Memcached に潜むセキュリティホール | スラド セキュリティ
ストーリー by reo 2010年08月10日 10時30分 インターネット向けにポート開いちゃってる事がニュースなのでは 部門より さまざまなサイトで使われているキャッシュ機構、memcached に潜む脆弱性が 本家 /. 記事にて紹介されている。 memcached には認証機構やセキュリティ関連の機能を備えていないため、データベース〜 memcached 間や、Web サーバー〜 memcached 間のネットワークをモニタすることで、比較的容易にその通信内容を盗み見ることが可能であり、そこからたとえばユーザーのログイン ID / パスワードなどを取得するということが理論的には可能という。 前述のとおり memcached はセキュリティ機構がないため、利用には適切なネットワーク設定が必要であるが、たとえば bit.ly や Globworld、Gowalla といったサイトでは
XSSは本当に危ないか?日本のセキュリティ意識は過剰? | スラド セキュリティ
日本のセキュリティ対策会社として著名な「株式会社ラック」にお勤めの方が書かれた、@ITの記事「世間の認識と脅威レベルのギャップ——XSSは本当に危ないか?」が少し話題を呼んでいる。 著者は「いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?」、「おしかりを覚悟で書きます」、「XSSってそんなに危ないのか? 認識にギャップがないか?」と疑問を投げかけている。その理由として著者は、これまでセキュリティ対策の現場で働いた経験からして、「企業の株価が暴落したり、ビジネスを脅かすようなXSSは見たことはありません」とのことで、「SQLインジェクションと比べたら微々たるもの」といった根拠を挙げている。 XSSは罠を仕込んで被害者を誘い込む必要があり、攻撃の手間が大きいために実際の攻撃は多く発生していないということのようだ。その上で、次のように想いの丈を述べられているのだが、スラ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
