SQLインジェクション受けたらまず何をする?--ラック、対応手順レポート公開 | エンタープライズ | マイコミジャーナル
ラックは2月12日、Webシステムにおけるデータベースのセキュリティ対策をまとめたレポート「事故前提社会のデータベースセキュリティ〜データベースによるWebサイトセキュリティの実際〜」を公開した。 同レポートは、ラックの研究機関であるサイバーリスク総合研究所がまとめたもの。SQLインジェクションの検知・調査や、「情報漏えい緊急対応サービス」を通して得た情報を基に作成されている。 レポートでは、まず「昨年末には多い日で1日に120万件ものSQLインジェクション攻撃が発生している」と、Webサイトが被害に遭う危険性が高まっている現状を報告。そのうえで、事故が発生した際にはどのような対応をとるべきか、また素早い対応をとるためにはどのような情報を収集しておくべきか、といった内容が、Microsoft SQL Serverを使用している場合の運用手順も示しながら具体的に紹介されている。 レポートは、
TechCrunch | Startup and Technology News
Unlike Light’s older phones, the Light III sports a larger OLED display and an NFC chip to make way for future payment tools, as well as a camera.
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
Google,Webアプリ用試験ツール「ratproxy」をオープンソースとして公開
米Googleは米国時間2008年7月1日,Webアプリケーションの安全性を確認できるツール「ratproxy」をオープンソースとして公開した。同社のWebサイトから無償ダウンロード提供している。 同ツールは,これまで同社が社内でWebアプリケーションを試験する際に使っていた。プロキシ・サーバーとして作動し,クロスサイト・スクリプティングに悪用される恐れのあるコードや,情報漏えいにつながる問題などを調べられる。従来のセキュリティ・ツールと違い,意識することなく利用でき,オーバヘッドも小さいという。 ソフトウエア・ライセンスはApache License 2.0。現在のバージョンは「1.51ベータ」。Linux/FreeBSD/Mac OS Xと,Windows向け疑似UNIX環境Cygwin用に開発した。 [GoogleのMichal Zalewski氏によるブログ投稿記事]
ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな
本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。 ちょっとかかわったので、流れを記録として残しておこうと思います。 ethna.jpの第一報 10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。 10:31 (mikapon) おはようございます 10:32 (mikapon) ethnaのサイトなんですが 10:32 (mikapon) mlの保存書庫の所にiframe埋め込まれてませんか? ちょうど出社中の時間で、この発言をリアルタイムでは見れなかったのですが、土曜日に tiarra を入れたおかげで、発言を見ることが出来ま
パスワードの強度をチェックするツールPassword Meter | 秋元@サイボウズラボ・プログラマー・ブログ
Password Meterは、パスワードの強度を独自の評価式で測定してくれるサービス&スクリプト。 たまにネットサービスでパスワードを決めようとするときにその強度を示してくれるサイトがあったりするけど、ああいうのを単体にしたようなものだ。 今評価しているのは、純粋な文字種やその規則性の判定だけで、辞書にあるかどうか、といった要素までは入っていない。 このチェッカプログラム自体(Javascript)もGPLで配布されているので、自分用に設置したり、改造したりすることができる。自分のサービスのユーザ登録フォームに使って、よりわかりにくいパスワードを設定してもらうように誘導したりできるかもしれない。 [追記] リンク忘れでした。ご指摘ありがとうございます via del.icio.us/popular この記事は移転前の古いURLで公開された時のものですブックマークが新旧で分散している場合が
CAPTCHAは愚策:江島健太郎 / Kenn's Clairvoyance - CNET Japan
最近ようやく初級プログラマーを卒業できた手応えのようなものを感じており、いよいよコードを読み書きするのが楽しくてしょうがない段階になってまいりました。 こういうとき、Rubyは初心者にもやさしいけど、上達すればどこまでも上のステージが用意されているような、まるで自然言語のようななめらかさ・しなやかさがあって、ほれぼれとします。デザインの美しいものに触れているときには人間はこんなにも幸せになれるのか、という感じですね。ときに、今回のブログネタは、デザインの悪いものに出会うとこんなにも気分が悪くなるのか、という話なのですが。 なお、新プロジェクトではデザイナーのクリスの勧めでHamlを使うことにしたり、アーキテクトのダニーの設計でJavascriptにPublish-Subscribe型の(つまり一対多の)コールバックのフレームワークを作ってみたり、ReallySimpleHistoryを使い
