BinDiff now available for freeThe latest news and insights from Google on security and safety on the Internet
IDS08-J. 信頼できないデータは regex に渡す前に無害化する
正規表現は文字列のパターンマッチングに広く使われている。たとえば POSIX の grep ユーティリティでは、指定されたテキストの中から一定のパターンを拾い出すために、正規表現を利用できる。正規表現について詳しくは、Java チュートリアルを参照[Tutorials 08]。 java.util.regex パッケージは、コンパイル済みの正規表現を保持する Pattern クラスと、正規表現を解釈して CharSequence に対するパターンマッチングを行う Matcher クラスを提供する。 Java の強力な正規表現(regex)関連の機能は、悪用されないように保護しなければならない。攻撃者が元の正規表現を書き換えるような入力を与えることで、書き換えられた正規表現がプログラムの仕様に沿わなくなる可能性がある。この攻撃手法(正規表現インジェクション、regex injection)に
ビッグデータツールチェインのセキュリティはビッグリスク、あるいは、誰もHadoopをスクラッチからビルドする方法を知らない件について
ビッグデータツールチェインのセキュリティはビッグリスク、あるいは、誰もHadoopをスクラッチからビルドする方法を知らない件について The sad state of sysadmin in the age of containers コンテナー時代のシステム管理者の惨状 システム管理は惨劇に見舞われている。現状は悲惨だ。 筆者は昔気質のシステム管理者に不満はない。システムの稼働を維持し、アップデートし、アップグレードする方法を知っている者達だ。 この憤りは、コンテナーと構築済みVMと、それらがもたらす、「信頼」や「アップグレード」の欠如による悲惨な惨劇に対するものだ。 例えば、Hadoopを見てみろ。誰もHadoopをスクラッチからビルドする方法を知っているようには見えないぞ。依存性とバージョンとビルドツールが悲惨なほどに絡まりあっている。 この手のイケてるツールの中で、古典的なmake
[Withdrawn] End User Devices Security and Configuration Guidance
We use some essential cookies to make this website work. We’d like to set additional cookies to understand how you use GOV.UK, remember your settings and improve government services. We also use cookies set by other sites to help us deliver content from their services. You have accepted additional cookies. You can change your cookie settings at any time. You have rejected additional cookies. You c
![[Withdrawn] End User Devices Security and Configuration Guidance](https://cdn-ak-scissors.b.st-hatena.com/image/square/95e2e458d3f616b6a655bef1fcdeca467b001330/height=288;version=1;width=512/https%3A%2F%2Fwww.gov.uk%2Fassets%2Fstatic%2Fgovuk-opengraph-image-dade2dad5775023b0568381c4c074b86318194edb36d3d68df721eea7deeac4b.png)
HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
HTML5 は、WHATWG および W3C が HTML4 に代わる次世代の HTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来の HTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
エフセキュアブログ : 再録:パスワードは本当にSHA-1+saltで十分だと思いますか?
再録:パスワードは本当にSHA-1+saltで十分だと思いますか? 2012年06月07日19:05 ツイート sean_sullivan ヘルシンキ発 by:ショーン・サリバン 昨日、一部メンバーのパスワードに障害が起きたという報道を、LinkedInが認めた。 以下は彼らのブログからの情報だ: 「我々が先頃導入した強化版のセキュリティには、現行のパスワードデータベースのハッシュとsaltが含まれており、今回の影響でパスワードを変更するユーザーにも、パスワードに障害が起きていないメンバーにも利益を与えるだろう。」 ハッシュとsalt? それで十分なのか? それは以下の再録記事(アップデートを含む)で、昨年、エフセキュアのジャルノ・ネメラが呈した疑問だ。 ————— アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析
Apache httpd 2.2 vulnerabilities - The Apache HTTP Server Project
This page lists all security vulnerabilities fixed in released versions of Apache HTTP Server 2.2. Each vulnerability is given a security impact rating by the Apache security team - please note that this rating may well vary from platform to platform. We also list the versions the flaw is known to affect, and where a flaw has not been verified list the version with a question mark. Please note tha
Portecle: Home
Portecle is a user friendly GUI application for creating, managing and examining keystores, keys, certificates, certificate requests, certificate revocation lists and more. Features Currently, Portecle can be used to, for example: Create, load, save, and convert keystores. Generate DSA and RSA key pair entries with self-signed version 1 X.509 certificates. Import X.509 certificate files as trusted
Bsports | Nhà cái Bsport Uy tín - Đẳng cấp - Chất lượng
Trong thị trường cá cược ngày càng đông đảo nhiều nhà cái xuất hiện với nhiều quy mô khác nhau. Tuy nhiên, Bsports vẫn là sự lựa chọn hàng đầu và nhận được nhiều đánh giá cao từ người chơi. Nếu bạn muốn hiểu rõ hơn về nhà cái này thì hãy xem qua bài viết dưới đây nhé. Giới thiệu đôi nét nhà cái BsportsBsports là cổng nhà cái game cá cược uy tín hàng đầu Việt Nam. Hệ thống cá cược có giao diện độc
