今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
Shishimushi - 知り合いが mixi やってるかどうかを知る
The grants and applications of the NIFA are all designed to help in the realization of its total company mission...
Amazonのすごいアクセス解析サービス - ぼくはまちちゃん!
こんにちは! Amazonほしい物リスト、すごい話題になってますね! なんでも、メールアドレスで検索すればAmazonに登録してある本名がでてくる (ケースもある) とか…。 で、さっそくぼくも試してみたよ! ほしい物リストサーチ! これって、いま話題になっているのは、誰かのメールアドレスを手がかりにして ウィッシュリストや本名、下手すると住所まで知られてしまうってところだよね。 それだけでも面白いんだけど、 あまり注目されていない機能として、こんなものがあったよ。 友だちにほしい物リストについて知らせる これ。 自分のほしい物リストを誰かにメール送信できちゃう機能らしいね! じゃあ試しにメール送信時のリクエストを確認してみると… http://www.amazon.co.jp/gp/registry/send-nudge.html?ie=UTF8&type=wishlist&__mk_j
Twitter の crossdomain.xml 問題について。 - てっく煮ブログ
ついったー足あと帳 関連でこんなブログ記事を発見した。今回は twitterのprotectな発言とかsettingからメールアドレスの取得や変更なんかできちゃってたわけで…2008-03-09 - skubotaの日記変更??間違った情報が広がるとよくないので勝手に補足。この記事には誤解がある。確かに取得はできるけど、変更はできない。実際に試した私が言うんだから間違いない。(補足)ためしたのは、ついったー足あとちょうを作ったらへん。今は仕様変わってるかも(?)たぶん、サーバー側でリファラを見て弾いてるんだと思う。SWF からリクエストする場合は、SWF の URL がリファラとしてつくようになっている。リファラをなしにして送ったらうまく行くことも確認した。だから、swf からのクロスドメインアクセスに対しては通用しないであろう。よって、(1)メールアドレスの変更、(2)パスワードリセット
XMLHttpRequestをクロスドメインで行う方法(Firefox) - -
追記: 以下の方法はFirefoxでXMLHttpRequestのクロスドメインのセキュリティ制限を回避する(無視する)方法ですが、Firefoxでしか使えずかつJSのコードに変なものを書かないといけないので、単純なデバッグ・実験用途にしか使えないです。それに、サービス側がJSONPに対応していればそれを使うし、JSをロードするドメインのサーバに簡単なリバースプロキシを用意するとクロスドメインではなくすることがすぐ可能なので、FirefoxでPriviledgeManagerをごにょごにょするより、最初からFirefox以外でも通用する方法をとった方が、二度手間にならなくて楽だと思います。 Livedoor Readerをちょっといじいじしてみようと思いつきで始めた。(Ajax初心者) トップのHTMLと、そこからロードされるたくさんの*.jsを wget (-k でざっくりリンク変換しつ
あなたの会社は仕事中にはてぶを使えますか?──IT鎖国する大企業 | WIRED VISION
第18回 あなたの会社は仕事中にはてブを使えますか?──IT鎖国する大企業 2008年2月19日 経済・ビジネスITワークスタイル コメント: トラックバック (4) (これまでの藤元健太郎の「フロントライン・ビズ」はこちら) ■縮こまる大企業 大企業の8割が2ちゃんねるにアクセス制限をしているという調査結果が発表された(→IT media)。mixiも5割以上が制限をしているらしい。確かにこれまでも仕事中に遊ばないようにという理由でネットサーフィンすることを禁止する企業などは多かったが、最近では情報漏洩やコンプライアンスなどの理由で大企業は次々と情報統制に対して強く社内を管理するようになりつつある。 はてブやスラッシュドットなど業務上有用と思われるサイトでさえ2-3割の企業は禁止していると調査結果に出ている。企業が利用するパソコンも勝手にソフトをインストールすることは禁止なところが多く、
試訳 - コードをセキュアにする10の作法 : 404 Blog Not Found
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
Macユーザー狙ったトロイの木馬が出現、初の本格攻撃か
Macでポルノビデオを見るためと称して配布されているトロイの木馬は、ユーザーを悪質なDNSサーバにリダイレクトするという。 Mac向けのセキュリティソフトを手掛けるIntegoが、Macユーザーを標的としたトロイの木馬が見つかったと発表した。Macに対する本格的な攻撃が発覚したのは初めてとみられる。 Integoによると、このトロイの木馬「OSX.RSPlug.A」は、複数のポルノサイトで、Macでポルノビデオを無料で見るために必要なビデオコーデックと称して配布されていた。 Mac関連のフォーラムには、ユーザーをこのサイトに誘導することを狙ったスパムが大量に投稿されているという。 問題のサイトにはポルノビデオの静止画が掲載されており、ユーザーがビデオを見るつもりでこの画像をクリックすると、英語で「QuickTime Playerが映画ファイルを再生できません。ここをクリックして新しいバージ