あなたの会社は仕事中にはてぶを使えますか?──IT鎖国する大企業 | WIRED VISION
第18回 あなたの会社は仕事中にはてブを使えますか?──IT鎖国する大企業 2008年2月19日 経済・ビジネスITワークスタイル コメント: トラックバック (4) (これまでの藤元健太郎の「フロントライン・ビズ」はこちら) ■縮こまる大企業 大企業の8割が2ちゃんねるにアクセス制限をしているという調査結果が発表された(→IT media)。mixiも5割以上が制限をしているらしい。確かにこれまでも仕事中に遊ばないようにという理由でネットサーフィンすることを禁止する企業などは多かったが、最近では情報漏洩やコンプライアンスなどの理由で大企業は次々と情報統制に対して強く社内を管理するようになりつつある。 はてブやスラッシュドットなど業務上有用と思われるサイトでさえ2-3割の企業は禁止していると調査結果に出ている。企業が利用するパソコンも勝手にソフトをインストールすることは禁止なところが多く、
自分のメールアドレスを画像認証でスパムから守る「reCAPTCHA Mailhide」
歪んだ英数字を入力させることで相手が「スパムボット」か「人間」かを判断する仕組みとしてCAPTCHA(キャプチャ)というものがあります。Gmailのアカウント登録時などに「文字の確認」として表示されているアレです。 このシンプルな割に結構有効な画像認証方法であるCAPTCHAを使い、自サイト上に表示するメールアドレスをスパムから簡単に守ることができるのが「reCAPTCHA Mailhide」というもの。メールアドレスを入力するだけでURLやソースコードが生成されるのでそれを貼り付けるだけです。利用は無料。 使い方は以下から。 reCAPTCHA Mailhide: Free Spam Protection http://www.google.com/recaptcha/mailhide/ スパムから保護したいメールアドレスを入力後、「Protect It!」をクリック あとは上の方に画像
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
フォームのパスワード強度を表示できるExt拡張JSライブラリ「Ext.ux.PasswordMeter」:phpspot開発日誌
フォームのパスワード強度を表示できるExt拡張JSライブラリ「Ext.ux.PasswordMeter」 2007年11月13日- Ext.ux.PasswordMeter These forms do not do anything and have very little validation. フォームのパスワード強度を表示できるExt拡張JSライブラリ「Ext.ux.PasswordMeter」。 Ext.ux.PasswordMeterを使えば、次のように、パスワードフィールドの入力に対して強度をメーターで表示することが可能です。 パスワードの強度を表示すれば、利用者のパスワード強度の強化に繋がりますね。 関連エントリ Ext2.0のアルファ版がリリース あのJavaScriptライブラリ「Ext」のバージョン2「Ext 2.0」のプレビュー
はてなのCAPTCHAは簡単に破れる
CAPTCHAをご存知でしょうか。 スパム防止のために歪んだ文字とかを入力させる、アレのことなのですが、 はてなのCAPTCHAの強度が妙に低く思えたので検証してみました。 CAPTCHAというのはいわゆる逆チューリングテストという奴で、 人間には可能だが機械には処理しにくいことをさせることで、 ロボットによる操作を弾こうというものです。 たとえば、Gmailのユーザ登録には以下のような画像が表示され、 表示されている文字を入力することが求められます。 CAPTCHAの強度 例えばスパムを送るために大量のGmailアカウントを得ようとしてる人がいたとします。 手作業でGmailを登録するのは骨が折れる。 そこでプログラムによる機械化を試みることになるわけです。 その際、障壁となるのがこのCAPTCHAなのです。 この画像から正解である文字列"vittac"を得ることは機械には難しい。 プロ
IEやFirefox、強化版SSLサポートをめぐる問題
セキュリティに優れたSSLサポートは重要だが、問題がない状態が分かるよりも、“問題が起きている状態が分かる”方が重要なのだ。 Webブラウザは、現在において重要度の高い成熟されたアプリケーションである。そのエラーメッセージは完璧なものだろうと考える読者もいるだろう。しかし現実には、ブラウザの解釈はかなりお粗末なのである。アドレスの入力ミスといったエラーでさえも、初心者にとっては意味不明のメッセージが表示されるのだ。すべて正常に動作している場合、Webは単純明快だ。もちろん、いつもそのようになるわけではない。 このような問題が生じた場合、その状況を最も説明しにくいブラウザ機能の1つがSSLサポートである。IE 7では、この点に関してある程度の改善が施されている。一方、Mozilla Groupは、Firefox 3でエラー発生時の対処を容易にしようとしている。 両ブラウザは、SSL証明書の新
