IPAたんからお礼が! - ぼくはまちちゃん!
はじめてのほうこく IPAたんからの返事 IPAたんからへんじこない のつづきです!!! 返事きたよ! きてました>< Date: Thu, 01 Feb 2007 20:43:06 +0900 To: Hamachiya2 Subject: 【IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430】 届出いただいた件について - ----------------------------------------------------------------- このメールは、以下の取扱い番号に関する連絡です。 IPA#32334280/IPA#11631745/IPA#92669403/IPA#94436430 - ----------------------------------------------------------------
サーバにDoS耐性を付ける - stanaka's blog
ウェブサービスでは、アクセスが集中して、サイトが落ちる、というのは、よくある話です。純粋に人気が出てアクセス集中するなら、サーバ管理側の責任と言われても、しかたないと思います。しかし、botやF5アタックによる突発的な集中アクセスで、落ちてしまう、というのは、運営側としても、あまり納得がいくものではありません。 そのような突発的なアクセスに対応するために、大量のアクセスをしてくるクライアントを検出し、優先度を落すか、アクセス禁止にする方法などがあります。 というわけで、Apacheモジュールでそれを検出するためのmod_dosdetectorを開発しました。(ちなみにコア部分の開発期間は、Apacheモジュールって、どう書くんだっけ、という状態から、3日でした。) mod_dosdetectorは、Apacheモジュールとして動作し、クライアントのIPアドレスごとにアクセス頻度を測定し、設
IPAたんからの返事 - ぼくはまちちゃん!
Date: Tue, 30 Jan 2007 10:37:05 +0900 From: "IPA/vuln/Info" To: root@hamachiya.com はまちや2様 ウェブアプリケーションの脆弱性関連情報を届出いただき、ありが とうございます。 本件につきまして、ガイドラインの以下の項目に記載がありますよ うに、届出の際には発見者様の氏名をご記入頂いております。 これは、責任ある届出を促すためであり、匿名やハンドルネームの 届出は受理できませんので、実名での届出にご協力をお願い致します。 ----------------------------------------------------------- 「情報セキュリティ早期警戒パートナーシップガイドライン」P.17 V.ウェブアプリケーションに係る脆弱性関連情報取扱 2. 発見者の対応 4) 届け出る情報の内容 ・発見者
isologue - by 磯崎哲也事務所 犯罪・冤罪を発生させないための鉄道会社の人道的責任(なぜカメラに投資しないのか?)
周防正行監督の「それでもボクはやってない」を見て、警察、検察、裁判所のあり方に大きな疑問を持った人も多いかと思います。しかし、そもそも「全知全能でない神ならぬ人間が人を裁く」わけで、裁判官に「必ず真実を見抜いてくれる」と期待するのは、人間の能力上、無理がある。 構造的な「期待ギャップ」なわけです。 警察や検察の方々も、基本的に真面目に仕事をしてらっしゃるはずですが、「誰の目にも明らかな証拠」が無いものについて判断ミスが出るのは、ある意味仕方ない面があります。 −−− しかし、(冤罪全般はともかく)、こと痴漢冤罪の問題についてはテクニカルにきれいに解決できるはずです。 鉄道会社が がんばれば。 「ムーアの法則的」に安くなっているカメラ監視システム 携帯にいまや必ずカメラがついているように、カメラはすでに1個数百円の原価になってきています。 たとえば4ドアの車両で上図のようにカメラを天井に配置
仙台経済新聞を2秒でクラックした - omoti の日記
なんか読売だかのサイトで 「仙台経済新聞がスタートする」 って書いてあって、それで 「正式に開始するまでサイトは見れないようになっている」 って書いてあって、そこに書いてあったURLを入れてみたら BASIC認証がかかっていて、IDとパスワードを入れないと 見れないようになっていた。 で、その責任者みたいなやつのインタビューが載っていて 「仙台の良い面をアピールしたい」 とかってインタビュー記事が載っていて、 今回、利用できるデーターはほんとにわずか それだけだったけど、たぶんこいつの頭の中は 「仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台! 仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!仙台!」 って感じになってるんだろうなーと思って って入れてみたら、一回目の試行で いきなりヒットで、認証通って 本来非公開の
初級PHPプログラマがおかしがちなミスTOP10:phpspot開発日誌
