あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
サイト脆弱性をチェックしよう!--第5回:XSSの脆弱性を検査する方法
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 前回までは安全なウェブアプリケーションを作成する手法をいくつか説明してきた。今回からは代表的な脆弱性についての検査方法を説明していきたい。まずは、クロスサイトスクリプティング(XSS)の脆弱性について、その検査方法を紹介する。 XSSとは、入力として受け取ったデータに含まれている「Javascript」などのスクリプトやタグが、それらが有効な形で出力(HTTPレスポンス)に含まれているために、ブラウザが意図しない動作や表示を行ってしまう脆弱性だ。 この脆弱性を使った攻撃の被害者はサイトを利用している利用者であり、サイトが直接的な被害に遭うことはない。この脆弱性を利用すると、攻撃者が意図した通りにブラウザをコントロールすること(たとえば、
@IT:クロスサイトスクリプティング対策の基本
最近Webアプリケーションに存在するセキュリティホールが注目を浴びている。その中でも「クロスサイトスクリプティング」と呼ばれる脆弱性が有名であるが、クロスサイトスクリプティング脆弱性について正確に理解している人が依然として少ないと感じる。 本稿では、クロスサイトスクリプティングとはどのような脆弱性であるのか、この脆弱性を持ったサイトが攻撃されるとどのような被害が起き得るのか、なぜそのようなセキュリティホールが作り込まれてしまうのか、どのように対策をすればよいのかを解説していく。 ※以下本文中では、クロスサイトスクリプティング脆弱性のことを「XSS」と表記する。「Cross Site Scripting」の略であるから「CSS」と表記している記事もあるが、「Cascading Style Sheets」の略も「CSS」となり紛らわしいため、「XSS」と表記する場合が多くなってきている。本稿で
2008-11-02
ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた. 出来ればフリーで,無ければ有償でもいいので.いや,やっぱりフリーで... 調べて実際にインストールや使ってみた順に載せてみます. Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな.有名だし. でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使
Twitterでアカウント乗っ取り詐欺が横行、「Lol」に要注意
「Lol. this is me??」などのつぶやきに添えられたリンクをクリックすると、フィッシング詐欺サイトに誘導される。 セキュリティ企業の英Sophosは2月22日、Twitterでフィッシング詐欺サイトにユーザーを誘導するスパムが大量に出回り、多数のユーザーがだまされてパスワードを盗まれているもようだと伝えた。 Sphosによると、この攻撃は20日ごろから始まったといい、「Lol. this is me??」「lol, this is funny」「Lol. this you??」などの文面にリンクを添えたつぶやきが使われている。「Lol」は「lot of laugh」の略で、「すごく笑える」の意味。ユーザーが愉快な内容を期待してリンクをクリックすると、Twitterのログインページに見せかけたページにつながるが、このページは中国にある不正サイトでホスティングされているという。 攻
Firefoxにセキュリティ・ホール,記憶させたパスワードを盗まれる恐れ
デンマークSecuniaは現地時間11月22日,Webブラウザ「Firefox」にセキュリティ・ホールが見つかったことを明らかにした。Firefoxに記憶させたユーザー名とパスワードを第三者に盗まれる危険性があるという。 今回のセキュリティ・ホールは,Firefoxのパスワード・マネージャに存在する。パスワード・マネージャは,記憶したユーザー名/パスワードを適用するWebページ(フォーム)のURLを適切にチェックしない。ドメイン名が同じであれば,異なるWebページに対しても記憶したユーザー名/パスワードを適用しようとするという。 このため細工が施されたWebページにアクセスすると,同じドメインの別ページで使用しているユーザー名/パスワードを知らないうちに盗まれる恐れがある。 影響を受けるのは,Firefox 1.xならびに2.x。最新版の2.0.0でも今回のセキュリティ・ホールは確認されて
ITmedia Biz.ID:USBメモリでアプリケーションを持ち歩く
