情報処理推進機構:情報セキュリティ:脆弱性対策 :「安全なSQLの呼び出し方」を公開
IPA(独立行政法人情報処理推進機構、理事長:西垣 浩司)は、ウェブサイトを狙ったSQL(*1)インジェクション攻撃(*2)が継続していることから、ウェブアプリケーション(*3)の安全な実装方法を解説した資料「安全なSQLの呼び出し方」を2010年3月18日(木)からIPAのウェブサイトで公開しました。 URL:http://www.ipa.go.jp/security/vuln/websecurity.html 近年、ウェブサイトを狙った攻撃が継続しています。攻撃の実例として、IPAが無償で公開している「SQLインジェクション検出ツールiLogScanner(*4)」で、「脆弱性対策情報データベースJVN iPedia(*5)」のアクセスログを解析した事例を図1に示します。 図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイ
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
Googleバズで本名と位置情報がダダ漏れになっている件と解決方法まとめ
吉永龍樹(ヨシナガタツキ@僕秩) @dfnt Googleバズで、gmailの情報が公開されて本名と位置情報がWEB上に表示されてる人が超たくさんいる。 http://bit.ly/9zmbnT gmailの自分の名前部分なんて公開されるの前提で書いてないだろうし、怖すぎる。 2010-02-11 18:41:46 若葉昌輝 @masaki_wakaba なにそれ、怖い RT @dfnt Googleバズで、gmailの情報が公開されて本名と位置情報がWEB上に表示されてる人が超たくさんいる。 http://bit.ly/9zmbnT gmailの自分の名前部分なんて公開されるの前提で書いてないだろうし、怖すぎる。 2010-02-11 19:48:34
FTP の危険性に関して超簡単まとめ
今日話題になった Gumblar の亜種によって FFFTP の設定情報から FTP 情報が漏れる件で、FTP 自体の危険性と FFFTP 自体の特性、さらに Gumblar 対策という点で少し情報が混乱している状況が見受けられます。そこでその点を簡単にまとめてみました。 去年あたりから、「Gumblar (ガンブラー)」 に代表されるような、FTP のアカウント情報を何らかの手段で盗み出して Web サーバにアクセスし、Web サイトを改竄して被害を広めていくタイプのウィルスが問題になっていますが、今日になって広く利用されているフリーの FTP クライアントである 「FFFTP」 にアカウント情報漏洩の危険性が見つかったということで話題になっていました。 「FFFTP」のパスワードが"Gumblar"ウイルスにより抜き取られる問題が発生 : 窓の杜 ただ、この問題で、FTP 自体の危険性
IEを使わないよう政府機関が呼びかけ-Google中国攻撃に使われた脆弱性の波紋
Internet Explorer(IE)の使用を中止し、代替ブラウザを使うよう推奨する――。Googleへの攻撃で注目を集めたゼロデイ脆弱性は、各国政府が一斉にIEの使用を控えるよう呼びかける異例の事態を招いた。これを受け、Microsoftは緊急パッチを公開したが、出回った攻撃コードの悪用が引き続き観測されており、史上最悪のサイバー攻撃になると見る専門家もいる。IE離れが進むきっかけになるかもしれない。 問題の脆弱性は、IEの無効なポインター参照に存在するもので、リモートからコードが実行される危険性があるという。例えば、電子メール中のリンクをクリックすると、マルウェアをホスティングするWebサイトにとび、トロイの木馬を仕掛けられるといった可能性がある。Microsoftのセキュリティアドバイザリでは、「Windows 7」「Windows Vista」「Windows XP」「Wind
XPath に文字列を埋め込むときの注意 - IT戦記
よく、以下のように XPath に文字列を埋め込む事があります document.evaluate('//*[@class="' + text + '"]', document, null, 7, null); まあ、僕もよくこんなコード書くんですけど。 でも、これって text が外部から来るものだったら、意図通りの動作をしないんですよね たとえば、以下のような例です。 var text = '"] | /hoge/fuga/piyo | .["'; document.evaluate('//*[@class="' + text + '"]', document, null, 7, null); というわけで 任意の文字列を XPath の式に変換する JavaScript を書いてみた 以下で試せます http://amachang.sakura.ne.jp/misc/xpath_es
