Google's Vulnerability Reward Program - ma<s>atokinugawa's blog
Googleは2010年11月からGoogleのウェブアプリケーションのセキュリティ脆弱性を報告した人に報酬を支払う制度をスタートしました。僕も早速いくつか報告し、以前TwitterでGoogleから$7337頂いたよとつぶやきましたが、あれから新たに$6337の入金があり、今のところこの制度で$13174($1337 × 2 + $1000 × 2 + $500 × 17)を頂いています!ありがとう! 追記 7337+6337=13674なので入金があったのは$13674($1337 × 2 + $1000 × 2 + $500 × 18)でした。合計を間違えてました。足し算難しい!><+$500! 修正されたものは情報を公開してもいいとのことなので、報告した中から多少変わったタイプの脆弱性を3つ紹介しようと思います。 <script>タグのsrcを細工することによるXSS こんなページ
グーグル、ウェブアプリの脆弱性検査ツール「skipfish」を公開
Googleは米国時間3月19日、オープンソースのウェブセキュリティスキャナ「skipfish」を公開した。ウェブアプリケーションをスキャンして、セキュリティホールの有無を調べられるものだ。 skipfishでウェブアプリをスキャンすると、ブラインドSQLやXMLインジェクションといった「巧妙な仕掛け」を含む脆弱性の有無が確認できると、Googleの開発者Michal Zalewski氏はskipfishのwikiで述べている。 skipfishは対象サイトへの再帰的クロールと辞書ベースの調査を実行し、その結果を表示したインタラクティブなサイトマップを作成する。脆弱性がある場合には強調表示する。また、skipfishが作成する最終レポートは、セキュリティ評価の判断材料として利用できる。 同様のスキャンツールは、「Nikto」や「Nessus」など、すでに商用でもオープンソースでも複数出回っ
Google Buzzのモバイル版にXSSの脆弱性
Google Buzzの脆弱性、セキュリティ専門家が指摘 「Google Buzz」のモバイル版にクロスサイトスクリプティング(XSS)の脆弱性があると、セキュリティ専門家が指摘している。この問題を最初に報告したSecTheoryのロバート・ハンセンCEOは、これを悪用すると、ユーザーに何かを投稿させたり、誰かをフォローさせたりできるとし、攻撃者は「ユーザーに対し、Google Buzzでできることは何でもできる」と述べている。この種の脆弱性フィッシングにも悪用できる。Googleはこの問題を把握しており、修正に取り組んでいるという。同社によると、この脆弱性を利用した攻撃が行われた様子はないという。 Security Bug Opens Google Buzz to Hackers(PCWorld) iPhoneハッカー、App Storeから締め出される iPhoneのJailbreak
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google、「google.co.jp」の検索もログイン時はSSL暗号化をデフォルトに -INTERNET Watch
