XSSとセキュリティリスクと正しい脆弱性報告のあり方 - 最速転職研究会
適当 XSSがある=なんでもやり放題ではない ブログサービスなど自由にHTMLをかけるようなサービスでは、害が及ばないように表示を丸ごと別のドメインに分けていたり、あるいは別ドメインのIFRAME内で実行したりしているのが普通です。個人情報を預かってるサイトは、重要個人情報についてはHTTPSじゃないと参照できなかったり、そもそも表示しなかったり(パスワードやカード番号等)、決済用のパスワードや暗証番号を入れないと操作できなかったりする。 参考までに http://blog.bulknews.net/mt/archives/001274.html (2004年のアメブロ脆弱性の話) http://d.hatena.ne.jp/yamaz/20090114 (信頼できないデータを取り扱うドメインを分ける話) 管理用と別ドメインに分けたにも関わらず、script実行できることに対してDISられ
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について
岡崎市中央図書館に1秒間に1回アクセスしたら逮捕されたけど不起訴になった件について。 当事者からの報告とそれに関連した高木先生などのつぶやきをまとめています。不完全かつ進行中です。
Adobe - デベロッパーセンター : より安全なSWF Webアプリケーションの作成
データの暗号化 SWF Webアプリケーションでデータを暗号化するには、いくつかの方法があります。ここでは、それらの方法について簡単に説明します。 ハッシュアルゴリズム 関連する脅威:送信中のデータに対する無許可のアクセス、ローカルデータに対する無許可のアクセス この節で取り上げるハッシュアルゴリズムの使用方法の詳細については、Google Codeのcorelibプロジェクトのページ*、およびAdobe Flex 3 SDKプレリリース版*を参照してください。 ハッシングとは、不可逆的な暗号化を行う方法で、元のテキストを一意の文字列(ハッシュ)に変換します。ハッシュは不可逆であるため、ハッシュを元のテキストに戻す方法はありません。ハッシュアルゴリズムは、パスワードの認証や格納などの処理を行う場合に便利です。多くのアプリケーションでは、パスワードがハッシュアルゴリズムを通じて処理され、作成
etchでリアルタイムウィルススキャン(dazuko + clamav -> dazuko + avira antivir) - jitsu102's blog
linuxでもリアルタイムスキャンが必要だよねということで。 当初、dazuko + clamavのオープンソースな組合せを予定してましたがClamukoが起動せず、dazuko + avira antivirに変更しました。 dazuko dazukoのサイトにあるdebパッケージを使ってインストール。 ダウンロードはここから。 $ sudo aptitude install module-assistant $ sudo dpkg -i dazuko-source_2.3.3-1_all.deb $ sudo m-a a-i dazukocapabilitiesモジュールがビルドされてないよと怒られました。 verifying capabilities are not built-in... built-in :( error: capabilities are built-in to
Hrt .NET - Linux - ウイルススキャンソフトClamAVを導入
ウイルススキャンソフトClamAVを導入 Hrt .NET Linux オープンソースのウイルススキャンソフトClamAVを導入します。 1.ダウンロード 下のサイトからダウンロードできます。 http://www.clamav.net/ http://www.clamav.net/binary.html#pagestart http://dag.wieers.com/packages/clamav/ このサイトにはCentOS用のバイナリが提供されておりません。 Fedora/RedHat用のものをダウンロードしてインストールすれば問題ないとおもいますが、ここはyumを使いましょう。 yumを使ってClamAVをインストールするときに、Fedora4とCentではやり方が異なります。 そのため途中までは両方のやり方を説明していきます。 もし他のOSやここに書いてあ
「Mac OS X 10.4/10.5」を乗っ取るトロイの木馬が出現,セキュリティ・ベンダーの警告
Macintosh向けセキュリティ製品を手がける米SecureMacと米Integoはそれぞれ米国時間2008年6月20日,Mac OS Xに感染するトロイの木馬が出回っていると警告した。SecureMacは「AppleScript.THT」,Integoは「OSX.Trojan.PokerStealer」と命名し,注意を呼びかけている。 SecureMacによると,このトロイの木馬は最近見つかった「Apple Remote Desktop Agent」に存在するセキュリティ・ホールを悪用してMac OS X 10.4/10.5に感染し,管理者権限で作動するという。Macintoshを遠隔操作されたり,パスワードを盗まれたりする恐れがある。 Mac OS X用スクリプト言語AppleScriptで記述されたコンパイル済みファイル「ASthtv05」(ファイル・サイズは60Kバイト)またはア
JavaScript/クロスドメイン制限の解除 - WebTips
Prev Next JavaScript クロスドメインというのは、違うドメイン(yahoo.comやgoogle.comのようなURLのホスト部分)間で諸々行なう事です。AJAXではXMLHttpRequestというメソッドを使って外部のファイルを読みこむ事が出来ますが、セキュリティの関係上、ドメインが違うファイルを読込む事は出来ない仕様になっています*1。これらを回避しなければ、スクリプトが置いてあるサーバ以外からファイルを読込む事は出来ないと言う事になります。いわゆるWEBサービスでは、さまざまなAPIが公開されていますが、せっかく公開されていてもココに制限があっては使えません。クロスドメイン制限を解除する方法を下記にまとめました。 PHPやCGI経由にする † 比較的安全かつ設定等も簡単なので、最も一般的な方法かもしれません。ただ、CGI等が使用出来る環境でなければならないし、外部
TrueCrypt - Free Open-Source On-The-Fly Disk Encryption Software for Windows Vista/XP, Mac OS X and Linux
WARNING: Using TrueCrypt is not secure as it may contain unfixed security issues This page exists only to help migrate existing data encrypted by TrueCrypt. The development of TrueCrypt was ended in 5/2014 after Microsoft terminated support of Windows XP. Windows 8/7/Vista and later offer integrated support for encrypted disks and virtual disk images. Such integrated support is also available on o
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
高木浩光@自宅の日記 - WASF Times版「サニタイズ言うな!」
■ WASF Times版「サニタイズ言うな!」 技術評論社の「Web Site Expert 」誌に、Webアプリケーション・セキュリティ・フォーラム関係者の持ち回り企画「WASF Times」が連載されている。私の番も回ってきたので昨年9月発売号に寄稿させていただいた。近頃はサニタイズ言うなキャンペーンもだいぶ浸透してきたようだし、もういまさら不要という気もするが、以下、その原稿を編集部の承諾のもと掲載しておく。 「サニタイズしろ」だあ? Webアプリを作ったらセキュリティ屋に脆弱性を指摘された――そんなとき、「入力をサニタイズしていない」なんて言われたことはありませんか? 「入力」というのは、ブラウザから送信された情報をCGIパラメータとして受信した値のこと。これを「サニタイズしろ」というのです。なんでそんなことしないといけないの?プログラムの内容からして必要のないことなのに? そう
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.digitaltrends.com/how-to/tips-help-improve-childs-safety-internet/
libra-sc.jp
http://clamav.net/lang-pref/ja/
http://www.f-secure.com/linux-weblog/2008/05/23/linux-security-701-released/
More secure Rails apps - Ruby on Rails Security Project
File:Owasp-rails-security.pdf - OWASP
News, Tips, and Advice for Technology Professionals
YouTube changes crossdomain.xml ?
IPA セキュア・プログラミング講座