USBメモリまたはiPodでアプリケーションやファイルを持ち歩く際のコツと注意点を解説する。(Lifehacker) 【この記事は、2006年6月7日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 初めて手に入れたコンピュータのハードディスクが1Gバイトだったことを思い出すと(当時は「これでもう容量不足とは無縁」と思った)笑うしかない。今では、キーホルダーにぶらさげるUSBメモリに8Gバイト版があり、みんなが持ち歩くiPodもギガバイト級だ。 この1年かそこらで、ポータブルアプリケーションやUSBメモリ/外部ディスクの創造的な利用が進んだ。そこで今回は、ポータブルディスクを使ってデータを持ち運ぶ際の、実用的なデータの利用法と管理テクニックを紹介しよう。 まず、お気に入りのアプリケーションや重要なドキュメントをUSBメモリ(またはiPod)で持ち歩く例とし
ビジネスリサーチの心得
2.ビジネスリサーチの情報収集 デスクトップ調査 の基本〜アニュアルレポートなど公開情報から… デスクトップ調査 とは、主にインターネットなどを使用して、公開情報を調査して整理・分析を行うものです。「CIAも収集する情報の95%が公開情報」ということで、情報不足とい… 2021.01.28 2021.05.13 1915 view コラム〜リサーチャーの日常 人生を通じてマッチクオリティーを追求する 知識の幅が最強の武器になる という本で初めて知った「 マッチクオリティー 」という言葉は、経済学の用語で、ある仕事をする人とその仕事がどれくらい合っているか、その人の能力… 2021.05.04 2021.05.13 295 view 2.ビジネスリサーチの情報収集 日常的な情報収集・整理術(Feedly+Dropbox) 【 ビジネス 情報収集 と 情報整理 の基本 】いま目の前にあるリサー
企業を襲う「ボット」(後編) / SAFETY JAPAN [特集] / 日経BP社
特集: 企業を襲う「ボット」(後編) セキュリティ事件の黒幕の正体 文/中道 理(日経コミュニケーション) 2006年4月10日 前編はこちら >> 国家レベルでボットを締め出す ついに始まる総務省と経産省の共同プロジェクト 世界中に広がり,犯罪の温床として進化を続けるボット。先に見たように,ウイルスと同じような方法では防衛できない。 ウイルス対策ソフトがほとんど役に立たないからだ。 「ボットは国家レベルで動かないとどうしようもないほど,深刻な問題になっている」(総務省の高村課長補佐)。 そこでついに国が動き出した。2006年度から,総務省と経済産業省が協力してボット根絶に本腰を入れる( 図3)。 2006年度後半をめどに本格運用を開始する。 両省がボットを駆逐するために考え出したのは,ボット作成と同じペースで対策ツールを提供すること。 「ボット作者に“
bpspecial ITマネジメント
「Winny(ウィニー)」という名前をこのコラムのほとんどの読者はご存知であろう。昨今頻発している情報漏えい騒ぎの中で、しばしばその名前が取りざたされるソフトウエアであり、国産P2Pソフトウエアの代表的なものである。 「Skype」も、またP2Pソフトウエアであり、こちらは世界中で利用者数が急速に増加している音声通信ソフトウエアだ。もう少し身近な例では、「使う・使わない」は別として、ほとんどのパソコンに実装されているインスタント・メッセージ(Instant Messaging:IM)がある。 ICTにより“フラットな世界”が形成されていく中、P2P技術はこのフラット化の動きをさらに加速させることになろう。そして、その潜在的な可能性と「使うリスク」、「使わないリスク」を常に把握しておくことは、ICTを日常的な道具として利用する上で不可欠である。 従来からあるクライアント/サーバー方式のコンピ
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
インフォリスクマネージ、企業向けに情報セキュリティ対策支援サイトを公開
インフォリスクマネージ(旧アイティーマネージ)は3月1日、企業向けの情報セキュリティ対策支援サイト「SECURE RISK MANAGEMENT」(e-SRM)を公開した。 e-SRMには、情報セキュリティに関する情報や関連製品の情報を掲載する。また情報セキュリティに不安を感じる企業ユーザーに対するカウンセリングを無料で提供する。メールとフリーダイアルで相談を受け付ける。 現在、情報セキュリティに関連する主要な認証規格は(1)ISO270001(ISMS)、(2)プライバシーマーク(Pマーク)、(3)TRUSTe――の3種類が一般的となっている。しかし、企業ユーザーは「認証を取得したいが、どの認証が自社に最適か分からない」、「取引先や消費者から信頼を獲得するために、どこに焦点を絞ればいいのか分からない」といった課題も抱えている。インフォリスクマネージでは、ウェブサイトでビジネスを展開する企
