活動紹介|ISOG-J 日本セキュリティオペレーション事業者協議会脆弱性トリアージガイドライン作成の手引き (2024年5月) 【WG1】ISOG-JセキュリティオペレーションガイドラインWGとOWASP Japan主催の共同ワーキンググループである 「脆弱性診断士スキルマッププロジェクト」は、「脆弱性トリアージガイドライン作成の手引き」を公開しました。
これなら合格! 正しいリダイレクターの作り方
これなら合格! 正しいリダイレクターの作り方:HTML5時代の「新しいセキュリティ・エチケット」(4)(1/3 ページ) えっ、まだmeta refreshとか301使ってるの? リダイレクターの作り方も時代とともに移り変わります。記事を読んだらすぐに使えるセキュリティ・エチケットを紹介しましょう。 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回は、「オープンリダイレクター」という脆弱性について説明します。 オープンリダイレクターとは? オープンリダイレクターとは、あるURLを開くと自動的に他のページにジャンプするリダイレクト機能が、攻撃者によって任意の外部ページへのリダイレクターとして利用可能になっている問題です。 「http://example.jp」上で提供されるWebアプリケーションにて、例えば「http://example.jp/go?url=/nex
Strutsの脆弱性CVE-2014-0094について改めてまとめてみた - piyolog
Struts2においてクラスローダーの操作を許してしまう脆弱性(CVE-2014-0094)について先日調べたのですが、その後のセキュリティベンダの調査により当初に比べて影響範囲が変わってきていることから、再度整理をかねてまとめます。尚、これら情報はpiyokangoが全て検証したわけではないためご注意ください。また当然ながら悪用することは厳禁です。 Apache Software Foundationより、当該脆弱性情報に関するアナウンスが出ました。 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation S2-021 クラスローダーが操作される脆弱性の影響範囲 NTT-CERTやMBSD、LACの調査により次のStrutsのバージョンが影響を受けることが判明しています。またBeanUtilsを使ってリクエスト
Struts1の脆弱性問題の対処方法 - エンタープライズギークス (Enterprise Geeks)
Apache Struts 1の脆弱性問題の対処方法を紹介する。 この問題は、4月24日に株式会社ラックによって以下のように報告された。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ServletFilterによる対処では、multipart/form-dataに対応できない。 上記報告に記載されている 不正な文字列がパラメータに含まれる場合(正規表現:「(^|\W)[cC]lass\W」に合致するパラメータ名が含まれる場合等)にリクエストを拒否するフィルタ機能を実装する という方法は、リスク軽減策としては有効だ。 しかし残念ながら、ServletFilterで対応するこの方法では enctype="multipart/form-data" であるサブミット情報が来た場合は防ぐことができない。 問題の本質 Str
S2-020類似攻撃のStruts1での対策方法 - Qiita
恐ろしいことですが、実装が全然違うStruts2の脆弱性S2-020と同様の攻撃手法で、Struts1も脆弱性があることが分かりました。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ここではあまり明らかになっていませんが、原因は // Set the corresponding properties of our bean try { BeanUtils.populate(bean, properties); } catch(Exception e) { throw new ServletException("BeanUtils.populate", e); } finally { if (multipartHandler != null) { // Set the multipart request handl
2008-11-02
ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた. 出来ればフリーで,無ければ有償でもいいので.いや,やっぱりフリーで... 調べて実際にインストールや使ってみた順に載せてみます. Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな.有名だし. でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使
Webアプリの脆弱性を検出するツールはありますか?
MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの)がよいです。 Webアプリの脆弱性を検出するツールはありますか? 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ(フリー/有償) 良い物は高価、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
