合は白金が受け入れてくれる場合もあるとあったが多くて4,5名、少ない時は1,2名、しかも留学生から優先される(なお現在白金寮はなくなった)。日本人だと地方出身者と親の年収が低い方からになるので、中近距離住まいの一般家庭の女子学生はほとんど寮に入れなかった。かといって駒場付近は家賃が高くしかも民間の女子寮ですら決して安くない。通学時間が片道2~3時間かかったとしても千葉・茨城・埼玉方面からくる女子は通学定期を買って通学したほうが安い。ところが通学だけで一日4~6時間かけてると正直進振りのレースには入れな
不審者情報の裏にあるもの - Hagex-day info
なるほど。 ・今までにあった修羅場を語れ【18】 632 :名無しさん@おーぷん:2016/08/04(木)01:12:43 ID:TrT 長文でごめんさない ネットでたまに見る不審者情報(事案)のニューズで 女に道をきいたとか、挨拶したとかだけで不審者とされた事案に 「そんなんで通報かよw男は何にもできないな」 みたいな意見を見る度に思い出す修羅場 高校の頃、塾の帰り道、「××山(地元で有名なデートスポット)へはどうやっていけばいいの?」 と、四十代くらいの知らないおっさんに道をきかれた その地点から徒歩で行ける距離ではなかったから電車を使うといいと思って、最寄駅への道を説明した すると「うーんわかんないから一緒に来てくれる?」と言い出す 何言ってんだこのおっさんと思いながら「すいません、急ぎますから…」と歩き出す私 するとおっさん何とこっちに付いてくる まるで恋人みたいに私の横に並んで
HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp
なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /
楕円曲線入門�トーラスと楕円曲線のつながり
A compact zero knowledge proof to restrict message space in homomorphic encry...MITSUNARI Shigeo
)
難読化が必要な理由
.NET 用に作成されたプログラムは、リバース エンジニアリングが簡単です。これは .NET のデザインに不備があるからではありません。最新の中間コンパイル言語が採用されているからです。.NET は表出的なファイル構文を使用して実行可能コード、すなわち MSIL (Microsoft Intermediate Language) を配信します。このような中間ファイルは、バイナリのマシン語コードよりも高度なもので、直接表示でき、最終的に理解可能な識別子やアルゴリズムを積み重ねたものです。判読性を高め、柔軟性と拡張性を持たせながら、同時に重要な部分を難読化することは、もちろん容易なことではありません。 .NET 逆コンパイラは誰でも無償で入手でき、これを使用してコードを簡単にリバース エンジニアリングできます。誰でもすぐに、ライセンス供与されたコード、コピー保護メカニズム、所有権を有するビジネ
TLS暗号設定ガイドライン 安全なウェブサイトのために(暗号設定対策編) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
「TLS暗号設定ガイドライン」は、TLSサーバの構築者や運営者が適切なセキュリティを考慮した暗号設定ができるようにするためのガイドラインです。「様々な利用上の判断材料も加味した合理的な根拠」を重視して、TLS通信での実現すべき安全性と必要となる相互接続性とのトレードオフを考慮した3つの設定基準(「高セキュリティ型」「推奨セキュリティ型」「セキュリティ例外型」)を設けており、各々の設定基準に対応して、TLSサーバで設定すべき具体的な要求設定(「遵守項目」と「推奨項目」)を決めております。 本ガイドラインは安全なウェブサイトの作り方とともに適切な暗号設定をする資料の一つとしてお使いいただけます。 なお、本ガイドラインは、暗号技術評価プロジェクトCRYPTRECで作成されました。 「TLS暗号設定ガイドライン」の内容 1章と2章は、本ガイドラインの目的やSSL/TLSについての技術的な基礎知識を
Google App Engineに複数の脆弱性--問題は「30を上回る」と研究者ら
