エグゼクティブサマリ IEのクッキーモンスターバグはWindows 10では解消されているが、Windows 7とWindows 8.1では解消されていない。このため、地域型JPドメイン名と都道府県型JPドメイン名上のサイトは、クッキーが外部から書き換えられるリスクが現実的に存在しするので、セキュリティ対策上もクッキー書き換えのリスクを考慮しておく必要がある。 クッキーが外部から変更された際のリスク ウェブサイトの利用者が第三者によりクッキーの値を変更されると、以下のような攻撃が可能になります。 セッションIDの固定化攻撃(脆弱性がある場合) クッキーを攻撃経路とするクロスサイトスクリプティング攻撃(脆弱性がある場合) 一部のCSRF対策の回避 「一部のCSRF対策」と書いたのは、OWASPの資料ではDouble Submit Cookieと呼ばれるもので、乱数値をクッキーとリクエストパラ
本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日) Read less
This browser is no longer supported. Upgrade to Microsoft Edge to take advantage of the latest features, security updates, and technical support. この度の東北地方太平洋沖地震により、亡くなられた方々のご冥福をお祈り申し上げますとともに、被災された皆様、ご家族、ご親戚、ご友人の方々に対しまして、心よりお見舞い申し上げます。 先日、マイクロソフトより公開したサーバー製品の対応関連情報ですが、ご覧いただけましたでしょうか? マイクロソフト製品群のバックアップ、障害対応および節電に関する情報 http://technet.microsoft.com/ja-jp/gg703325 既存資料を流用したため、まだ冗長な情報が多いかと思います。 ここではWind
開発モードって知っていますか?開発者や運用者の方は比較的知っている方も多いのではないかと思います。ときに、デバックモード、デバックオプションと言ってるものもあります。 9/8に弊社より下記アドバイザリが掲載されました。 LAC Advisory No.120 Apache Strutsにおけるクロスサイトスクリプティングの脆弱性 ざっくりいうと、開発モードのときにXSSの脆弱性があるという内容です。 この情報を目にした時、XSSの脆弱性より開発モードの方が気になったんです。 なぜかって、「開発モードで本番稼働なんて・・・ありえない」と思っていたからです。 でも、いろんな人と話をしていると開発モードのままで稼働しているシステムがあるみたいということなので・・・今回は、開発モードについて触れてみようと思います。 開発モード(デバックモード)とは まず、開発モードの整理から。 『主に開発者向けの
Apache Struts 2においてdevModeが有効である場合に任意のJava(OGNL)コードが実行可能となる脆弱性 脆弱性 LAC Advisory No.123 Problem first discovered on: Fri, 22 Jul 2016 Published on: Fri, 3 Feb 2017 脅威度 高 概要 Apache財団が提供しているApache Struts 2には、遠隔から任意のJava(OGNL)コードが実行可能となる脆弱性が存在します。 詳細 Apache財団が提供しているApache Struts 2は、オープンソースのWebアプリケーションフレームワークです。Apache Struts 2には、開発用に用いるdevModeで用いられているパラメータに値検証不備が含まれているため、脆弱なパラメータに任意のJava(OGNL)コードを外部から挿
JVN#92395431 Apache Struts 2 において devMode が有効な場合に任意の Java(OGNL) コードが実行可能な問題 Apache Struts 2 では、devMode (Development Mode) を有効にしている場合、任意の Java(OGNL) コードが実行可能です。 Apache Struts 2.3.30 およびそれ以前 Apache Struts 2.5.1 およびそれ以前 開発者によると、Apache Struts 2.3.31 および Apache Struts 2.5.2 以降では本問題は存在しないことを確認しているとのことです。 The Apache Software Foundation が提供する Apache Struts は、Java のウェブアプリケーションを開発するためのソフトウェアフレームワークです。Apache
HPE GreenLake Edge-to-Cloudプラットフォームでデータファーストのモダナイゼーションを促進し、あらゆる場所にアプリケーションとデータにクラウドのエクスペリエンスをもたらします。
【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い(2024年4月1日) 2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。 「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。
標的型攻撃で侵入されたネットワークでは、侵入後に他のホストやサーバーに感染が広がる事例が多い。インシデント調査では、この侵入拡大フェーズの調査が重要である。侵入拡大フェーズの調査手法として、感染ホストのログ調査や、ディスクイメージのフォレンジック調査などが挙げられる。しかし、調査に有効なログが感染ホスト上に残らず、攻撃者の行動を十分に追跡できないことも多い。そのため、攻撃者がネットワーク内でどのように感染拡大を行うか把握できないことが多い。 そこで、攻撃者の行動を把握するために、実際の攻撃に使用された攻撃者のサーバー(C2サーバー)やマルウェアを調査した。C2サーバー内のログやマルウェアが行った通信をデコードすることで、ネットワーク侵入後の攻撃者の行動を把握することが可能となった。その結果、侵入拡大の手口にはよく見られる共通のパターンが存在することを確認した。また、異なるマルウェアや攻撃キ
SSL証明書が「信頼されない」とHTTPSサイト表示時にエラーが生じる 最初に「SSL証明書が信頼されない」とはどういうことか説明しよう。 Chromeに限らずWebブラウザは、HTTPSのWebサイトに接続する際、SSL証明書が正当なものかどうか検証する。もし有効期限や共通名(コモンネーム)、発行元(認証局)などに何かしら異常が見つかった場合、アドレスバー左端のアイコンやブラウザペインにその旨のエラーを表示してエンドユーザーに知らせる。 この状態ではHTTPSによる暗号化は信頼できず、通信中に盗聴や改ざん、なりすましの被害を受ける危険がある。 つまり、近い将来、Symantecの認証局から発行されたSSL証明書を組み込んであるWebサイトに対し、Chromeで閲覧したエンドユーザーにはこうしたエラーが表示されるようになる、ということだ。Webサイト運営・管理側としては何としても避けるべき
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く