第3回 通用しなくなった「80番ポートの安全神話」
セキュリティ対策の基本の一つに,ファイアウォールに余計な“穴”を開けないというものがある。それでも,WebアクセスのプロトコルであるHTTPが使う80番や8080番,SSLで使用する443番などは,ふさぐことのできないポートだろう。しかし最近は,この80番などを使ったWeb経由の攻撃が後を絶たない。開けているのが80番などの基本的なポートだけでも,安心とは言えないのだ。 ボットを制御するIRCがWebのフリをする 最近,多くのパソコンに感染が広がり,セキュリティ上の大きな脅威となっているものにボットがある。ボットとは,「ロボット(Robot)」から派生した言葉で,感染パソコンをロボットのようにリモート・コントロールする不正プログラム(ウイルス)の総称である。また,ボットが構成するネットワークの総称を,ボットネットと呼ぶ。ボットネットは,ハーダーと呼ばれる悪意を持った第三者の指示により,DD
Kazuho@Cybozu Labs: サーバシグニチャは隠さないのが当たり前
« Pathtraq バージョンアップのおしらせ - サイドバー表示に対応 | メイン | Perl から MySQL に非同期アクセスする方法 » 2007年09月05日 サーバシグニチャは隠さないのが当たり前 ウェブサーバ(Apache)で、404などのエラーページを表示したとき、ヘッダやページの下にApacheやOSのバージョンが表示されます。こういったサーバ情報をわざわざ表示する必要はありません。 ウノウラボ Unoh Labs: 5分でできるウェブサーバのセキュリティ向上施策 私も何年も前からセミナーではサーバ、モジュールバージョンは隠すようにと言っています。何故こんな事で賛否両論になるのか全く理解できません。 yohgaki's blog - サーバシグニチャは隠すのが当たり前 Server: ヘッダを隠すメリットについての議論はあるようですが、Server: ヘッダを表示すべ
Google、XSSの脆弱性診断ツールを開発
Googleのファズテストツール「Lemon」では、Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性を発見できる。 米Googleは、Webアプリケーションのクロスサイトスクリプティング(XSS)の脆弱性を見つけ出すファズテストツール「Lemon」を社内で開発した。同社セキュリティブログで明らかにした。 XSSの脆弱性は、悪用されると不正スクリプトを挿入される恐れがあり、実際にこの問題を突いたWebアプリケーション攻撃も多発している。 Lemonとは、英語で欠陥製品を意味する言葉でもある。GoogleのLemonはブラックボックス・ファズテストを自動で実行するツールで、WebアプリケーションのURLとそれぞれに対応する入力パラメータを列挙して、各パラメータに不正コードを反復供給することで、アプリケーションの脆弱性を誘発/露呈させる。 同ツールは最初実験的にスタートした
crossdomain.xml と CSRF 脆弱性について - 2nd life (移転しました)
crossdomain.xml を安易に設置すると CSRF 脆弱性を引き起こす可能性があります。というのも、ここ数が月、それなりの数の crossdomain.xml による CSRF 脆弱性を発見し(現在、それらのサイトでは対策がなされています)、まだまだ Web プログラマに脆弱性を引き起こす可能性がある、という考え方が浸透してないんじゃないか、と思ったので。 先月、Life is beautiful: ウェブサービスAPIにおける『成りすまし問題』に関する一考察にも crossdomain.xml について書かれてたのですが、その後もいくつかのサービスで crossdomain.xml を許可ドメインすべてにしているサービスがあったので、注意喚起としてエントリーに書き起こします。 自分も一年半ぐらい前は、crossdomain.xml を許可ドメインすべて ('*') にして設置し
携帯電話からのWeb利用の安全性は、十分に配慮されているだろうか? | スラド セキュリティ
米国でiPhoneが発売され、いよいよ日本国内の携帯のガラパゴス文化が際立ってきている気がする今日この頃だが、皆さんは「携帯電話からのWeb」をどれくらい利用しているだろうか? そして、そのセキュリティをどれだけ気にしているだろうか? 6/24の高木浩光氏の日記「ケータイWebはそろそろ危険」では、 GoogleとKDDIの提携により実現されているWeb検索機能が、検索結果でのURLが自明でないという指摘がなされている。サービスを提供する側、利用する側に存在した「あまり遠くへ行かない」という暗黙の了解が通用しなくなっているのに、ユーザを保護する仕組みは旧来の前提を頑なに固持したまま実装されている、という事が解る。一方で、海外のケータイはどうかというと、ITmediaの7月2日の記事などが一つの参考になるだろう。 また、高木氏の6/29の日記「EZwebサイトでSession Fixatio
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
みつかませんか? 外に出て遊びましょう! @びんたん
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う