Larry Seltzer (Special to ZDNET.com) 翻訳校正: 川村インターナショナル 2014-12-09 06:13 Security Explorationsの研究者は、「Google Cloud Platform」の一部である「Google App Engine」のJava環境に深刻な脆弱性が複数存在することを発見したと報告している。 Google App Engineは、人気の高いさまざまな言語やフレームワークを使用するカスタムプログラムを実行するためのGoogleのPaaS(Platform as a Service)製品だ。こうしたカスタムプログラムの多くは、Java環境で構築される。 Security Explorationsによると、これらの脆弱性を悪用すると、Java仮想マシンのセキュリティサンドボックスを完全に回避できるほか、任意のコードを実行す
そこそこセキュアなlinuxサーバーを作る - Qiita
先日「サーバーのセキュリティ設定がなにすればいいかわからない」と相談をうけまして。 自分も初心者の時どこまでやればいいかわからず手当たりしだいにやって沼に入っていたのを思い出しながら自鯖構築したときのメモを元にまとめてみました。 注意 セキュリティ対策は用途や場合などによって違います。 自分で理解したうえで自己責任でおねがいします。 対象読者 Linuxのサーバーを建て慣れていない人 Linuxはある程度さわれる人(自分でパッケージを入れたり、サービスを止めたりできる) ラインナップ ☆は導入の重要度と導入の容易さから個人的偏見からつけた値です。 4つ以上が"最低限やること"だと思ってください。 sshd
「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」
noon @n00nw0rks 日本人はリスク管理ができない、リスクはゼロにできないということを受容れられない、とよく言われるけど、日本人だからどうこうというより、リスクを管理できるだけの知識と論理的思考能力がない人は「怯える=意識高い」と考えているんだと思っていて、その話のたびに前の会社のことを思い出す 2014-11-13 11:12:30 noon @n00nw0rks 前の会社でCSRF発見して「hiddenなinputとセッション変数にランダムトークンを保存して照合し正当なページからのリクエストか判別する」のを提案したら「君は新人だから知らないと思うけどセッション変数が改竄されることもある。その対策は安全ではない」と呆れた顔で言われて、 2014-11-13 11:12:50 noon @n00nw0rks 確かにOSやミドルウェアに脆弱性があればそういうこともあるかもだけど、セ
無線LANを暗号化すればのぞき見されないという誤解
今日のニュースに次のようなものがありました。 無線LANのメール丸見え 成田、関西、神戸の3空港 成田、関西、神戸の3空港が提供する無料の公衆無線LANサービスでインターネットを利用した場合、送信したメールの宛先や中身、閲覧中のウェブサイトのURLを他人がのぞき見できる状態になることが26日、神戸大大学院の森井昌克教授(情報通信工学)の実地調査で確認された。 無線LANを暗号化すればのぞき見を防止できるが、パスワードの入力などが必要となり、3空港は利便性を考慮し暗号化していないという。 無線LANのメール丸見え 成田、関西、神戸の3空港 - 47NEWS(よんななニュース)より引用 「無線LANを暗号化すればのぞき見を防止できる」というのは、誤解です。 無線LANの暗号化方式には複数あり、WEP, TKIP, CCMP(AES)の3種類が使われています。これらは暗号化の方式を定めただけで、
これなら合格! 正しいリダイレクターの作り方
これなら合格! 正しいリダイレクターの作り方:HTML5時代の「新しいセキュリティ・エチケット」(4)(1/3 ページ) えっ、まだmeta refreshとか301使ってるの? リダイレクターの作り方も時代とともに移り変わります。記事を読んだらすぐに使えるセキュリティ・エチケットを紹介しましょう。 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回は、「オープンリダイレクター」という脆弱性について説明します。 オープンリダイレクターとは? オープンリダイレクターとは、あるURLを開くと自動的に他のページにジャンプするリダイレクト機能が、攻撃者によって任意の外部ページへのリダイレクターとして利用可能になっている問題です。 「http://example.jp」上で提供されるWebアプリケーションにて、例えば「http://example.jp/go?url=/nex
我々はどのようにして安全なHTTPS通信を提供すれば良いか - Qiita
