タグ

セキュリティに関するtsubasouthのブックマーク (92)

  • 星野君のWebアプリほのぼの改造計画 連載インデックス - @IT -

    セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? 誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動-SQLインジェクション編 Webアプリ、入力チェ

  • 高木浩光@自宅の日記 - 無線LANのMACアドレス制限の無意味さがあまり理解されていない

    ■ 無線LANのMACアドレス制限の無意味さがあまり理解されていない 職業マスメディアに代わって、ブログスタイルのニュースサイトが人気を博す時代になってきた。海外の話題を写真の転載で紹介する安直なニュースも人気だ。 このことろなぜか、無線LANのセキュリティ設定について書かれた記事を何度か見た。おそらく、ニンテンドーDSがWEPしかサポートしていないことが不安をもたらしている(そして実際に危険をもたらしている)ためだろうと思われる。 セキュリティの解説が増えてきたのはよいことなのだが、内容に誤りのあるものが少なくない。 実は危険な無線LAN, らばQ, 2007年10月21日 この記事には次の記述があるが、「接続されなければMACアドレスは盗まれない」という誤解があるようだ。 MACアドレスというのは、機器固有のIDのようなものです。たいていの無線LANアクセスポイントにはMACアドレスフ

  • 58. すごいリロード対策

    まず、日のサイトにある一般的な登録フォームの画面遷移は 入力画面→入力確認画面→完了画面 となっている場合が多いようです。ここでリロード問題となるのは完了画面でのDBへのINSERT処理やCSV書き出し処理、メール送信処理など「一度しか行わない処理」です。例えば完了画面へ遷移した際にブラウザのリロードボタンが押された場合、確認画面よりsubmitした情報が再度submitされて上記の一度しか行わない処理が二度行われてしまいます。そうならないよう、リロード対策はスクリプトで制御します。 まずは確認画面のスクリプト 確認画面でチケットを発行し、セッションに保存しておきます。同時に完了画面へチケットがPOSTされるよう、hiddenにセット。こうして完了画面へ遷移させます。それでは完了画面のスクリプトを見てみましょう。 このように、確認画面で発行されたチケットは一度使い切ってしまえば2度処理さ

    58. すごいリロード対策
  • 機密情報に合法的に近づけるWebアプリケーションを守れ

    機密情報に合法的に近づけるWebアプリケーションを守れ:Webアプリケーションファイアウォールの必要性(1)(2/3 ページ) Webアプリケーションセキュリティとネットワークセキュリティの間隙 SQLインジェクションやクロスサイトスクリプティングは、Webアプリケーションセキュリティに携わる人たちの間では広く語られていた用語であり、その危険性について以前から識者たちはたびたび警告を発していた。しかしながら、ファイアウォールやIDS(不正侵入検知システム)といったネットワークセキュリティに携わるネットワークエンジニアたちの間でこれらの危険性が十分に語られてきたとはいえない。 Webアプリケーションの脆弱性に対する防御はネットワークエンジニアの範疇(はんちゅう)ではなく、Webアプリケーション開発者の仕事であるという意識があったからではないだろうか。事実、これらの脆弱性に対してIDSやIPS

    機密情報に合法的に近づけるWebアプリケーションを守れ
  • IT戦記 - IEを華麗に撃墜する一行

    はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <script>document.createStyleSheet().addRule('html > body', 'display:block');</script> → サンプル (IEだとブラウザが固まった上にメモリ 1.5 GB くらいくっちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね!IE7は落ちないけど! CSSStyleSheet オブジェクトに addRule で子孫セレクタをあてるとダメなかんじかな! ちなみに display:block の箇所はどんなプロパティでも落ちるよ! なにこれ!よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、これをたくさんバラまいてIEのシェアをどんどん下げちゃ

    IT戦記 - IEを華麗に撃墜する一行
  • 3分LifeHacking:誕生日や電話番号以外のパスワードを考える - ITmedia Biz.ID

    4桁の数字を決めてください──と言われて、家族の誕生日や実家の電話番号を思い浮かべてしまう方。いろいろな定数を使い、覚えている数字の幅を広げてみては? あなたの暗証番号は、「奥さんの誕生日」「子供の誕生日」「実家の電話番号」──。ギクッとした人はいるだろうか。 実際、ある調査会社が非公開で行ったパスワードに関するアンケートでは、ほとんどのユーザーが“分かっちゃいるけど”誕生日などの身近な数字を使っていたようだ。ダメと言われていても、実際はそういった数字そのものであることが多い。 いや、そうした数字を使ってはいけないことは知識としては分かっているのだ。でも、それならどんな数字(しかも覚えていられるもの)を使えばいいのか。 今回は、特に作成しにくい数字のパスワードについて、誕生日や電話番号を使わない作り方を考える。 数学的な定数を使ってみる パスワードに向いている数字に必要なのは、自分で覚えて

    3分LifeHacking:誕生日や電話番号以外のパスワードを考える - ITmedia Biz.ID
  • @IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃

    ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください

    @IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
  • 無料のアンチウイルスソフト「AVG Anti-Virus Free Edition」日本語版登場 - GIGAZINE

    Windows 98/Me/NT/2000/XP/Vistaに対応したアンチウイルスソフト「AVG Anti-Virus Free Edition」の日語版がついに先ほど、ようやく公開されました。家庭内で個人的に非商用で利用するのであれば無料です。 いろいろと機能的な制限はあるものの、常駐させることが可能で、なおかつ定期的にパソコンの中をフルスキャンさせたり、あるいは右クリックから任意のファイルをスキャンするといったことも可能ですし、メールの送受信時に自動的にスキャンしてチェックすることもできます。なので、とりあえずアンチウイルスソフトに払うお金がないという人には最適なのかも。 というわけで、実際にインストールして使ってみました。 ダウンロードは以下から可能です。 AVG - AVG Anti-Virus Free Edition ダウンロードしたらクリックして実行 「次へ」をクリック

    無料のアンチウイルスソフト「AVG Anti-Virus Free Edition」日本語版登場 - GIGAZINE
  • IEを華麗に撃墜する一行 - ぼくはまちちゃん!(Hatena)

    はい! こんにちは!!!!! 今日は、偶然ブラクラ発見しちゃったから、それをお伝えしますね! これだよ! <style>*{position:relative}</style><table><input></table> → サンプル (IEだとブラウザが終了しちゃうよ! 注意してね!) IE6とかIE6のコンポーネントブラウザだと確実に落ちちゃうみたいだね! IE7は確認してないけど! tableとかtrの直下に、inputとかselectがあって、 そのあたりにcssの全称セレクタでposition:relativeがあたっているとダメなかんじかな! ちなみにinputにstyleで直接relativeあてても落ちなかったよ! なにこれ! よくわかんないけど面白いね…! FirefoxとかOpera大好きっ子は、 これをたくさんバラまいてIEのシェアをどんどん下げちゃえばいいと思うよ!

    IEを華麗に撃墜する一行 - ぼくはまちちゃん!(Hatena)
  • Atom や RDF を利用したXSS - 葉っぱ日記

    Internet Explorer の悪名高い Content-Type: 無視という仕様を利用すると、Atom や RDF/RSS を利用してXSSを発生できることがあります。条件的に対象となるWebアプリケーションは多くはないと思いますが、それでもいくつか該当するWebアプリケーションが実在することを確認しました。以下の例では Atom の場合について書いていますが RDF/RSS でも同様です。 例えば、http://example.com/search.cgi?output=atom&q=abcd という URL にアクセスすると、「abcd」という文字列の検索結果を Atom として返すCGIがあったとします。 GET /search.cgi?output=atom&q=abcd Host: example.com HTTP/1.1 200 OK Content-Type: ap

    Atom や RDF を利用したXSS - 葉っぱ日記
  • インストール不要の無料アンチウイルスソフト「ClamWin Portable」 - GIGAZINE

    オープンソースで開発されているアンチウイルスソフト「ClamAV」のWindows版である「ClamWin Free Antivirus」をUSBメモリでも動作するように改良したのが今回紹介する「ClamWin Portable」です。Windows 98/Me/2000/XP/Vistaに対応しています。 一般的なアンチウイルスソフトと違って常駐してリアルタイム監視する機能はないのですが、ウイルスだけでなくスパイウェア駆除にも対応しており、定期的なスキャンや定義ファイルの自動ダウンロードも可能。定義ファイルは一日に数回から十数回アップデートされるので通常の使用については特に問題はありません。 というわけでダウンロードと使い方は以下から。 ダウンロードは以下から行います。 ClamWin Portable | PortableApps.com - Portable software for

    インストール不要の無料アンチウイルスソフト「ClamWin Portable」 - GIGAZINE
  • Webサーバへの攻撃を見抜く ― @IT

    ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世

    Webサーバへの攻撃を見抜く ― @IT