Nikto 2.5 | CIRT.net
Nikto is sponsored by Netsparker, a dead accurate and easy to use web application security solution. Nikto 2.5 is an Open Source (GPL) web server scanner which performs comprehensive tests against web servers for multiple items, including over 7,000 potentially dangerous files/programs, checks for outdated versions of over 1250 servers, and version specific problems on over 270 servers. It also ch
OWASP Foundation, the Open Source Foundation for Application Security | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Who is the OWASP® Foundation? The Open Worldwide Application Security Project® (OWASP) is a nonprofit foundation that works to improve the security of software. Through community-led open-source software projects, hundreds of local chapters worldwide, tens of thousands of members, a
SQL Injection Prevention - OWASP Cheat Sheet Series
Introduction Index Alphabetical Index ASVS Index MASVS Index Proactive Controls Index Top 10 Cheatsheets SQL Injection Prevention Cheat Sheet¶ Introduction¶ This cheat sheet will help you prevent SQL injection flaws in your applications. It will define what SQL injection is, explain where those flaws occur, and provide four options for defending against SQL injection attacks. SQL Injection attacks
Apache Tomcat® - Apache Tomcat 6 vulnerabilities
This page lists all security vulnerabilities fixed in released versions of Apache Tomcat® 6.x. Each vulnerability is given a security impact rating by the Apache Tomcat security team — please note that this rating may vary from platform to platform. We also list the versions of Apache Tomcat the flaw is known to affect, and where a flaw has not been verified list the version with a question mark.
OpenSSOでSSOを実践 — ありえるえりあ
SSOの構成 SSOを実現するシステムは、一般的にリバースプロクシ型とエージェント型に分類されます。この分類に従えばOpenSSOはエージェント型です。 しかし一般的なエージェント型から受ける印象とは少し違い エージェントに相当するモジュールがpolicy agentとして提供されているので(apacheのモジュールやtomcatのフィルタ)、対応済みのWebサーバやアプリケーションサーバであればSSO対象Webアプリにエージェントのコードを組み込む必要はありません (後述するように)policy agentをモジュールとして組み込んだapacheをリバースプロクシにすれば、リバースプロクシ型としてOpenSSOを動かせます 個人的に、この分類はそれほど重要だとは思っていません。より重要な分類は、SSO対象アプリ側のコードに「手を入れる必要があるか否か」の分類の方です。これは後述します。
The Web Application Security Consortium / Web Application Security Statistics
Methodology The statistics was compiled from web application security assessment projects which were made by the following companies in 2008 (in alphabetic order): Blueinfy Cenzic with Hailstorm and ClickToSecure DNS with WebInspect Encription Limited HP Application Security Center with WebInspect Positive Technologies with MaxPatrol Veracode with Veracode Security Review WhiteHat Security with Wh
Adobe - Flash Player:設定マネージャ
アドビは世界を変えるデジタルエクスペリエンスを提供しています。アドビのクリエイティブ、マーケティング、ドキュメントソリューションは、新進アーティストからグローバルブランドまでのあらゆるデジタルコンテンツを適切なタイミングで適切な人に提供することで最高の結果の実現を支援します。 この設定マネージャーは誰が使用するのですか? 設定マネージャーでは、何を行うことができますか? 設定マネージャーにはどのようにアクセスするのですか? プライバシーの設定とは? 記憶領域の設定とは? セキュリティの設定とは? 保護されたコンテンツの再生設定とは? ピアアシストネットワーク設定とは? ブラウザーで既にプライバシーとディスク容量に関するオプションを設定していますが、設定し直す必要がありますか? この設定マネージャーは誰が使用するのですか? Flash Player 10.3以降、Windows、Mac、およ
Securing tomcat - OWASP
This site is the archived OWASP Foundation Wiki and is no longer accepting Account Requests. To view the new OWASP Foundation website, please visit https://owasp.org Status * Content should provide a link and references to - SecureTomcat - http://securetomcat.googlecode.com Released 14/1/2007 Updated 10/7/2014 https://tomcat.apache.org/tomcat-7.0-doc/security-howto.html https://tomcat.apache.org/t
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTML5 Security Cheatsheet
Burp Suite - Application Security Testing Software
Google Code Archive - Long-term storage for Google Code Project Hosting.