phpMyAdminのスキャン - fragiler’s Security blog
初めてこのログを見たときは少しびっくりしました。 40秒ほどのあいだに以下のログが記録されてて「ヤバい!なんかされてる!」と焦ってしまいましたが、ネットで調べてみるとたくさん報告されてますね。 ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー GET /w00tw00t.at.blackhats.romanian.anti-sec:) HTTP/1.1 GET /scripts/setup.php HTTP/1.1 GET /admin/scripts/setup.php HTTP/1.1 GET /admin/pma/scripts/setup.php HTTP/1.1 GET /admin/phpmyadmin/scripts/setup.php HTTP/1.1 GET /db/scripts/setup.php HTTP/1.1 GET /dbadmin/scri
phpMyAdminを狙った攻撃観察 - ろば電子が詰まつてゐる
今日は、前々から準備していたセキュリティ勉強会が台風でポシャってしまった。あーあ、せっかく楽しみにしてたのに……最近ツイてないなぁ……。 で、なんだか不完全燃焼気味なので、ちょっと記事を書いてみる。前にちこっと見た、phpMyAdminへのアタック観察記というネタ。 phpMyAdminとは何か まぁ何を今さらという感じだけれども、phpMyAdminとはPHPで書かれたMySQLの管理ツール。GUIで分かりやすくデータベースが操作できるため初心者にとても人気のツールなのだが、残念ながら過去に大量の脆弱性が発見された(いや、現在形で「され続けている」と言った方が良いか)ため、日々世界中から不正アクセスの猛威にさらされている。 というわけで、Webサーバを立てていると、phpMyAdminが入っていないかとかスキャンしにくるアクセスがとても多い。この記事ではその辺のアタックを観察してみる。
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
HOME - 「体系的に学ぶ 安全なWebアプリケーションの作り方」サポートページ
このページは書籍「体系的に学ぶ 安全なWebアプリケーションの作り方」 第1版の公式サポートページです。 2018年6月21日に出版された第2版のサポートページはこちらになります。 本書に関する話題をつぶやく際は、ハッシュタグ #wasbook をお使いください。 著者: 徳丸浩 発売日: 2011年3月1日 ISBN: 978-4-7973-6119-3 出版社: ソフトバンククリエイティブ 価格: ¥3,360(税込み) →出版社のサイト →電子書籍で購入する(DRMフリーPDF) →電子書籍で購入する(Kindle) →電子書籍で購入する(Google play) →Amazonで購入する(送料無料) →楽天ブックスで購入(送料無料) →丸善&ジュンク堂で購入する(送料無料) 目次 1章 Webアプリケーションの脆弱性とは 2章 実習環境のセットアップ 3章 Webセキュリティの基礎
HTTP Headers という 5万人が使っている Chrome 拡張のマルウェア疑惑。セッション盗まれて BTC も盗まれそうになった話。 - clock-up-blog
疑惑どころか 99.99% くらい黒な話。 (後記:セッション盗まれたと思ってたけど、よくよく考え直してみると生パスワードごと盗まれてる可能性もあるしやばい) 追記:続報 11月3日 今回指摘した HTTP Headers 以外にも、「Tab Manager」「Give Me CRX」「Live HTTP Headers」等で同様(?)の問題が報告されています。第三者が元の作者からソフトウェア権利を買い取って悪用する、というケースが割とある模様(?)。皆さま情報ありがとうございます。 11月4日 Zaif については、「不正な Chrome 拡張」と「スクリプトから保護されていなかったクッキー」のコンボによりセッションが盗まれていた可能性あり。 Zaif のセッション情報が盗まれた原因のひとつについて。JavaScript からクッキー値を取得させない方法。 - clock-up-blog
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
使っていないBluetoothを「必ずオフ」にしておくべき理由
