※[同時投稿:セッションハイジャックツールFiresheepと対抗アドオンBlacksheepを検証してみた | Security.GS Magazine ページ上部の広告が消えるまではこっちのほうが見やすいかも] 半月~ひと月ほど前でしょうか、FiresheepというHTTPセッションハイジャックを行うFirefoxアドオンが話題になりました。 同じような攻撃は以前から可能でしたが、ブラウザのアドオンとして手軽に行えるツールは初めてではないでしょうか。 作者のEric Butler氏は、人々にセッションハイジャックのリスクを理解させるために”One-click session hijacking”ツールを公開したと述べています。 http://codebutler.github.com/firesheep/tc12/ ということでFiresheepの検証、それに対抗するアドオンとして公開
secirutyに関するtsukkeeのブックマーク (10)
-
tsukkee 2010/12/04
-
ぼくがPDOを採用しなかったわけ(Shift_JISによるSQLインジェクション)
補足 この記事は旧徳丸浩の日記からの転載です。元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2。 備忘のため転載いたしますが、この記事は2010年7月1日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり PHPのデータベース・アクセス・ライブラリPDOは、DB接続時の文字エンコーディング指定ができないため、文字エンコーディングの選択によっては、プレースホルダを使っていてもSQLインジェクション脆弱性が発生します。 追記(2011/06/19) ここに来て急にブクマが追加されはじめていますが、このエントリを書いてから状況が改善しています。PHP5.3.6(2011/03/17)にて、PDOでもデータベース接続の文字エンコーディングを指定できるようになりました。この版で、UNIX版のPHPでは解決しましたが、Win
-
文字コードに起因する脆弱性とその対策(増補版)
2. Copyright © 2010 HASH Consulting Corp. 2 本日お話しする内容 • 文字コード超入門 • 文字コードの扱いに起因する脆弱性デモ6+1連発 • 文字コードの扱いに関する原則 • 現実的な設計・開発指針 • まとめ 3. 前提とする内容 • 文字コードに起因する脆弱性とは – 正しいセキュリティ対策をしているかに見えるコードにおいて、 文字コードの取り扱いが原因で生じる脆弱性 • 以下の脆弱性に関する一般的な知識は既知のものとします – SQLインジェクション脆弱性 – クロスサイト・スクリプティング(XSS)脆弱性 – パストラバーサル脆弱性 Copyright © 2010 HASH Consulting Corp. 3 4. Copyright © 2010 HASH Consulting Corp. 4 徳丸浩の自己紹介 • 経歴 – 198
-
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
-
yebo blog: Mac OS Xのスパイウェアを発見
2010/06/02 Mac OS Xのスパイウェアを発見 Mac向けセキュリティソフトを開発・販売するIntegoが無料で配布されているMac向けアプリケーション (MishInc FLV To Mp3) や多数のスクリーンセーバ (全て7art-screensaversによって作成) にスパイウェアがインストールされていることを発見したと発表した。スパイウェアはOSX/OpinionSpyと名付けられ、ファイルをスキャンしたりユーザの行動を記録し、リモートサーバにその情報を送るだけでなく、バックドアをオープンするようだ (Windows向けには2008年からあり、OS X向けに移植されたものか)。言われている機能が下記のようなものなら危険性はかなり高い。残念ながら、検出・保護手段がIntego VirusBarrier X5、X6を買えではちょっと・・・ね。これらのアプリケーションやス
-
PHPで誰でも簡単Webサービス製作!でなんか作って公開した奴ちょっと来い - 甘味志向@はてな
タイトルは出来れば関連する方に読んで欲しかったので、軽く釣り針にしました。すみません。:*) 最近はやりのヒウィッヒヒー(Twitter)でも、よく「○○ったー」みたいなサービスがばんばん登場してますね! おかげでますますツイッターが面白い感じになってて、いい流れですね! でも・・・ちょっと気になることが・・・ 最近「もうプログラマには頼らない!簡単プログラミング!」だとか・・・ 「PHPで誰でも簡単Webサービス作成!」だとか・・・ はてなブックマークのホッテントリで見かけますよね・・・ プログラミングする人が増えるのは素敵です!レッツ・プログラミングなう! なんですけど・・・ ちゃんとセキュリティのこと考えてますか・・・!? 『セキュリティ対策とか難しいし面倒くせーし、俺の適当に作ったサービスとかどうなってもイイしww』 いいんですいいんです! 別にそう思ってるならどうでもいいんです!
-
高木浩光@自宅の日記 - Bluetoothフィッシングに注意 特にシャープ製ソフトバンクモバイル端末
Windows Vistaでも同様に注意深く設計されており、デフォルト設定でファイルを閲覧されることはないようだ。 これらに比べると「816SH」の設計はあまりにも不用心だ。初期設定のまま、ただBluetoothをオンにしただけで、この危険にさらされる。 図1や図2の画面をよくみると、「Bluetooth」「ペアリング」というタイトルが出ているので、「そこで気付け」という言い分があるかもしれない。たしかに、一度でもBluetoothで機器登録設定をやったことのある人なら、これらが何を意味するのか察知できるかもしれない。 だがどうだろう? 昨日の日記に書いたように、シャープ製他のソフトバンクモバイル端末を使っている人の多くが、Bluetoothを使っていないのに、Bluetoothが何かさえわからないまま、Bluetoothをオンにしてしまっている。ペアリングの経験もない人々だろう。そういう
-
SQLインジェクションについて
SQLインジェクションについて ネタ元:$_GETを安易に受け入れちゃダメ! 前に書いたエントリー(re:キケンなSQLインジェクション)が誤解を与えてしまったようですので、もう少し補足しておきます。 まず、結論から書くと、 mysql_queryの場合はチェックが要らないって言ってるわけではないです。 そして、 mysql_real_escape_stringを過信してはいけません 様々なSQLインジェクション 複合クエリ $sql="select * from geekDB where id = " . $_GET['id']; $result = pg_query($sql); これは$_GET['id']の値が以下のような場合問題が発生します。 '';DELETE FROM geekDB; テーブルを丸ごと消すことが可能です。 前回のエントリー(re:キケンなSQLインジェクション
-
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
-
高木浩光@自宅の日記 - 続・出鱈目なURLで運営されているケータイWebの実態
■ 続・出鱈目なURLで運営されているケータイWebの実態 2日の日記「 出鱈目なURLで運営されているケータイWebの実態 」では、「dwango.jp」のサイトが「b.nu」というドメイン上にあることを示したが、他にも、以下のようなケースもあった。 Yahoo!ケータイのトップ画面から、検索機能で「日本航空」を検索し、トップに出てきた「日本航空」のサイトを訪れて、URLを確認してみたところ、図1のとおり、数値形式のIPアドレスが現れた。 これはひどい。 「172.22.101.1」とプライベートアドレスが使用されているので、セキュリティ上の目的もあってか、おそらくソフトバンクモバイルのセンター内か、VPNで接続されたどこかにサーバが設置されているのであろう。 しかし、こんな形式では、ユーザに本物サイトであることの説明がつかないし、SSLサーバ証明書の取得とかもできないんではないだろうか
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました