タグ

関連タグで絞り込む (5)

タグの絞り込みを解除

脆弱性に関するyanagisawaのブックマーク (12)

  • livedoor ニュース - 『mixi年賀状』にセキュリティホール!?【トレビアン】

    『mixi』が日郵便と組んで始めたサービス『mixi年賀状』、これはマイミクが自分の住所を相手が知っていなくても年賀状を受け取ることができるというサービス。 通常は差出人が受取人の住所書くのだが、『mixi年賀状』は受け取り時に受取人の方で住所を入力するため相手に住所がわからないようになっている。 リアルな友達じゃないけど年賀状の交換はしたいという人に向けて開始されたサービス。 あまりの人気に一時サーバーがパンクするほどだ。 しかしそんな『mixi年賀状』にセキュリティホールが発見された。 先ほど家のポストを見てみると『mixi年賀状』が届いていた。 少し早い年賀状だと思いよく見てみるとそれは自分がマイミクに出したものだったのだ。 年賀状には以下の様にかかれており差し戻しされていた。 「配達準備中に調査しましたがあて名不完全で配達できません」 これは自分がマイミクに年賀状を出した際に、相

    livedoor ニュース - 『mixi年賀状』にセキュリティホール!?【トレビアン】

  • CPNI-957037: SSH 通信において一部データが漏えいする可能性

    SSH(Secure Shell)は、ネットワークを介してインターネット上に置かれているサーバにログインしたり、 コマンドを実行したりするためのプログラムおよび通信プロトコルで、データは暗号化された状態で通信が行なわれます。 SSH で使用される通信方式の一部に対する攻撃方法が報告されています。 報告された攻撃方法では、SSH がデフォルトで使用する通信方式において、ひとつの暗号化ブロックから 32 ビットの平文を取り出すことができるとされています。 この攻撃が行なわれると、SSH セッションが切れることがあります。RFC 4251 では、通信エラーが発生した際再接続すべきとされているため、自動的に再接続する実装の場合、攻撃による影響が大きくなる可能性があります。

  • 2008-11-02

    ちょっと作成したWebアプリケーションに脆弱性があるかをきちんとチェックしないといけない羽目になったので調べてみた. 出来ればフリーで,無ければ有償でもいいので.いや,やっぱりフリーで... 調べて実際にインストールや使ってみた順に載せてみます. Nessus http://www.nessus.org/nessus/ フリーでは一番使いやすいサーバ脆弱性診断ツールかな.有名だし. でもサーバの脆弱性診断という位置づけが強い MultiInjector released - automatic parallel website Injector / Defacer http://chaptersinwebsecurity.blogspot.com/2008/10/multiinjector-released-automatic.html Pythonの2.4以上で動作 Windowsでも使

    2008-11-02

  • 「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明

    ゴルフダイジェスト・オンライン(GDO)への不正アクセスは,同社データベースへのSQLインジェクション攻撃であることがわかった。 GDOでは,同社Webサイトを構成するデータベースの一部が不正アクセスを受けたとして,2008年10月2日からWebサービスを全面的に停止していた(関連記事)。攻撃の具体的な手順は明らかにしていなかったが,「今までにない新しい手法のSQLインジェクションだった」(同社広報)という。なお,最近セキュリティ・ベンダーからCookieを悪用した新手のSQLインジェクションについて警告が出ている(関連記事)が,この件との因果関係については「コメントできない」(同社広報)としている。 この攻撃の影響で,GDOの配信メールの一部に不正なURLが埋め込まれ,URLをクリックしたユーザーはマルウエアに感染する危険性が生じた。「URLを埋め込まれた可能性のあるメールは,2008年

    「今までにないタイプのSQLインジェクション」――ゴルフダイジェストへの不正アクセス手口が判明

  • 検出できるぜい弱性は42種類,SQLインジェクションは苦手

    前回,ratproxyは受動的なぜい弱性検査ツールだと紹介しました。では,ratproxyを使ってどのようなぜい弱性を検出できるのでしょうか。これは,ratproxyがぜい弱性を検出した際にレポートに出力するメッセージから分かります。このメッセージは42種類あって,ダウンロードしたratproxyのファイル群の一つ,messages.listファイルに記載されています。42種類のメッセージの中には「Adobe Flashファイルの一覧」のような単なるINFOレベルのメッセージも含まれていますが,基的に42種類のぜい弱性を検出できると考えて良いでしょう。 42種類の多くはクロスサイト・スクリプティング このうち,主要なものを大まかに分類すると,次のようになります。 (1)Content-TypeやCharset指定の誤り(XSSの危険性) (2)write()などのJavaScript関数

    検出できるぜい弱性は42種類,SQLインジェクションは苦手

  • 詳細が明かされたDNSキャッシュ・ポイズニングの新手法

    2008年7月から世界的に話題になっているDNSキャッシュ・ポイズニングを効率的に実現する手法について,発見者であるダン・カミンスキー氏が,Black Hat 2008の席上でプレゼンテーションを行いました(8月6日)。このキャッシュ・ポイズニングのぜい弱性については,いろいろ動きがありましたので,ぜい弱性に関連するイベントを追いかけておきましょう。 ■キャッシュ・ポイズニングのぜい弱性の対応経過 まずは,ぜい弱性に代表的なイベント一覧です。他の関連イベントについては, Status Tracking Note TRTA08-190B:複数の DNS 実装にキャッシュ・ポイズニングのぜい弱性 を参照してください。 2008年7月8日 BINDを含む複数のDNSサーバーが,ダン・カミンスキー氏が指摘するキャッシュ・ポイズニングを効率的に実現する手法に対してぜい弱であったことから,対策版がリリ

