My iPhone 11 is perfectly fine, but the new buttons on the iPhone 16 are compelling
脆弱性に関するhumirokuのブックマーク (10)
-
humiroku 2011/11/09
-
これだけはアンインストールしとけってソフト : あじゃじゃしたー
1:名無しさん@涙目です。(dion軍):2011/08/08(月) 22:36:26.84 ID:pkn2Pryt0 Apple、QuickTimeの脆弱性に対処 LeopardとWindowsに深刻な影響 「QuickTime 7.7」ではMac OS X v10.5.8(Leopard)とWindowsに影響を及ぼす深刻な脆弱性に対処した。 2011年08月05日 07時57分 更新 米Appleは8月3日、動画再生ソフトの更新版となる「QuickTime 7.7」をリリースし、 Mac OS X v10.5.8(Leopard)とWindowsに影響を及ぼす深刻な脆弱性に対処した。 Appleのセキュリティ情報によると、QuickTime 7.7では合計14件の脆弱性に対処した。 その大半が、任意のコードを実行される恐れのある深刻な脆弱性となっており、 攻撃者が細工を施した画像
-
あなたのWebアプリケーションは安全か。Google製のセキュリティチェッカー·Skipfish MOONGIFT
SkipfishはSQLインジェクションをはじめWeb向けの脆弱性を発見するソフトウェア。 SkipfishはGoogle製のオープンソース・ソフトウェア。2011年になってセキュリティインシデント関係の話題が飛び交っている。特に大きいのはソニーだろう。あそこまでの規模は相当珍しいが、何も対岸の火事という訳ではない。 オプション セキュリティホールを狙うのは人間に限らない。日々クローラーがWebサイトにアクセスしてセキュリティホールを狙っているのだ。狙われる前にSkipfishを使って自主的にチェックしてみよう。 SkipfishはGoogleが開発したセキュリティチェックソフトウェアだ。ターミナルで動作するソフトウェアで、指定したURLに対してSQLインジェクションやXSSなどWebアプリケーションが狙われやすい脆弱性をついてくる。結果はHTMLベースのレポートとして出力される。 結果は
-
Twitterの脆弱性3連発 - ma<s>atokinugawa's blog
最近僕が発見し、修正されたTwitterの脆弱性を3つ紹介します。 1.旧Twitterの文字列処理に絡んだXSS 去年の夏くらいに、Twitter Web上で € 〜 ÿ の文字参照が含まれるツイートをXMLHttpRequestで読み込んだ際に表示が乱れるという問題に気付き*1、その時はこれは脆弱性には繋がらないだろうという判断をしたのだけど、今年の4月になって改めて調べたところ貫通しました。 表示が乱れるというのは、€ 〜 ÿ の文字参照が含まれるツイートがあると、一部の文字が\XXXXの形式に化けたり、ツイート周辺の「"」が「\"」になったりするものだったのですが、今回は「"」が「\"」になる点が脆弱性を発生させていました。 この条件でXSSさせようと思ったら、ツイートを細工してURLや@や#などオートリンクが作成される部分にうまいことイベン
-
狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性”
狙われる「情報家電」、コーヒーメーカーにも“危険な脆弱性” 「組み込みシステムは格好の標的」、IPAがシンポジウム開催 「組み込みシステムは、攻撃者にとって格好のターゲット。情報家電(ネットワーク接続機能を持つ家電)も例外ではない」。情報処理推進機構(IPA)研究員の鵜飼裕司氏は2011年2月24日、IPAが開催したシンポジウムにおいて、情報家電のセキュリティについて解説した。 2010年から、政府では2月を「情報セキュリティ月間」と定め、情報セキュリティに関する普及啓発活動を、官民連携で集中的に実施している。その活動の一環としてIPAでは、「情報家電」「自動車」「中小企業におけるクラウド」「重要インフラ」の4分野におけるセキュリティ動向を解説するシンポジウムを、2月24日と25日の2日にわたって開催している。 鵜飼氏は情報家電のセキュリティに関するシンポジウムに登壇。情報家電を含めた組み
-
-
暗号を鍵無しで解読するパディングオラクル攻撃 | スラド セキュリティ
暗号を鍵を知らない状態で解読できるようになるというパディングオラクル攻撃が可能な脆弱性がASP.NET、Ruby on Rails、JSFなどのフレームワークで見つかっているとのこと(InfoQの記事、WatchGuardの記事)。検証ツールのPOET (Padding Oracle Exploitation Tool)も公開されている。 パディングオラクル攻撃はブロック暗号の解読エラーを利用するものである。適当な文字列を暗号文として送りつけ、パディングが不正な場合に起きる特殊なエラーもしくは処理されないという事実を利用して、その文字列が暗号文として適切かどうかを調べる。それを繰り返すことで、暗号化されたデータを鍵無しで解読できるようになるらしい。 ASP.NETではセッションクッキーの暗号化にこの脆弱性があったために、数百万のウェブアプリケーションに問題があったとのこと(threatpo
-
CSRF脆弱性対策 - monjudoh’s diary
CSRF対策のtokenはセッションIDで良い セキュリティ的にワンタイムトークン>セッションIDではない。 という話が、この辺の記事に書かれています。 高木浩光@自宅の日記 - クロスサイトリクエストフォージェリ(CSRF)の正しい対策方法 高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由, hiddenパラメタは漏れやすいのか? 肝はこういう事のようです tokenは外部のサイトから知り難い(実質知り得ない)ものでないといけない セッションIDはcookieに格納される document.cookieは自ドメインのものと親ドメインのものしか見れない→外部サイトで動かすJavaScriptからは参照できない セッションIDは『暗号学的に安全な擬似乱数生成系で生成されているはず』(引用) 推測も事実上できない 補足すると、セッションIDを使用したCSRF対
-
文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2010年9月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPカンファレンス2010にて「文字コードに起因する脆弱性とその対策」というタイトルで喋らせていただきました。プレゼンテーション資料をPDF形式とslideshare.netで公開しています。 文字コードのセキュリティというと、ややこしいイメージが強くて、スピーカーの前夜祭でも「聴衆の半分は置いてきぼりになるかもね」みたいな話をしていたのですが、意外にも「分かりやすかった」等の好意的な反応をtwitter等でいただき、驚くと共に喜んでいます。土曜にPHPカンファレンスに来られるような方は意識が高いというの
-
ログインしてください:日経クロステック(xTECH)
会員限定サービスです 月額プランが10月末まで無料 お申し込み 会員の方はこちら ログイン 日経クロステック TOPページ
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2024 Hatena. All Rights Reserved.
設定を変更しました