SQLインジェクション再現デモムービー:phpspot開発日誌
0-DAY - SIMPLE SQL INJECTION あるオープンソースのCMSのセキュリティホールを探る際のFlashムービー。 映画のイントロのように始まり、怪しげな音楽と共にムービーが再生される等、あやしい雰囲気たっぷりに作られています。 IRCチャットで依頼が始まり、ソースのDL〜grepしてSQLインジェクションの脆弱性を見つけ、実際にIDとpassを取り出すまで。 こういう手口で脆弱性が発見されるんだな、というのがハッキリと分かります。 もちろん、ソースなど見なくてもURLから類推したりその他のパターンも多数あると思いますが、オープンソースの場合はこんな感じでソースをgrepされたりするんでしょうね。 SQLインジェクション対策の参考に。
第2回 Webブラウザが乗っ取られ,犯罪者の支配下に
Web 2.0という言葉で総称される新たなインターネット時代。Webサイトやエンドユーザーに仕掛けられる攻撃もまた,2.0と呼ぶべき進化を遂げようとしている。攻撃者はWeb 2.0の中核技術であるJavaScriptを悪用してブラウザを狙う。第2回目となる今回は,今そこにある危機に迫る。 Zone-Hの場合,犯人は自己顕示を目的としていたため,被害はページ改ざん程度で済んだ。しかし,犯罪者の狙い次第で危険度はもっと高まる(図3)。 図3●XSSのぜい弱性を突くことで可能になる攻撃 キー入力の盗難や他サイトへの攻撃などユーザーが知らないうちに,背後での攻撃が可能になる。 [画像のクリックで拡大表示] 例えば銀行や証券会社のWebサイトにXSSの穴があれば,クッキーを盗まれ,不正送金などにつながるかもしれない。盗んだクッキーを使って業務で使用しているWebメールを盗み見られれば,開発や営業の資
画像で見るスパイウェアの巧妙な配布方法
ウェブルート・ソフトウェアが8月23日、2006年第2四半期(4~6月)におけるスパイウェアの被害状況をまとめた調査「State of Spyware」を発表した。それによると、個人ユーザーのスパイウェア感染率は89%に上るという。 この数値は、トロイの木馬やアドウェアなどのほかに、不正なCookieも含んだものだ。感染率が7割程度だった2005年下半期に比べると、着実に感染率が高まっている。 感染率が高まっている背景として、ウェブルート・ソフトウェアの野々下幸治テクニカルサポートディレクターは、「スパイウェアの配布方法が巧妙化している」と指摘。そこで同社の協力を得て、日本人が多く被害を受けているスパイウェアの巧妙な配布方法を画像キャプチャとともに解説したい。 ウェブルート・ソフトウェアは、スパイウェア対策ソリューションを提供する米Webroot Softwareの日本法人。個人向けにはス
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
