クラウド型Web脆弱性診断ツール「VAddy」今日から使えるクラウド型 Web脆弱性診断ツール Webアプリケーションの脆弱性診断を 社内で実施しませんか? VAddyならセキュリティ専門家以外の方も 脆弱性診断ができます。 1週間無料トライアルではじめる オンライン個別相談会 実施中!
不正アクセスに伴うお客様情報流出に関するお詫びとお知らせ
この度、弊社WEBサーバーへの不正アクセスにより、お客様の大切な個人情報が流出する事態が生じ、多くのお客様に多大なるご迷惑、ご心配をおかけ致しましたことを深くお詫び申し上げます。弊社では、今回の事態を厳粛に受け止め、お客様の信頼回復に社員一同、全力で取り組む所存です。今回の個人情報流出の対象となる、2007年1月1日~2008年3月22日までに新規会員登録をいただいた122,884名全てのお客様に、以下を弊社の補償とお詫びとさせて頂きたく提示し、お客様のご理解を頂きたく存じます。 ※ 実際の個人情報流出対象のお客様は、延べ人数で97,500名分となりますが、今回の不正アクセスは特殊な方法でデータを抽出されている為、実際に流出した個人の特定ができません。従いまして対象期間内に新規会員登録を頂いた全てのお客様を対象とさせていただきます。 1. この度の個人情報流出に関連して、万が一、お客様がカ
2016年8月末より発生している国内サイト・サービスの接続障害についてまとめてみた - piyolog
2016年8月22日頃から、日本の複数サイトで接続し難い、あるいは出来ないといった事象が確認されています。ここでは関連情報をまとめます。 サーバー(Webサイト)への接続等で障害発生しているサービス、サイト 各サイトのTwitter等での発表をまとめると次の通り。 障害発生元 発生原因(運営元発表抜粋) さくらインターネット DoS攻撃、あるいは攻撃と思われる 技術評論社 サーバへのDoS攻撃が検知されたことを受け,サービスが提供できない状態 スラド DDoS攻撃の影響 はてな さくらインターネットDNSサーバー障害に起因 したらば掲示板 ネットワーク障害 ふたば★ちゃんねる サーバ会社よりDoS攻撃との報告 小説家になろう 上位回線の管理会社よりDos攻撃を受けているとの連絡 OSDN DDoS 攻撃の影響 Feeder 全サーバがDDoS攻撃を受けており、サービスをご提供できない状態
Javaライブラリに脆弱性、主要ミドルウェア全てに影響
WebLogic、WebSphere、JBoss、Jenkins、OpenNMSのそれぞれについて、いずれも最新版でこの脆弱性を突いてリモートでコードを実行できるコンセプト実証コードも公開された。 WebLogicやWebSphereなどの主要ミドルウェア全てに影響を及ぼすというJavaライブラリの脆弱性情報とコンセプト実証コードが公開された。いずれの製品についても、まだパッチは公開されていないという。 この情報は、情報セキュリティの専門家でつくるFoxGlove Securityが11月6日のブログで紹介した。脆弱性はJavaの「common-collections」ライブラリに存在していて、WebLogicなどのほか、企業のカスタム版のアプリケーションにも影響を及ぼすと指摘している。 コンセプト実証コードは9カ月以上前に公開されていたにもかかわらず、これまであまり注目されることはなく、
fuzzing.html#003
このウェブページでは、「脆弱性検出の普及活動」(*1)で公開した「ファジング活用の手引き」等の「ファジング」(*2)に関する手引書などを紹介しています。これらの手引書などをご活用いただき、ソフトウェア製品の開発ライフサイクルへのファジング導入につながり、ソフトウェア製品の脆弱性が減少することを期待します。 ファジングコンテンツ一覧
Welcome to DenyHosts
165,000+ synchronization users Denyhosts now has over 165,000 users contributing synchronization data and thousands more using DenyHosts without the optional synchronization feature.. Special thanks A special thanks goes to GlobalTap. After several failed attempts at hosting the sync server w/ other providers, GlobalTap is now providing DenyHosts with a stable VPS server. What is DenyHosts? DenyHo
SQL Injection Cheat Sheet | Invicti
Use our SQL Injection Cheat Sheet to learn about the different variants of the SQL injection vulnerability. In this cheat sheet you can find detailed technical information about SQL injection attacks against MySQL, Microsoft SQL Server, Oracle and PostgreSQL SQL servers. What is an SQL injection cheat sheet? An SQL injection cheat sheet is a resource where you can find detailed technical informati
たとえ善意の脆弱性の検証であったとしても法は遵守すべきでは - co3k.org
僕は今年に入ってからたまたま発見したセキュリティ脆弱性を積極的に報告するようにしはじめました。当然、検証の際には法を遵守するよう心がけていますし、他にも、検証の過程で誤って被害を与えてしまうことがないように、たとえば SQL Injection 脆弱性の発見は避けるなどの自分ルールを決めて、素人なりに細々とやっています。 さて最近、 昨今の学校のセキュリティ事情【第一章 学校のPC(生徒使用PC)について】 - toriimiyukkiの日記 http://d.hatena.ne.jp/toriimiyukki/20110907/1315406102 というエントリを見つけまして、これをふむふむと読んでいたところ、: ふと、自分の学校のユーザーリスト(下記のコマンドで取得)を見てると「testuser」なる者があった。 net group [グループ名] で、試したところ「****」という