The PHP coder's top 10 mistakes and problems @ SourceRally.net PHP Community 「PHPプログラマがおかしがちなミスTOP10」、という記事があったので紹介。 PHP初心者だとこういうミスがよくありますね。ということで今年からPHPをはじめようと思っている人には気をつけてほしいリストです。 生でクエリを出力しない echo $_GET['username']; ↓ echo htmlspecialchars($_GET['username'], ENT_QUOTES); やらないとクロスサイトスクリプティングされます。 SQLクエリに$_GET,$_POST,$_REQUESTの値を直接含めない $sql = "select * from table where id=".$_GET["id"]; ↓ $sql =
Kazuho@Cybozu Labs: E4X-XSS 脆弱性について
« 安全な JSON, 危険な JSON (Cross-site Including?) | メイン | JSONP - データ提供者側のセキュリティについて » 2007年01月10日 E4X-XSS 脆弱性について Firefox でサポートされている JavaScript 拡張 E4X (ECMA-357) では、JavaScript 内に XML とほぼ同様のマークアップ言語を記述できるようになっています。しかし、マークアップ言語の解釈にはいくつかの違いがあり、この点をついたクロスサイトスクリプティングの可能性が (相当に小さいものの) 存在します。攻撃者は、 ウェブアプリケーションに E4X として解釈した場合に実行コードとして解釈されるコードを注入 (XSS) し、 1 のコンテンツを <script> タグを用いて参照するような別のウェブサイトを用意し、攻撃対象にアクセスさせ
Kazuho@Cybozu Labs: 安全な JSON, 危険な JSON (Cross-site Including?)
« クロスサイトのセキュリティモデル | メイン | E4X-XSS 脆弱性について » 2007年01月06日 安全な JSON, 危険な JSON (Cross-site Including?) 先のエントリで、 JSON については、JavaScript として副作用をもたない (もたせようがない) ゆえに文法違反であるがゆえに、秘密情報を含むデータフォーマットとして使用することができるのです。 (Kazuho@Cybozu Labs: クロスサイトのセキュリティモデル) と書いたのですが、認識が甘かったようです。Jeremiah Grossman: Advanced Web Attack Techniques using GMail によると、配列の初期化演算子 [] の動作を外部から変更することができる注1とのこと。 実際に手元の Firefox 1.5 で試してみたところ、JS
赤の女王とお茶を - マインド・ハックから脳を守る二冊 ~その1・実践編~
お正月は主に本を読んだり攻殻機動隊S.A.C.を観たりしておりました。 課題図書にしていたのは前から気になっていたコレ。 影響力の武器―なぜ、人は動かされるのか 作者: ロバート・B・チャルディーニ,社会行動研究会出版社/メーカー: 誠信書房発売日: 1991/09/01メディア: 単行本購入: 12人 クリック: 699回この商品を含むブログ (123件) を見るいや、噂にたがわず面白い。 これはもう現代人必読の書といっても構わないのではないでしょうか。 基本は心理・認知・行動科学的な原理の紹介と解説なのですが、その中でも社会生活に特に密接に関与する法則に重点がおかれています。著者自身の体験やフィールドワーク、実験や実例も豊富で、なかなか説得力があります。 特筆すべきは、現代に蔓延する強力な心理・認知トリック(広告やマーケティング含む)をしっかり把握し、それらから自分の認識を防衛すべきだ
Geekなぺーじ:クラッカーがGoogleを使って脆弱なサイトを探す方法の例
Googleを使って脆弱性のあるサーバを探す手法を「Google Hacking」と言いますが、その検索方法を大量に集めた 「Google Hacking Database (GHDB)」というサイトがあります。 そこでは様々な検索キーワードが紹介されています。 紹介されているものを、いくつかピックアップしてみました。 (ただし、多少古いです。) このような検索を行って脆弱性のあるサーバを探している人が世の中に結構いるみたいです。 サーバを運用している方はご注意下さい。 これらの情報は既に公開された情報なので、検索結果にはワザとこのような情報を流して侵入を試みる人を誘い込もうとしているハニーポットが含まれている可能性もあります。 秘密鍵を探す 秘密鍵は公開鍵と違って秘密にするものなので発見できてしまうのは非常にまずいです。 BEGIN (CERTIFICATE|DSA|RSA) filet
失敗事例から学ぶウェブアプリケーション開発のヒント@IPA H18年度ウェブアプリケーション開発者向けセキュリティ実装講座
