Forkwell Meetup #3 https://forkwell.connpass.com/event/48147/Read less
「速」を落とさないコードレビュー
Forkwell Meetup #3 https://forkwell.connpass.com/event/48147/Read less
ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション 〜 ただし出力対策も必須です 〜
(Last Updated On: 2019年2月18日)入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか?を理解していない方も見かけますが「ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション」の効果と拡張方法を見れば解るのではないでしょうか? ソフトウェア開発者が知っておくべきセキュリティの定義/標準/ガイドで紹介しているセキュリティガイドラインでは入力バリデーションが最も重要なセキュリティ対策であるとしています。 厳格な入力バリデーションを行うと、開発者が意識しなくても、非常に多くの脆弱性を利用した攻撃を防止できます。今回は比較的緩い入力バリデーション関数でも、ほとんどのインジェクション攻撃を防止できることを紹介します。 重要:セキュア/防御的プログラミングでは入力と出力のセキュリティ対策は”独立”した対策です。ど
ブラウザにファイルをドロップしてはいけない - ぼくはまちちゃん!
こんにちはこんにちは!! 先日、CROSS 2013っていう、エンジニア向けのビール飲み放題のイベントに行ってきました! そこの「HTML5×セキュリティ」っていうコーナーで、ちょっと喋ってきたんですが、 その時の小ネタを紹介しておきます。 最近、ブログとかのWebサービスで写真をアップロードする時に、 ファイルをドラッグ&ドロップするだけでできたりしますよね。 いちいちダイアログから選ばなくていいから便利です。 こんなやつ。 この手の仕掛けって、ドラッグ時にボーダーカラーを変えたりして 「いまドラッグ&ドロップ状態ですよ〜」ってわかりやすく表示されますが、 それって別に、ブラウザが警告の意味で出してるんじゃなくて、 あくまで、Webサービス側が親切で表示してるだけなんですよね。 ってことは ・ドラッグされても特にボーダーラインなどを表示せず ・画面上のどこでもドロップを受け入れるようにし
まったく痕跡を残さず匿名でコンピューターを使える『Tails』 | ライフハッカー・ジャパン
もし、ジェームズ・ボンドがコンピューターにログオンしたとしたら、ファイル、Cookie、IPアドレスなど、コンピューターを使った痕跡は何一つ残さないはずです。極端に聞こえるかもしれませんが、これくらい慎重になったほうがいい場合もあるでしょう。 この記事では、DVDやUSBを使って、一切の痕跡を残さずコンピューターを使う方法をご紹介します。 「痕跡を残さない」とは文字通りまったく何も残さないという意味です。LinuxベースのLive OS『Tails』を使えば、どんなコンピューターも痕跡を残さず利用できます。Tailsは強固なセキュリティ機能を備えたポータブルOSで、DVDやUSBにインストールが可能。インストール手順は後ほどご説明しますが、まずはTailsの概要をざっと見ていきましょう。 Tailsの概要 Tailsを使うのはとても簡単です。起動ディスクを作成するだけで、完全に匿名かつ一切
パスワードがわからなくてもMacにログインする方法(と対策) | ライフハッカー・ジャパン
あなたが悪意ある侵入者ではないとしても、パスワードなしでマシンにログインしたい場面があるかもしれません。パスワードなしでログインできるかって? Macではとても簡単なことです。この記事では、Macでのログイン方法とその防ぎ方をご紹介します。 Macへのログイン方法は数多くありますが、基本はどれも同じです。ここでは代表的な2つの方法を採り上げます。 また、『John the Ripper』や『THC-Hydra』などのクラッキングツールもありますが、操作が複雑だったり高価だったりします。今回はこれらのツールは使わないでおきましょう。■Mac OS XのインストールCDを使う方法 Mac OS XのインストールCDがあれば、管理者アカウントのパスワードを簡単に変更できてしまいます。CDを挿入して、キーボードの「C」を長押ししながらMacを起動してください。しばらくするとMac OS Xのインス
