エフセキュアブログ : クローズアップ現代のいう"巧妙"とは?
クローズアップ現代のいう"巧妙"とは? 2013年07月01日08:47 ツイート daiki_fukumori オフィシャルコメント by:福森 大喜 先月(2013年6月6日)にNHKで放送されたクローズアップ現代では「国家の“サイバー戦争”〜情報流出の真相〜」というタイトルで国家間のサイバー戦争が取り上げられました。 放送内容はNHKのサイトで読めるようになっています。 番組の中で、私が調査したウイルスが仕事に関係する文書を巧妙に装っていたとして紹介されました。 「こんなのひっかかるやつのレベルが低い!」と思われるかもしれませんが、これは解析環境上での表示であって、実際に被害者が目にする表示ではありません。 例えば、Windows 7をデフォルト設定で使っている人のPCでは次のように表示されます。 この中でどれがウイルスなのかわかりますか? ファイルの種類がアプリケーションやスクリ
新たなSSDキャッシュ「bcache」を実験的に導入、Linuxカーネル3.10が登場 | OSDN Magazine
Linus Torvaldsは6月30日、「Linuxカーネル3.10」を発表した。SSD向けのキャッシュ機構「bcache」が新たにサポートされたほか、マルチタスクやBtrfsの強化など多くの機能強化・改善が行われている。 Linuxカーネル3.10は、4月30日に登場したカーネル3.9から約2か月ぶりの新規リリースとなる。大きな特徴として、SSDなどのストレージデバイスをハードディスクのキャッシュとして利用することで読み込みを高速化するフレームワーク「bcache」の導入がある。SSDキャッシュはカーネル3.9の「dm-cache」で初めて導入された機能で、bcacheは小容量のブロックデバイスを利用するブロックレイヤーキャッシュ技術。L2ArcやZFSに似たものだが、ライトバックキャッシュも可能でファイルシステムにも依存しないという。 また、タイマーを使わずにマルチタスクを実現する「
さよならシリコンバレー - Hidden in Plain Sight
明日から、8年間住んだサンフランシスコ・ベイエリアを離れてラスベガスに引っ越します。 びっくりでしょ。いやー自分でもびっくりです。なんせ、そんなことは数ヶ月前までは考えたこともなかったからです。ある日の突然の思いつきで、ラスベガスにコンドミニアム(日本でいうマンション)を購入することを思い立ち、そこから3週間後には現地で契約書にサインしていました。いわゆる衝動買いというやつですかね。。。ともかく、あっという間でした。 で、このことを言うと、色々な人に「なぜ?」と怪訝な顔で聞かれるので、自分自身で整理する意味でもきちんと書いてみようと思いました。 結論をひとことでいうと「経済的な合理性」なのですが、まずは背景から。 高騰する家賃 サンフランシスコは、家賃がどんどん上がっています。どのぐらい高いかというと、2013年の現在、1ベッドルーム、日本でいう1LDK的な間取りの平均家賃が$2,700で
SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?
コードゴルフという競技があります。与えられた問題(例えばFizzBuzz)を解くコードを、いかに短いプログラムで実現できるかというものです。 脆弱性の世界でもXSS Golfというものは既にあるようで、我らが はせがわようすけ氏にも、「短いXSSの話」というプレゼン資料が公開されています。第2回のOWASP Japanローカルチャプターミーティングでの講演ですね。これ、面白いので、まだ見ていない方はぜひご覧になって下さい。 XSSがあるならSQLインジェクションはどうかということで、ちょっと考えてみました。この手の遊びは、問題のルールが命というというところはありますが、最初なのであまり厳密に考えずにだらだらとやってみます。 攻撃対象プログラム やはり、SQLインジェクション攻撃でみなさまおなじみの認証回避がよいのではないかと思いました。拙著「体系的に学ぶ 安全なWebアプリケーションの作り
SQLインジェクションゴルフ - なんと3文字で認証回避が可能に
昨日のエントリ「SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?」にて、認証回避の攻撃文字列が5文字にできる(「'OR'1」)ことを示しましたが、@masa141421356さんと、やまざきさん(お二人とも拙著のレビュアーです)から、idとpwdにまたがった攻撃例を示していただきました。やまざきさんの例は、MySQL限定ながら、なんと3文字です。これはすごい。 @masa141421356さんの攻撃例 @masa141421356さんのツイートを引用します。 @ockeghem 大抵のDBでid=''OR' AND pwd='>' ' が通ると思います(id側に「'OR」, pwd側に「>' 」で6文字)。長さ0の文字列がNULL扱いされないDBなら最後のスペースを消して5文字です。 — masa141421356 (@masa141421356) June
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