    詳細が明かされたDNSキャッシュ・ポイズニングの新手法

  • SecuritySpace

  • 最強のパスワードを作る 第1回 総論:コツさえつかめば簡単:ITpro

    WebメールやネットオークションといったWebサービスのほとんどで、人確認の手段として使われているパスワード。登録されているユーザーIDとパスワードの組み合わせを知っているかどうかで、ユーザー人かどうかを確認する。たとえ別人でも、ユーザーIDとパスワードさえ合っていれば、人だとみなされてアクセスを許される。 このため、他人には分からないようなパスワードを設定し、適切に管理することは情報セキュリティの基。容易に推測できるパスワードを設定したり、誰でも読める場所に書き留めておいたりしたら、自分になりすました第三者に、Webサービスを悪用されてしまう。 実際、パスワードを破られて被害に遭うケースは後を絶たない。警察庁によれば、アクセスを許されていない第三者がWebサービスなどを悪用する「不正アクセス」のほとんどが、「識別符号窃用型(パスワード破り型)」によるものだという(図1-1)。20

    最強のパスワードを作る 第1回 総論:コツさえつかめば簡単:ITpro

  • 第2回 最新の攻撃がもたらす三つの脅威

    Webサイトにアクセスするだけで感染してしまうウイルス。ここではその代表的な手口のメカニズムを解説しよう。そこから,どのような対策が必要になるかが見えてくるはずだ。 攻撃は大別すると,3ステップからなる。具体的には,(1)攻撃者が正規サイトを改ざんし,ウイルスのダウンロード・サイトに誘導するための不正コードを仕掛ける,(2)“わな”を仕掛けたサイトにアクセスしたパソコンをウイルスに感染させる,(3)感染したウイルスがダウンローダとして働き,次々にほかのウイルスをダウンロードして被害を拡大させる──である(図2)。 図2●ウイルスがWebサイト経由で社内ネットワークに感染するまでの流れ 正規サイトへのアクセスをきっかけに,未知のウイルスが次々に社内のパソコンに入り込んで感染が拡大する。

    第2回 最新の攻撃がもたらす三つの脅威

  • Linuxのシステム・コール「vmsplice」のぜい弱性を分析

    McAfee Avert Labs Blog 「Analyzing the Linux Kernel vmsplice Exploit」より February 13, 2008 Posted by Rafal Wojtczuk 2008年2月9日,ぜい弱性をデータベース形式で暴き出しているWebサイト「milw0rm」に,ゼロデイ攻撃となるエクスプロイト・コードが投稿された。Linuxカーネルのバージョン「2.6.17」から「2.6.24.1」に存在するぜい弱性を突くもので,特権を持たないローカル・ユーザーがroot権限を奪取できる。CVE(Common Vulnerabilities and Exposures)識別番号は「CVE-2008-0600」(関連記事:米国政府のぜい弱性対策に関する取り組み~CVE~)である。 このエクスプロイトは成功率が高く,盛んに利用されているとの報告があ

    Linuxのシステム・コール「vmsplice」のぜい弱性を分析

  • 日本HP、13万9583件の個人情報が流出、Web上のデータが「見える」状態に

    HPは2月29日、同社Webサイト上で13万9583件分の個人情報が一定期間インターネットからアクセス可能な状態にあったことを明らかにした。同社サイトを使って登録・回答した利用者に関するデータで、アクセス履歴では一部情報がアクセスされていたことが確認されている。同社は既に対策を講じ、現在はアクセスできない状態になっている。また、情報が不正利用に関する報告は今のところないという。 公開状態になっていたのは、07年1月31日-08年2月18日までに同社のWebを通じ、キャンペーンやセミナー申し込み、アンケート等で、顧客が入力したデータ。08年2月13日-20日までの間アクセス可能な状態になっていた。データの内容は、住所、氏名、電話番号、メールアドレス等。なお、オンラインストアのHP Directplusやサポート、製品の問い合わせ、教育コース申し込み等で登録したデータは別管理をしていたため

    日本HP、13万9583件の個人情報が流出、Web上のデータが「見える」状態に

  • Linuxカーネル2.6系にroot権限を奪われる脆弱性が発見される | スラド Linux

    Linuxカーネル2.6.17が公開されたのが、まぁぐぐると一瞬で分かるのですが 昨年……じゃないや一昨年の2006年6月17日ですね。(いまだに2007年脳) 2.6.24.1は今年の2月8日(ってまだ3日前か)にリリースされた最新版。 で、The Linux Kernel Archives [kernel.org]を見ると2.6.25 RC版が出ている模様。 参考:2.6.25 RC版のChangelog [kernel.org] これには件の修正も含まれているようです。 以下にChangelogから該当部分と思われる部分を、メールアドレス等の行は削除して引用。 >commit 8811930dc74a503415b35c4a79d14fb0b408a361 >Date: Fri Feb 8 08:49:14 2008 -0800 > > splice: missing user p

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.