VPSって一体なんだろう?VPSの事を調べてみた - YATのBlog
VPSって一体どういうものなのかを図解入りで解説しました。参考になるサイトやツールの紹介もしています。最近低価格帯で提供されているVPSが人気で良く耳にします。 中でも周りのブロガーさん達にはさくらVPSが人気なようで、僕も当ブログをさくらVPSに引越ししようと色々と調べてました。 しかし、このVPSって一体何でしょう?今回はVPSについて色々調べた事をさくらVPSを基準にしてまとめておきたいと思います。 1.VPSとは 2.何が出来るの? 3.必要なもの 4.さくらVPSについて 5.まとめ 1.VPSとは VPSとはバーチャル・プライベート・サーバ (Virtual private server) の略で、1台のコンピュータ上に複数の仮想サーバーを起動するソフトウェアの事を指します。 レンタルサーバーが提供しているVPSはこれを採用している為、我々利用者は共用サーバーでありながら1
ソースコードの脆弱性をチェックするツール、IPAが無償公開。C言語に対応
IPA(独立行政法人情報処理推進機構)は、 C言語で作成されたソースコードに脆弱性が存在しないかどうかを検査するツール「iCodeChecker」を公開しました。無償で利用できます。 iCodeCheckerは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威についてのレポートを出力するツール。プレスリリースから引用します。 本ツールは、脆弱性やソースコード検査技術を学習したい学生や開発者を対象に、利用者自身が作成したソースコード(C言語)を検査することできます。 本ツールでは、ソースコードの脆弱性が存在する箇所を検出し、修正例や脆弱性が悪用された場合の脅威について解析したレポートを出力します。利用者は本ツールを通して、脆弱性を学習するとともに、ソースコードセキュリティ検査技術の有効的な活用方法を習得することができます。 配布形式は、VMイメージ、パッケージ
ふつうのformをつかいたい - はまちや2 - ニコニコ超会議2012
こんにちはこんにちは!! はまちや2 (@Hamachiya2) ブロガー、クラッカー。特技は洗濯、趣味は破壊、苦手なことはプログラミング。 WEB+DB PRESS のお便りコーナー担当。 「はまちちゃん」とかで適当にググってください。 無料で プレミアム機能を 使う方法 見つける時間がありませんでした。 何話そう? プログラムは苦手だし… セキュリティとか興味ないし… そんなわけで普通のことを話します。 本日のテーマ: 『ふつうのformを使いたい』 <form> 電話番号はハイフン抜きの半角で…(はいはい) フリガナはカナで… (カナで名前を学習してしまうのが嫌だけど…) 郵便番号は前と後ろに分けて… (めんどくさいなぁ…) 住所は全角で… (あーはいはい…) … (できた!) (これで送信、と…) ※エラー:住所を正しく入力してください (え、なんで!?) ※住所は全角で入力してく
CASが廃止。.NET 4のセキュリティはどうなるのか?(1/2) - @IT
4月12日に米国でのローンチが予定されている.NET Framework 4(以降、.NET 4)では、さまざまな新機能の追加や機能拡張が行われる一方で、廃止されるものもある。その中で最も驚くべきものの1つが、「コード・アクセス・セキュリティ(以降、CAS)を利用したセキュリティ・ポリシー設定の廃止(=デフォルト無効化)」だ。 CASといえば、.NETのランタイム・エンジン「CLR」のセキュリティ機構そのものであり、CLRとは切っても切り離せない機能だ(CASについて詳しくは「解説 インサイド .NET Framework [改訂版]」を参照)。.NET開発をしている人なら、ほとんどの人がCASを知っているだろう。 そんな大事なものが廃止される?! これはいったいどういうことなのか? ●CASが廃止される理由とは? 疑いようもなくCASは、.NET 3.5 SP1までのCLRのセキュリティ
How Secure Is My Password?
