Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

タグ

securityに関するatsushi1972のブックマーク (2)

  • 見落としがちな整数関連の脆弱性(前編)

    整数の脆弱性 2013 いまをさかのぼること6年前の2007年。情報セキュリティ関連のリサーチを行う米国の非営利団体、MITREが、ソフトウェアの脆弱性のトレンドに関する調査レポートを公表しました。調査は2006年の1年間に発見された脆弱性を対象に行われ、レポートには、その年の脆弱性の傾向とその分析結果がまとめられています。 さて、このレポートの概要には、整数オーバーフローについて書かれた次のような一節が見つかります。 整数オーバーフローは、過去数年の間、かろうじてトップ10入りする程度の脆弱性にすぎなかったが、(今回の調査では)OSベンダのセキュリティアドバイザリにおいて、バッファオーバーフローに次いで2番目に多い脆弱性であることが分かった。これは(OSのような)注目を集めるソフトウェアに研究者の興味が向かっていることを示唆しているのではないか この状況は、レポートの公表から6年が経過し

    見落としがちな整数関連の脆弱性(前編)
    atsushi1972
    atsushi1972 2013/05/19
    unsignedとかバッファーオーバフローとか基本ですが、忘れがちだったり。
  • あなたのWebアプリケーションは安全か。Google製のセキュリティチェッカー·Skipfish MOONGIFT

    SkipfishはSQLインジェクションをはじめWeb向けの脆弱性を発見するソフトウェア。 SkipfishはGoogle製のオープンソース・ソフトウェア。2011年になってセキュリティインシデント関係の話題が飛び交っている。特に大きいのはソニーだろう。あそこまでの規模は相当珍しいが、何も対岸の火事という訳ではない。 オプション セキュリティホールを狙うのは人間に限らない。日々クローラーがWebサイトにアクセスしてセキュリティホールを狙っているのだ。狙われる前にSkipfishを使って自主的にチェックしてみよう。 SkipfishはGoogleが開発したセキュリティチェックソフトウェアだ。ターミナルで動作するソフトウェアで、指定したURLに対してSQLインジェクションやXSSなどWebアプリケーションが狙われやすい脆弱性をついてくる。結果はHTMLベースのレポートとして出力される。 結果は

    atsushi1972
    atsushi1972 2013/04/01
    SkipfishはGoogleが開発したセキュリティチェックソフトウェアだ。
  • 1