XSS (Cross Site Scripting) Cheat Sheet
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion By RSnake Note from the author: XSS is Cross Site Scripting. If you don't know how XSS (Cross Site Scripting) works, this page probably won't help you. This page is for people who already understand the basics of XSS attacks but want a deep understanding of the nuances regarding filter evasion. This page will also not show you how to
もっとも危ないプログラミングエラー25、+16 | エンタープライズ | マイコミジャーナル
CWE is a Software Assurance strategic initiative sponsored by the National Cyber Security Division of the U.S. Department of Homeland Security. CWE - 2010 CWE/SANS Top 25 Most Dangerous Programming Errorsにおいて脆弱性の原因となる危険なプログラミングエラー25が発表された。開発者にセキュリティ問題の原因となるプログラミングに関する注意を促し、実際にソフトウェアが動作する前の段階で問題を発見し対処できるようにすることを目指したもの。2009年に発表されたリストの更新版にあたり、内容の多くが更新されている。2009年版を使っていた場合には、今回発表された2010年版を再度検討する価値がある。
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
iモード専用サイトのhtmlソースの閲覧方法 « mpw.jp管理人のBlog
iモードブラウザ2.0のJavaScriptを調査・研究する過程で、iモード専用サイトのhtmlソースを閲覧する方法を発見しました。 今回発見した方法を用いれば、「ドコモ・ゲートウェイ以外からのアクセスを禁止している」、「サーチエンジンのクロールを禁止している」、「XSS脆弱性が存在しない」の三つの条件を満たしているiモード専用サイトでも、htmlソースを閲覧することができます。 しかし、htmlソースを閲覧するためには、そのiモード専用サイトが別の二つの条件を満たしている必要があります。 htmlソースが閲覧可能なiモード専用サイトの条件 デフォルトホストで運用されている。(ヴァーチャルホストではない) iモードブラウザ2.0のJavaScriptからのアクセスを禁止していない。 iモード専用サイトのhtmlソースの閲覧方法 iモードブラウザ2.0のJavaScriptで、htmlソース
ファイル名は「左から右に読む」とは限らない?!
ファイル名は「左から右に読む」とは限らない?!:セキュリティTips for Today(8)(1/3 ページ) 私たちの常識が世界では通用しないことがあります。攻撃者はそんな心のすきを狙って、落とし穴を仕掛けます。今回はそれを再認識させるかのような手法と、その対策Tipsを解説します(編集部) 皆さんこんにちは、飯田です。先日、セキュリティ管理者の方々と「今後のウイルス対策のあり方」について意見交換をする機会がありました。参加者からは活発な意見や質問も飛び交い、盛り上がりを見せた意見交換会となりました。私自身も多くの気付きや学びを得ることができ、貴重な時間を過ごすことができました。 その意見交換会の中で、Unicodeの制御文字を利用したファイルの拡張子偽装の話題が出ました。この手法は目新しい手法ではなく、数年前からすでに指摘されていたものです。しかし、久しぶりに本手法について議論するこ
高木浩光@自宅の日記 - 本当はもっと怖いGoogleマイマップ
■ 本当はもっと怖いGoogleマイマップ 適当に検索して見つけたブログで(既に消えているようだが)こんな発言があったようだ。 Googleマップで他人の個人情報を晒したことに気づいてあわてている人のニュースが、最近、盛んだ。 いったいどうしてこんなことになってしまうのか、私には不思議でならない。 私もマイマップはよく使っているので、公開・非公開の違いは注意深くチェック ... Googleマップに他人の個人情報を掲載する愚か者と、ここぞとばかりに ..., オリマー, 2008年11月8日 しかしどうだろう。Googleマイマップを「よく使っている」という人でも、自分が作成するマップがいつどの時点で公開状態となるのか(パブリッシュされるのか)、そのタイミングを理解している人はどれだけいるだろうか。 Googleマイマップの「新しい地図を作成」をクリックした直後はこうなっている。
ScanNetSecurity - Black Hat Japan 2008 GIF+JAR=GIFARファイルでドメインベースの信頼は破壊される ネイサン・マクフィーター氏
Black Hat Japan 2008 GIF+JAR=GIFARファイルでドメインベースの信頼は破壊される ネイサン・マクフィーター氏 2008年10月10日に開催されたBlack Hat Japan 2008で、「インターネットは壊れている:Document.Cookieのむこう側」というテーマでネイサン・マクフィーター氏が発表した。マクフィーター氏はGIFファイルに手を加えることで、GIF画像ファイルだがJARファイルとしても認識するGIFARファイルを紹介した。 このGIFARファイルを活用することで、イントラネットやデスクトップなどのクライアントサイドの情報が盗むことができる可能性があると発表した。 ●GIFファイルとしてアップロードし、JARとして動作するGIFARファイル GIFARファイルは、画像ファイルであるGIF形式のファイルの外見をしていながら、Java
組織の情報セキュリティ対策自己診断テスト 情報セキュリティ対策ベンチマーク | アーカイブ | IPA 独立行政法人 情報処理推進機構
情報セキュリティ対策ベンチマークをご利用いただきまして、ありがとうございます。 ベンチマーク診断サイトは、「情報セキュリティ対策支援サイト」の1サービスとして、2020年5月28日に刷新版を公開いたしました。以下のWebサイトよりお進み下さい。 ●「情報セキュリティ診断サイト」 なお刷新版では、ご利用のログインIDで最初にログインを行った際、 新しいログインIDとパスワード再発行の操作を行う画面が表示されますので、お手数をお掛けいたしますが、 再発行の手続きをお願いいたします。詳細は以下の利用マニュアルの24ページをご確認下さい。 ●「情報セキュリティ対策支援サイト利用マニュアル」(PDF 6.43MB) 最新版(Ver.5.1)「診断データ統計情報」は「情報セキュリティ診断サイト」で公開しております。 (2022年3月22日)
Communicating Threats
2007/12/12 山口 也間斗 YAMAGUCHI, Yamato Communicating Threats 人に脅威をお伝えすること Drop your guard? What are you talking about… This is what you call composure. Rev.2.0nb 今回のテーマについて • 技術的な話は一切しません。 • ただし、スキルと同じかそれ以上に大事 な話かもしれません。 • 後半はネタに走るので出て行くなら今の うち • rev.1.0 … 2007年12月1日発表 • rev.1.1 … 一部のシートを削除 • rev.2.0nb … 画像の変更、文言の若干の修正 更新内容 第一章 「 私の業務とは何か? 」 Communicating Threats 人に脅威をお伝えすること Drop your guard? What a
「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者 ― @IT
2007/07/19 URIをIDとして扱うオープンな認証プロトコル、「OpenID」が北米で本格的な普及期にさしかかろうとしている。2005年の夏にブログソフトウェアを提供する米シックス・アパートから提案されたOpenIDは、2007年に入ってから関係各社・団体からのサポート表明が相次いだ。 Mozillaファウンデーションは1月、次期バージョンのFirefox 3でOpenIDサポートの意向を表明。2月にはマイクロソフトやRSAセキュリティもサポートを表明、DiggやNetvibesといったWeb2.0サービスサイトでもサポートの表明があった。同じく2月、AOLは6000万人のユーザーすべてにOpenIDのアカウント(URI)を発行。日本でもlivedoorが5月にOpenIDサポートを開始している。現在、OpenIDユーザーは全世界で約1億2000万人を数え、OpenIDを受け付ける
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA セキュア・プログラミング講座