How long it would take a computer to crack your password?
FreeBSD Capsicum、Linuxへ移植 | エンタープライズ | マイコミジャーナル
Capsicum is a lightweight OS capability and sandbox framework. GoogleのBen Laurie氏がブログにおいて、FreeBSD CapsicumをLinuxに移植する作業を進めていることを発表した。CapsicumはFreeBSDで実装が進められている新しいセキュリティモデル。アプリケーション内部にセキュリティサンドボックを構築するタイプの技術で、従来のDACやMACのモデルではカバーできない部分に対して細かいアクセス制御機能を提供する。 Links ≫ FreeBSD Capsicumで説明されているが、Capsicumの最大の特徴のひとつが実装の簡単さにある。Robert Watson氏はChromiumのサンドボックス機能をCapsicumを使って実装したが、これにかかった時間は2日間であり、コードは100行ほどだと
「タコイカウイルス」作者を逮捕 警視庁、器物損壊容疑を初適用
ファイル共有ソフト「Winny」経由で感染する「タコイカウイルス」を作成し、PCを壊したとして、警視庁は8月4日、器物損壊の疑いで大阪府泉佐野市の会社員の男(27)を逮捕した。ウイルスによるHDD破壊に器物損壊容疑を適用したのは初めてという。 男は2008年1月、アニメ「CLANNAD」の静止画が入った「原田ウイルス」を作成し、ウイルス作者として国内で初めて逮捕され、著作権法違反の有罪判決を受けて執行猶予中だった(国内初、ウイルス作者逮捕 CLANNAD画像の「著作権侵害」で)。 調べによると、男は今年6月、北海道の男性のPCがウイルスをダウンロードしたことで感染し、HDDを使用不能にした疑いがもたれている。報道によると、男は「プログラミング技術が向上したか試したかった」「違法ダウンロードしている人を懲らしめたかった」などと話しているという。 タコイカウイルスは09年夏に出現。動画ファイル
ブロックされたサイトへアクセスする裏技10連発! : ライフハッカー[日本版]
DIY , Firefox , Google , Linux , Microsoft , Mozilla , PC本体 , Webツール , Windows , その他 , その他 , アドオン , セキュリティ , デスクトップツール , ハードウェア , フリーソフト , ブラウザ ブロックされたサイトへアクセスする裏技10連発! 掲載日時:2010.04.26 08:00 コメント [0] , トラックバック [0] Photo by chidorian インターネットというのはフリーな場所である、と言いつつも、職場などのパソコンではアクセスが制限されていたり、トラフィックが多過ぎで繋がらなかったりなどするものです。 今すぐ特定の動画を見たい、またはあるサイトへアクセスする必要がある、今すぐこのtorrentをダウンロードしたい! などの不都合に直面した際に役立つ裏技を10通り一
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
詐欺的な情報収集(1) --- ソーシャル・エンジニアリングとフィッシング
ポイント ●ソーシャル・エンジニアリングは,詐欺の手口(または非技術的な手口)で不正に情報を収集する手法の総称である ●フィッシングは,ソーシャル・エンジニアリングにネットワーク技術やコンピュータ技術を組み合わせてターゲット・ユーザー(利用者)を攻撃者が用意したサイトに誘導して不正に情報を収集する手法である ●フィッシング対策としては,メールに書かれているURLを気軽にクリックしないようにする。リンク先にアクセスする必要があるときは,自分で登録したブックマーク(お気に入り)からアクセスするのが良い。ただし,これらの対策では防ぎきれない場合もある 第4章に入って情報収集手法に関する話題が続いています。前回と前々回はネットワークやコンピュータ技術を利用する手法でした。今回は,詐欺的な情報収集手法であるソーシャル・エンジニアリングとフィッシングについて勉強します。 ソーシャル・エンジニアリングと
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://e-algorithm.xyz/vulnerability/