「アプリケーション・セキュリティは開発者一人ひとりの問題」
マイクロソフトは3月2日,アプリケーション開発者向けのセキュリティ対策セミナー「Microsoft Developer Security Day」を東京・品川で開催した。基調講演には米MicrosoftのSecurity ArchitectであるDavid LeBlanc氏が登壇した。LeBlanc氏は開発者セキュリティに関するマイクロソフト公式解説書「Writing Secure Code」の共著者の一人(関連記事)。 LeBlanc氏は,マイクロソフトが2002年から推進している「Trustworthy Computing(信頼できるコンピューティング)」について,「技術者がまとめあげ,マイクロソフトが実現に向けて継続的に取り組んでいる考え方だ。決してマーケティング用語ではない」と強調,その具体的な成果としてOffice 2003ファミリに対するセキュリティ情報が,製品のリリースから現
「企業のセキュリティ対策,大半が不合格」,米調査
米SPI Dynamicsは米国時間2月15日,企業のソフトウエア・セキュリティに関する取り組みについて調査した結果を発表した。それによると,企業の多くは独自にセキュリティ保証プログラムを導入しているが,その大半は不十分だという。 調査は,SPI Dynamics社が米Microsoftと共同で開催したフォーラム「Secure Software Forum(SSF)2005」の出席企業を対象に実施したもの。SSFはソフトウエア・セキュリティの向上に向けて,業界全体でディスカッションや教育を行う場の提供を目的としている。 社内の開発プロセスにセキュリティ保証プログラムを組み込んでいる企業はわずか27%だった。また,高度なセキュリティ・テスト・ツールやセキュリティ定義プロセスを持つ企業は25%,セキュリティの自動化ツールや大まかな定義プロセスを持つ企業は46%である。 また,アプリケーション開
「Microsoft Update」などでWindowsのパッチを適用できない問題,現在では解消
マイクロソフトは2月15日,同日公開したWindowsのセキュリティ修正パッチの一部がMicrosoft Updateなどから適用できない状態が続いたことを明らかにした。現在(2月15日14時)では,この問題は解消されている。 Microsoft UpdateやWindows Updateから適用できなくなったのは,「TCP/IP の脆弱性により,サービス拒否が起こる (913446) (MS06-007)」の修正パッチ(関連記事)。マイクロソフト セキュリティチームのブログによれば,「Microsoft Update などで使用するパッケージの一部が正しく登録されないまま公開」されたことが原因としている。 修正パッチが公開された2月15日未明より,この問題が続いていたとされる。このため「MS06-007」のセキュリティ情報には「2月15日10時現在」の情報として,「Microsoft U
ロシア証券取引所がウイルス感染でダウン
ロシア証券取引所でコンピュータがウイルスに感染し、取引が一時中断された。セキュリティ企業のSophosが明らかにした。 Sophosによると、2月2日にロシア証券取引所のインターネットに接続されたコンピュータ1台がウイルスに感染した。ウイルスの種類は不明だが、このコンピュータから大量のメールが送信されたせいで、通常のメールの送受信ができなくなってしまった。 これが原因で株式市場と先物市場などの取引が一時中断したが、現在では取引は再開されているという。Sophosでは「システムに不正アクセスされた恐れがある」(グレアム・クルーリー上級技術コンサルタント)と指摘しているが、専門家はデータが盗まれた事実はないと断言しているという。 「証券取引を中断させられるようなウイルスは経済的損失につながる可能性があり、公衆の面前で公的機関の信用に傷が付く恐れもある。ウイルスの脅威を深刻に考えていない企業にと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【ハウツー】もう試しましたか? Googleの脆弱性発見ツール「ratproxy」 (3) ratproxyの起動 | エンタープライズ | マイコミジャーナル
テクノロジー : 日経電子版
http://www.so-net.ne.jp/option/mail/op25b/faq/faq.html
「システム監査基準」「システム管理基準」