HTTPS通信は複数のプロトコル、手法が組み合わされて実現されている。そのため、暗号化手法それぞれのリスク、ブラウザの対応等様々な用件があり、全てを理解するにはちょっと時間とリソースが足りない。結局のところ、我々はどのようにして安全なHTTPS通信を提供できるのか。色々調べていたところ、MozillaがMozilla Web siteに使用する、HTTPSの推奨設定を公開している。 Security/Server Side TLS - MozillaWiki このドキュメントはMozillaのサーバ運用チームが、Mozillaのサイトをより安全にするために公開しているもので、他のサイトにそのまま適用できるかは十分に注意する必要がある。例えばガラケー向けサイトとか。そのまま使えないとしても、HTTPS通信の設定をどうすれば良いか、理解の一助になるはずだ。 この記事は上記MozillaWiki
JavaScriptでセキュアなコーディングをするために気をつけること – cybozu developer network
(著者:サイボウズ kintone開発チーム 天野 祐介) kintoneはJavaScriptを使って自由にカスタマイズすることができます。 カスタマイズにより独自のリッチなUIを構築したり、新しい機能を追加したりできるようになりますが、セキュアなコーディングをしないとクロスサイトスクリプティング脆弱性を作り込んでしまう危険性があります。 この記事では、JavaScriptでセキュアなコーディングをするための基本的な点を解説します。 主な原因 脆弱性を作り込む主な原因になるコードは、要素の動的な生成です。特に、レコード情報などのユーザーが入力した値を使って要素を生成するときに脆弱性が発生しやすくなります。 対策 document.write()やelement.innerHTMLを使って要素を生成するときは、コンテンツとなる文字列をかならずHTMLエスケープするようにしましょう。 以下は
ネットワーク素人が、さくらクラウドで負荷分散構築した時のメモ1【準備編】 - という話
本来ならネットワーク管理者みたいな人がいて、その人にやってもらうほうが安全・安心なのですが、そうもいかない状況でプログラマがサーバー構築することも珍しくないと思います。 今回まさにそんな状況で、自分なりに勉強して試行錯誤して構築したメモです。 ナウい技術であるDockerとか使ってない、まごころ込めた手作りサーバーなので本気で勉強したい人は参考書とか買ってやったほうがいいと思います。 構築した構成図は以下の画像のようになってます。 (これが効率のよい形なのかは分かりません) WebサーバとDBサーバが2台ずつで、ファイルサーバが1台。 WebとDBをロードバランサで負荷分散させてるという構成です。 WebサーバーがApache+PHP。フレームワークとしてFuelphpを使います。 DBサーバーがMariaDBでレプリケーションを使って同期します。 FileサーバーはNFSを利用します。
正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう
正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「PHPer向け、Ruby/Railsの落とし穴」には、Rubyの落とし穴として、完全一致検索の指定として、正規表現の ^ と $ を指定する例が、Ruby on Rails Security Guideからの引用として紹介されています。以下の正規表現は、XSS対策として、httpスキームあるいはhttpsスキームのURLのみを許可する正規表現のつもりです。 /^https?:\/\/[^\n]+$/
間違いだらけのHTTPセッション管理とその対策
(Last Updated On: 2018年10月12日)HTTPセッション管理はWebセキュリティの中核と言える機能です。Webセキュリティの中核であるHTTPセッション管理に設計上のバグがある事は少なくありません。今回のエントリはPHP Webアプリ開発者ではなく、主にWebフレームワーク側の開発者、つまりPHP本体の方に間違いがあるという話しです。Webアプリ開発者の回避策も紹介します。 まずセキュリティの基本として「入力のバリデーションを行い、正当な入力のみを受け入れる」があります。しかし、PHPに限らず多くのセッション管理機構は当たり前の「入力のバリデーションを行い、正当な入力のみを受け入れる」を行っていません。セッションIDの再生成(リセット)も不完全な物が多いと思います。 参考: 知らないと勘違いする「合成の誤謬」の罠 開発者は必修、SANS TOP 25の怪物的なセキュリ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