講演の背景 失敗事例から学ぶ ウェブアプリケーション開発のヒント − クロスサイト・スクリプティング編− 脆弱性対策の理解は深まっている? ・「安全なウェブサイトの作り方(※)」は参考にはなるが。。。 ・具体例が無く、いまいちピンと来ない?という声も 1000件の届出情報について ・目下、整理・分析中。。。 ・「理解」の一助になる情報を提供できないか? IPA セキュリティセンター 情報セキュリティ技術ラボラトリー 脆弱性分析エンジニア 伊藤耕介 2006/12/13, 20 1 コーディングノウハウのTipsまでに、失敗事例を紹介します ※ 「安全なウェブサイトの作り方」 http://www.ipa.go.jp/security/vuln/websecurity.html 2 なぜ今更 クロスサイト・スクリプティング(XSS)か 届出数が多い ・1000件の届出のうち、400
安全なウェブアプリケーション発注のあり方
情報処理推進機構 ウェブアプリケーシ ョン開発者向けセキュリティ実装講座 2006年12月13日, 20日 経済産業省 受託研究 • 平成17年度脆弱性関連情報流通の枠組み構築事業 「ウェブアプリケーションのセキュリティガイドライン策定に関す る調査研究」 • 実施体制 – – – – – 産業技術総合研究所(プロジェクト総括、ガイドライン案作成) 日本ユニシスソリューション (開発事業者の立場から調査) NTTデータ (検査事業者の立場から調査) 関西情報・産業活性化センター (発注者の立場から調査) 三菱総合研究所 (ソフトウェア部品、脆弱性実態の調査) 安全なウェブアプリケーション発注 のあり方 独立行政法人産業技術総合研究所 情報セキュリティ研究センター 高木 浩光 http://staff.aist.go.jp/takagi.hiromitsu/ 1 2 自治体の実
情報処理推進機構:情報セキュリティ:H18年度ウェブアプリケーション開発者向けセキュリティ実装講座の開催について
※講演資料を掲載しました。 独立行政法人 情報処理推進機構(IPA)は、安全なインターネットの利用をめざして、最近、IPAが届出を受けた脆弱性関連情報を基に、届出の多かった脆弱性や攻撃を受けた場合の影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画しました。 本講座は本年2月、4月に実施しましたが、好評でしたので、今回は、新たに脆弱性の深刻度評価を用いた届出情報の分析結果や、ウェブアプリケーションの発注者が考慮すべき点なども紹介します。また、開発者の方から安全なウェブアプリケーションの開発に向けた取組み状況を紹介していただきます。 IPAでは、2004年7月8日に脆弱性関連情報の届出受付を開始してから2年4ヶ月が経過し、10月末までにソフトウエア製品に関するもの330件、ウェブアプリケーション(ウェブサイト)に関するもの687件、合計1,017件となり、1
Voice of Stone #1495 高木浩光氏の逆鱗に触れる
Index (comments/trackbacks) [0] 2006.12.26 hidew : 高木浩光氏の逆鱗に触れる [1] 2006.12.26 iaeo_cac : (110 文字) [2] 2006.12.26 国民宿舎はらぺこ 大浴場 : 突っ込もうかどうかちょっと迷ったけど [3] 2006.12.26 AFTERZERO : (68 文字) [4] 2006.12.26 hidew : (0.5 原稿用紙) [5] 2006.12.26 hidew : (160 文字) [6] 2006.12.26 hidew : 誤読と飛躍の俺様論理 [7] 2006.12.27 p : (0.7 原稿用紙) [8] 2006.12.27 iaeo_cac : (140 文字) [9] 2006.12.27 hidew : (1.2 原稿用紙) [10] 2006.12.27 hi
高木浩光@自宅の日記 - ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
Passion For The Future: 圧縮ファイルのパスワードを解読するPikazip
圧縮ファイルのパスワードを解読するPikazip スポンサード リンク ・Pika Zip http://www.vector.co.jp/soft/win95/util/se078535.html パスワード付の圧縮ファイルは、メール添付でファイルをやりとりする際に、よく使われていると思う。こうしたファイルをメールと別に管理して年月が経過してしまうと、パスワードがわからないものがでてくる。 このPikazipはZip,Rarアーカイブの忘れてしまったパスワードを検索するフリーソフト。文字列の組み合わせを総当たり戦で試すことで、忘れてしまったパスワードを解読してくれる。 便利な反面、怖いソフトである。簡単なパスワードはつけてはいけないということがよくわかる。たとえば私の名前「daiya」をパスワードにしたファイルを試験的に作成して、このソフトにかけたところ、1秒で解読に成功した。本当に秘密
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPAたんからへんじこない - ぼくはまちちゃん!
はじめてのほうこく - ぼくはまちちゃん!
はてなで稼ごう!!! - ぼくはまちちゃん!