ほいほいとFacebookのフレンド申請に応じているとアカウントをのっとられてしまうかもしれない
Facebookのアカウントは本名が基本ですので、フレンド申請される人の名前をみていて「以前このハンドル名で会った人かな?」と、確信がないまま承認してしまうことがたまにあります。 しかしそうしたことを繰り返していると、アカウントをのっとられてしまう可能性があることが The Blog Herald の記事で紹介されていました。その方法とは以下の通りです。決して悪用してほしくないですが、簡単にできてしまいますね…。 アカウントをのっとりたい相手にむかって3名分のダミーアカウントでフレンド申請を行う 相手がそれを承認したら、相手のアカウントに対してでたらめなパスワードでログインを数回試みる メールと携帯電話番号、そして秘密の質問による認証にもでたらめに答えて すると「3人の友人にあなたが本人であることを認証してもらってください」という表示があらわれ、3人を選択できます。乗っ取りを目的としている
iptables の ipt_recent で ssh の brute force attack 対策
必要な知識 このドキュメントでは、次のことは分かっているものとして話を進めます。 iptables の使いかた TCP におけるコネクション確立の手順(SYN の立ってるパケット、って何? というくらいが分かっていればよい) 用語 試行・ログイン試行・攻撃 どれも、ログインをしようとすること( ssh -l fobar example.com 等 を実行すること)を指します。 foobar@example.com's password: とか が表示される状態まで行けたら「試行が成功した」ということにします。こ のドキュメントで説明している対策では、それ以前の段階で弾かれるように なります( ssh -l fobar example.com を実行すると ssh: connect to host example.com port 22: Connection refused 等と表示される
ポートスキャン
For your security, your web browser's "reload" function has been temporarily disabled Allowing a web browser to "reload" a page which has already been sent to you creates a "security hole" that would allow someone using your computer at any later time to attain potentially private and personal information. To safeguard your privacy we have disabled the browser's "reload" or "refresh" facility whil
iptablesでお手軽なssh総当りログイン試行攻撃対策 « SawanoBlog.
有用だと思ったのでメモ、元ネタチェインつきで。 元ネタ sshへの辞書攻撃をiptablesで防ぐ (曖昧スラッシュ) ↑ の元ネタ sshへの総当り攻撃をiptablesの2行で防ぐ方法 (blog@browncat.org) ↑ の元ネタ Block brute force attacks with iptables (Kevin van Zonneveld) sshに対する攻撃といえば、ブルートフォースや辞書によるログインの試行が代表的、secureログが汚れるわ最悪ログインされるわと大迷惑(事故?)だ。 そもそも不要な接続は許可しないべきなんだけど、接続元のIPアドレスを限定するという事がしづらい場合もある。 2行の iptables コマンドでSSH攻撃対策をしよう ※テストに使ったOS,バージョン → CentOS5.2+iptables v1.3.5
dfltweb1.onamae.com – このドメインはお名前.comで取得されています。
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。
飛騨市の図書館システムに係る個人情報の流出等の経過と対応について
飛騨市図書館システムは、平成21年の当館の新築開館にあたり、三菱電機インフォメーションシステムズ株式会社の図書館システムを平成20年12月に新規導入した。 当館のシステム保守点検を委託している、三菱電機インフォメーションシステムズ株式会社が、開館後の21年7月に保守点検作業完了後、保守環境のバックアップとして、当館のシステム環境を自社のパソコンにコピーして社へ持ち帰ったが、コピーには飛騨市の利用者情報が混入したままであった。 その後、22年2月中旬頃、コピーした飛騨市の利用者情報が混入した図書館システムをもとに三菱電機インフォメーションシステムズ社が、A図書館のシステムを設計して納入したため、A図書館のシステム内に当館の利用者情報が混入し現在に至った。
生パスワードを平文メールで送ってくる企業 | スラド セキュリティ
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
IIS 7.5 详细错误 - 404.0 - Not Found
错误摘要 HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。
ヤマト運輸の対応が素晴らしかった
クロネコヤマトモバイルサイトで情報流出があり読売新聞で取り上げたられた件に関し、早速ヤマト運輸で対応が取られ、発表がありました。 携帯版「クロネコメンバーズのWebサービス」クイックログイン機能の脆弱性への対応について|ヤマト運輸 この対応の素晴らしさは、タイトルでわかります。「脆弱性への対応」と書かれていて、ヤマト運輸のシステム側に不具合があったことを自ら認めて発表しています。 自らのミスを被害者に見せかける「プロの脆弱性対策」を使うのであれば、ここは「スマートフォンのアプリを利用したなりすましによる不正ログインについて」などと発表してもおかしくありません。 今回の件は読売新聞でも「iPhoneで人の情報丸見え…閲覧ソフト原因」と報道されているわけで、閲覧ソフトに責任転嫁するのは簡単な状況でした。それでもヤマト運輸は自らシステムの「脆弱性」だと認め、どういう状況で発生したのかまで発表しま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「被害を隠すな」サウンドハウス社長が不正アクセス体験語る
ModSecurity (mod_security) - Open Source Web Application Firewall
サーバ管理者日誌 2010年09月25日