研修で教えてくれない!:第16回「Wordファイル作成者が丸見え──メタデータも削除した?」 - ITmedia Biz.ID
先方から送られてきたWordファイルの作成者欄に、送信者とは別の名前があった──同じ会社だったらまだしも別の会社の知らない人だったら気持ち悪い。メタデータ、削除してますか? 大手総合商社・メデア商事の新人・小林ケンタは顧客に提出する報告書を作成し、課長に最終確認を取っていた。 小林 終わったっ!! その声を聞いて、同じ営業第3課の先輩・高柳ワタルがやって来た。 高柳 終わったか? 小林 はい、課長からOKをもらったので、まずはこれでお客様に提出します。 高柳 これで一息つけるな。 小林 ようやく一安心です。とにかく、初めてのことなのでめちゃめちゃ苦労しましたけど、高柳さんのアドバイスのおかげで何とか仕上げることができました。ありがとうございました。 一瞬、高柳はちょっと照れくさくも嬉しそうな表情を浮かべたが、すぐに真顔に戻って言った。 高柳 ま、それはともかく、後は先方に提出する準備だな。
「メールは特定多数と」の時代
コミュニケーション・ツールとして確立された電子メール。しかし、ウイルスに感染する危険性やスパム・メールの処理の煩わしさは増える一方である。ウイルスやスパムの対策は進化しているが、ウイルスやスパムも巧妙さが増している。したがって、いたちごっこは続く。 そんななか、ひとつの解を見た。電子メールを安全かつ確実に届ける企業向けサービス「GDX トラステッドプラットフォーム」である(関連記事1、関連記事2)。インターネットイニシアティブの子会社であるGDX Japanが2007年11月に開始するサービスだ。メールを暗号化し、トラッキングや到達確認ができるのが特徴である。機能だけ見ると目新しさはない。ポイントは、メールをやりとりする相手を特定多数に限定していることである。 取引先や顧客など、あらかじめ設定した相手だけとのメールのやりとりに特化している。そのため、スパム・メールが届いたりウイルスに感染し
自社サーバがフィッシングサイトに「踏み台化」されたら?
自社サーバがフィッシングサイトに「踏み台化」されたら?:企業責任としてのフィッシング対策(1/3 ページ) 知らないうちに自社のWebサーバが不正アクセスを受け、フィッシングサイトが設置されていた――こんな事態に直面した場合、どうしたらいいだろうか? 「貴社の管理するネットワーク上にフィッシングサイトがあります。至急ご対処をお願いいたします」 「御社のサーバが踏み台化され、フィッシングサイトになっています」 ――2005年度にJPCERT/CCが受けたフィッシング踏み台サイト(不正アクセスを受け、フィッシングサイトを仕掛けられたサイト)のインシデント報告は257件(2005年4月~12月)。2004年度の74件(2004年4月~2005年3月)に比べて3倍以上に増加している。このことからも分かるとおり、自分の会社のホストがフィッシング踏み台サイトとなり、先ほどの例のようなメールが届くことは
Lhacaに未パッチの脆弱性、悪用トロイの木馬も出現
日本の研究者が圧縮・解凍ソフト「Lhaca」の脆弱性を発見。「.lzh」の圧縮ファイルでこれを悪用するトロイの木馬も見つかった。 日本で人気の圧縮・解凍ソフト「Lhaca」に未パッチの脆弱性が発覚、この問題を突いた「.lzh」圧縮形式のファイルが見つかった。米Symantecが6月25日のブログで報告している。 問題の.lzhファイルは日本の研究者から提出された。Symantecで分析したところ、Lhacaの脆弱性を突いてマルウェアを植えつけるトロイの木馬であることが分かった。 Symantecは、ゼロデイ攻撃を仕掛けるこのトロイの木馬を「Lhdropper」と命名。日本語版のWindows XPでLhaca 1.20(訳注:おそらく「Lhaca デラックス版1.20」と思われる)を使ってこれを解凍すると、システムフォルダにバックドアを仕掛けるとともに、別のLZHアーカイブを保存して後で悪
「パスワードは書きとめて」:アップル、Macユーザーにアドバイス - CNET Japan
AppleがMacユーザーに対し、忘れたときに備えてパスワードを書きとめておくよう勧めている。 Appleは同社のウェブサイトMac 101に「My Mac Cheat Sheet」(PDFファイル)という文書を掲載している。その文書には、Mac OS X関連のユーザー名やパスワードだけでなく、電子メール、ISP、ルーターなどのログインアカウントを書きとめておく欄もある。 Appleはウェブサイトで「あなたや、Macに詳しいあなたの家族や友人のMacライフが少しだけ楽になるよう、忘れやすい情報を記入して安全な場所に保管しておくためのフォームを用意しました」と説明している。 Appleはどうかしてしまったのではと思うかもしれないが、そうではない。パスワードを付箋に書いてコンピュータのモニタやキーボードに貼り付けておくのは賢明ではないが、情報を書きとめて安全な場所に保管しておくのは有益である。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
サービス終了のお知らせ
IPA セキュア・プログラミング講座