Free course demos allow you to see course content, watch world-class instructors in action, and evaluate course difficulty.
Top 25 Software Errors | SANS Institute
Free course demos allow you to see course content, watch world-class instructors in action, and evaluate course difficulty.
「最も危険なプログラミングエラー」25種類のリスト発表
サイバースパイやサイバー犯罪につながる「危険なプログラミングエラー」の上位25種類をSANSが発表した。 SANS Instituteは1月12日、ソフトウェアの脆弱性発生の原因となる「最も危険なプログラミングエラー」上位25種類のリストを発表した。 リスト作成には、米SymantecやMicrosoftなどの民間企業、カリフォルニア大学などの学術機関、米国土安全保障省の国家サイバーセキュリティ部門(NCSD)、日本の情報処理推進機構(IPA)などが協力した。「コンポーネント間のセキュアでない相互作用」「危険なリソースマネジメント」「防御の不備」の3分野にわたる計25項目を「最も危険なプログラミングエラー」として挙げた。 2008年は、このうち2項目だけで150万件のWebサイトセキュリティの問題が発生。問題のあるWebサイトを訪れたユーザーのコンピュータが、攻撃者によって「ゾンビPC」に
ScanNetSecurity - SCAN DISPATCH :PC内のプログラムを組み替えて悪意のあるコードを作成
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。 ---- PCに既にインストールされているプログラムを拝借してそのコードを組み替え、悪意のある動作をさせてしまう……、そんな信じられない新しいカテゴリの攻撃を解説したホワイトペーパーが発表されている。カリフォルニア大学サンディエゴ校の研究者らが発表したホワイトペーパー「When Good Instructions Go Bad:Generalizing Return-Oriented Programming to RISC」がそれだ。著者の一人、Ryan Roemer 氏とメールインタビューが成功したので紹介しよう。 この、「良い」コードから適当に命令を選んで悪意のあるコードを作ることを Return-Oriented Programm
Sony Japan|ソフトウェア脆弱性防止コーディングルール
ソニーが仕様を定めて作成・納品を依頼するソフトウェアにおいては、ソフトウェアセキュリティ上の脆弱性をできる限り防止するために、原則として「ソフトウェア脆弱性防止コーディングルール(STM-0117 一般公開版)」*に規定するコーディングルールに従ったプログラミングをお願いしております。 ソニーはビジネスパートナーの皆様と共に、ソフトウェア脆弱性の防止に努力を重ねてまいりますので、ご協力の程、宜しくお願い致します。
【緊急警告】5月6日にシステム障害の恐れ、連休前にカレンダー情報の再点検を
明日5月3日から始まる4連休の最終日である2008年5月6日火曜日に、システム障害が発生する恐れがあることが分かった。この日は5月4日の「みどりの日」の振替休日。だが、自動運転ソフトなどが保有するカレンダー情報を更新していない場合、平日の設定になっている可能性がある。休日と平日で実行するバッチ処理の種類やオンライン・システムの運転時間を変えていると、休日にもかかわらず平日の処理を実行することになるので注意が必要だ。 5月6日を平日と誤認するのは、2007年1月1日の「祝日法」改正を反映していないケースだ。法改正では、5月4日が「みどりの日」として祝日になり、振替休日に関するルールも変わった。 5月4日が祝日となったことの影響範囲は広くない。改正前も「祝日と祝日の間の日は休日にする」という条件に該当するために休日だったからだ。が、休日と祝日を区別しているシステムでのみ、注意が必要だ。 影響が
セキュアコーディング:そこにある見えない大問題 - builder by ZDNet Japan
この2週間ほど、私は漠然とソーシャルコンピューティング、クラウドコンピューティング、そして伝統的なプロセスに基づくシステムをつなげようと試みていた。この話には多くの切り口があるが、私の意識からすっかり抜けていたのがセキュリティの観点だ。私は特にこの分野の専門だと言うつもりはないが、これがビジネスソフトウェア開発で不可欠なコンポーネントだということは知っている。まずは最近の出来事や記事を追ってみよう。 4月8日に出た大きなニュースに、Googleがクラウドコンピューティングのためのアプリケーションエンジンを公開したというものがある。また、ラスベガスで開かれたGartner Emerging Technologies Conferenceについて書いた記事で、Larry Dignan氏は企業は確かにGoogleのクラウドに興味を持っているとしながらも、次のように記している。 しかし、問題点もあ
見落としがちなぜい弱性(Webアプリケーション編) その2:ITpro
以前の「今週のSecurity Check」の記事で,見落としがちなWebアプリケーションのぜい弱性の例として,ログイン画面におけるエラー・メッセージから認証の安全性が低下する例を示した。今回は,ログイン画面そのものがぜい弱な例を取り上げてみたい。 まず,写真1のログイン画面にどのようなぜい弱性が内在しているかお考えいただきたい。Webサイトの会員の立場から,ご自身の認証コードが破られる可能性は高いと思われるだろうか。 では,これに以下の条件が加わった場合はどうだろう。 ・会員番号は10桁の数字 ・認証コードは9桁の数字 この条件が加わると,ある特定の会員にとってログイン画面の認証の安全性は大幅に低下する。攻撃者の視点で考えてみよう。 攻撃者は,誰かの有効な会員番号と認証コードのセットを「できるだけ沢山、できるだけ容易に入手すること」を第一に考える。そこで,こうしたログイン画面に狙いを付け
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
