中国の利用者向けの「中継サーバー」がインターネットの不正接続に悪用された事件で、警視庁に摘発されたサーバー運営会社２社が使用した他人名義のＩＤやパスワードの大半が、パソコン周辺機器メーカー大手の無線ルーターから流出したものだったことが、同庁幹部への取材でわかった。 同庁と京都、鹿児島など１９道府県警の合同捜査本部は１９日、サーバー運営会社の中国人ら１１人を不正アクセス禁止法違反容疑などで逮捕したと発表。ＩＤなどの入手経路を追及する。 警視庁はこのうち、中継サーバー運営会社の「大光」（東京都台東区）、「ＳＵＮテクノ」（豊島区）の２社の関係先１２か所を捜索。大光社長の張徳育容疑者（３０）（北区）ら男６人を、いずれも不正アクセス禁止法違反容疑で逮捕した。６人は「わかりません」などと容疑を否認している。 警視庁幹部によると、２社は大手プロバイダー（ネット接続業者）のサーバーに接続するため、約１５０

これなら合格！ 正しいリダイレクターの作り方：HTML5時代の「新しいセキュリティ・エチケット」（4）（1/3 ページ） えっ、まだmeta refreshとか301使ってるの？ リダイレクターの作り方も時代とともに移り変わります。記事を読んだらすぐに使えるセキュリティ・エチケットを紹介しましょう。 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。今回は、「オープンリダイレクター」という脆弱性について説明します。 オープンリダイレクターとは？ オープンリダイレクターとは、あるURLを開くと自動的に他のページにジャンプするリダイレクト機能が、攻撃者によって任意の外部ページへのリダイレクターとして利用可能になっている問題です。 「http://example.jp」上で提供されるWebアプリケーションにて、例えば「http://example.jp/go?url=/nex

ITエンジニアの皆さんに向けて、制御システムセキュリティの現状、情報システムとの考え方の違い、対策の指針などについて解説します。 0分 - セキュリティ強化の必要性は制御システムにも 近年、情報セキュリティに関するリスクは増大し、一層の対策強化が進められています。今やITは社会生活や経済活動の基盤そのものであり、セキュリティへの取り組みが必要不可欠であることは、ITエンジニアの皆さんの実感されているところだと思います。 そしてセキュリティの必要性は、ITの世界にとどまりません。電力やガスの供給などの社会インフラ、製造業の生産設備などを支える制御システムにおいても、セキュリティ強化の重要性が増してきています。 MES（Manufacturing Execution System：製造実行システム）はもとより、ビッグデータで話題のセンサーデータの監視など、情報システムと制御システムが連携して稼

Struts2においてクラスローダーの操作を許してしまう脆弱性(CVE-2014-0094)について先日調べたのですが、その後のセキュリティベンダの調査により当初に比べて影響範囲が変わってきていることから、再度整理をかねてまとめます。尚、これら情報はpiyokangoが全て検証したわけではないためご注意ください。また当然ながら悪用することは厳禁です。 Apache Software Foundationより、当該脆弱性情報に関するアナウンスが出ました。 24 April 2014 - Struts up to 2.3.16.1: Zero-Day Exploit Mitigation S2-021 クラスローダーが操作される脆弱性の影響範囲 NTT-CERTやMBSD、LACの調査により次のStrutsのバージョンが影響を受けることが判明しています。またBeanUtilsを使ってリクエスト

Apache Struts 1の脆弱性問題の対処方法を紹介する。 この問題は、4月24日に株式会社ラックによって以下のように報告された。 http://www.lac.co.jp/security/alert/2014/04/24_alert_01.html ServletFilterによる対処では、multipart/form-dataに対応できない。 上記報告に記載されている 不正な文字列がパラメータに含まれる場合（正規表現：「(^|\W)[cC]lass\W」に合致するパラメータ名が含まれる場合等）にリクエストを拒否するフィルタ機能を実装する という方法は、リスク軽減策としては有効だ。 しかし残念ながら、ServletFilterで対応するこの方法では enctype="multipart/form-data" であるサブミット情報が来た場合は防ぐことができない。 問題の本質 Str

ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた． 出来ればフリーで，無ければ有償でもいいので．いや，やっぱりフリーで．．． 調べて実際にインストールや使ってみた順に載せてみます． Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな．有名だし． でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使

MSDNフォーラムで表記の質問を見かけました。同フォーラムの活動実績がないせいか、回答にリンクを貼ると拒否されましたので、こちらに回答します。 ここからが質問なのですが、プログラムの実装が完了したあと、脆弱性が潜んでいないかをチェックする必要があるのですが、脆弱性を検出するツールなどがありましたら教えてください。できれば、無償で使える物で、環境にあまり依存しないもの(Windows Serverのバージョンや、DBMSの種類に依存しないもの）がよいです。 Webアプリの脆弱性を検出するツールはありますか？ 以下、回答です。 ご要望の条件をすべて満たすツールは、おそらくないと思います。 少し古いエントリになりますが、以下のブログにWebアプリケーションの脆弱性を調べるツールがまとめられています。 サーバ/Webアプリケーション脆弱性チェックツールの個人的まとめ（フリー/有償） 良い物は高価、

クラウド型のWAFを無料で使えるので試してみました！　Webアプリケーションへのサイバー攻撃を防ぐ！ 無料トライアル版実施レポート 日常的に繰り返されているWebアプリケーションへの攻撃 Webアプリケーションの脆弱性を利用して行われる個人情報の窃取（せっしゅ）やコンテンツの改ざんといった攻撃は、もはや珍しいことではありません。昨年、日本の大手エレクトロニクスメーカーが提供するWebサービスに対して攻撃がしかけられ、1億人強のユーザの個人情報が流出し、大きな騒ぎとなったのは記憶に新しいところです。この状況は今年になっても改善されておらず、毎月のように情報漏えいのニュースが聞こえてきます。 こうしたWebアプリケーションへの攻撃には、さまざまな手法が使われています。代表的な攻撃手法として「SQLインジェクション」があります。これはフォームにSQL文を直接入力し、開発者が意図していない動作をW

RFCとなった「OAuth 2.0」――その要点は？：デジタル・アイデンティティ技術最新動向（2）（1/2 ページ） いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O

Since April, a hacker with a history of selling stolen data has claimed a data breach of billions of records — impacting at least 300 million people — from a…

2017年版にアップデートしました。 Facebookはデフォルトの設定の状態だと、あなたの情報は世界中にダダ漏れになってしまいます。あなたの写真や、あなたの友人のプライベートな写真まで世の中の人に見られてしまう可能性があります。 1 友達リストを使う FacebookにもTwitter同様、リストの機能があります。実はこの友達リスト機能があまり多くの人に知られておりません。この友達リストはすごく便利で、このリスト毎にプライバシー設定を変更する事が可能です。メッセージを送信する時も複数人に送信する場合、このリスト機能を使って一斉送信する事も可能です。 友達リストについて知っておくべき事 一人の友達を複数の友達リストに追加する事ができる。友達リストは他のすべてのウェブ同様”タグ”として使う友達リストは個々に明確なプライバシー方針を設定できるこの上記の三つの詳細については後に説明します。リスト

はじめに 2011年末に発表されたHashDoS攻撃は、JavaやPHP、ASPなど非常に広い範囲に影響を及ぼすものであり、大きな話題となりました。筆者はちょうど大晦日にこの情報をキャッチし、その内容にのけぞりそうになりました。というのも、Javaアプリケーション内でHashMapを使い、そこにユーザ（この場合は攻撃者）からのデータを格納するだけで脆弱だというからです。 JavaではHashMapは非常に頻繁に使われる基本的なクラスであり、TomcatやJettyなどが当然のように影響を受けました。私たちが提供しているSaaS型WAFサービス「Scutum(スキュータム)」は、筆者が開発しているGuardian@JUMPERZ.NET(以下、Guardian)というJava製のWAFアプリケーションがコアとなっており、内部では非常に多くの箇所でHashMapを使用しています。大晦日の午前中