パスワード入力の「****」は不要? 研究者の間で激しい論議(ITmediaエンタープライズ) - Yahoo!ニュース
Webサイトなどでパスワードを入力する際、「****」を使って入力した文字が見えないようにする必要はないのではないか――。そんな提案をめぐり、研究者が賛否両論を展開している。 最初に問題を提起したのはWebユーザビリティ研究の第一人者ヤコブ・ニールセン氏。「パスワードを入力する際、画面に“****”としか表示されないのはユーザビリティ上問題がある。一般的に、パスワードを隠してもセキュリティは向上しない。それどころかログインに失敗してコストがかさむ」と指摘し、入力したパスワードの文字がはっきり見えるようにした方がいいと提言した。 著名なセキュリティ研究者のブルース・シュナイアー氏も、ブログでニールセン氏の意見に賛同を表明。「パスワードの文字を表示すれば入力ミスも減る。わたしもずっと前から、自分が入力したパスワードが見えないのは不便だと思っていた」と打ち明けた。他人に後ろからパスワードをの
GENOウイルスチェッカー
GENOウイルス対策情報まとめ、GENOウイルスチェッカー更新情報 2009 05/17 といってもウイルス側の挙動がかなり高度なので、誤判定はあります 万が一の事があってはいけないのでかなり判定厳しめに設定してあります。 ご理解の程よろしくお願いします 2009 05/17 いそいで作ったので判定機能以外はぐちゃぐちゃ 2009 05/17 開設 ウソクソ情報 ■javascriptを切ってても感染する(5/17現在) 今の時点ではウソだが将来的に、pdf or swfをjavascript経由せずに直接読み込ませるタイプのものが出てきたらアウト とにかく↓のアドビ関連のアップデートを怠らないこと。 GENOウイルス対策 ■adobe readerを9.1.1にアップデートする(9.1:9.1,0では駄目) http://ardownload.adobe.com
クリックジャッキングの本質的な解決策 - IT戦記
誰か書いてそうだけど、気にせずに投下 現実的な解決策ではなくて、本質的な解決策 クリックジャッキングはそもそも CSS の問題なので CSS の枠組みで解決すればいい。 CSS での解決策 具体的には、以下のルールをユーザースタイルシートに追加すればいい。 * { opacity: 1 !important } CSS2, CSS2.1, CSS3 では、ユーザースタイルシートの !important な宣言は他のどの宣言よりも優先されるはずなので、ちゃんと仕様を満たしているブラウザを使っていれば問題ないはず。 (IE の場合は、 opacity じゃなくて filter を。。というか、オプションで何か filter とか無効に出来た気がするけど、忘れた><) ユーザースタイルシートは、 IE, Firefox, Opera, Safari ほとんどのブラウザで使うことができる。 あと、
クリックジャッキング対策 - IT戦記
var allowed = false; if (parent != window) { // 自分がフレーム内なら document.addEventListener('click', function(e) { if (!allowed && confirm('クリックジャック?')) { e.stopPropagation(); e.preventDefault(); } }, true); } window.addEventListener('message', function(e) { if (e.origin == 'http://example.com/') { // example.com からは許可 allowed = true; } }, true); とかじゃダメかに?既出? http://internet.watch.impress.co.jp/cda/news/
クリックジャック - 素人がプログラミングを勉強していたブログ
最近流行のクリックジャックについて、メモ程度にまとめておく。 一言で言うと、外部サイトのボタンをユーザが間違えてクリックしてしまうように仕向けるテクニックが、クリックジャックである。 クリックジャッキングってこうですか? わかりませんではiframeをCSSのopacityプロパティを利用して透明にして、その下にダミーのボタンを置いている。目に見えているボタンを押そうとすると、その上に被せてある透明なiframeのボタンが押されてしまう。 [Sleipnir]No Click Jacking — Gistはこの攻撃に対する防御手段として考えられたユーザースクリプトで、透明なiframeを検出する。 しかし、opacity以外にもクリックジャックをする方法はあるので不十分である。 例えば 2009-03-04_2146 - javascripter's library にスクリーンキャストを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
