2008年10月9日に開催されたBlack Hat Japan 2008で、「趣味と実益の文字コード攻撃」というテーマでネットエージェント株式会社の長谷川陽介氏が発表した。長谷川氏はアプリケーション側の文字コード処理に関するバグを利用したり、文字コードや文字を巧みに操作することで、Webアプリケーションなどに対して攻撃を行うことが可能だと示した。 ●Unicodeへの移行期に起きている混乱 Unicodeは世界で使われる全ての文字を使える文字コードという発想で作られたもので、日本では従来はEUC-JPやShift_JISなどの文字コードが使われていたが、徐々にUnicodeに移行している。その移行期である現在、従来の文字コードとUnicodeとの差違がセキュリティ的な問題を生んでいる。 安全な文字列の確認や危険な文字列の検出といった、文字列を比較して処理するというセキュリティの
SCAN DISPATCH は、アメリカのセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。 ---- 攻撃を阻止する唯一の方法が「匿名接続を拒否し、ホワイトリストに登録された一部のIPからの接続のみを許可する」しかなく、「TCPは基本的に崩壊(Search Security)」したといわれるほどの重大な脆弱性が発見されたらしい。 らしい、と言うのは、その脆弱性の仔細は、10月17日に初めて発表されるからである。そのため、現在セキュリティ界では、脆弱性の重要度、発見された日時、発見者などをめぐって喧々囂々である。 この脆弱性、「TCP Resource Exhaustion Denial of Service (DoS)Attack」の脆弱性、あるいは「Sockstress Denial of service」の脆弱性などと
バンダイネットワークス株式会社は10月9日、同社が運営する口コミグルメ情報サービス「askU.com」において、一部の登録ユーザが入力した登録情報(個人情報含む)が、外部から閲覧可能となる不具合が発生していたことが判明したと発表した。これは10月6日に判明したもので、6名分のユーザデータ(氏名、住所、メールアドレス、パスワード、パスワードを忘れた際の質問とその答え)が、外部から閲覧可能となる状態にあることを確認した。同社では同日早急に「askU.com」のサービスを停止し、閲覧できないための措置を実施したが、確認以前については登録された情報が外部から閲覧された可能性があ るという。 http://mainte2.channel.or.jp/asku/topics.html
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く