文:Tom Espiner(Special to CNET News) 翻訳校正:矢倉美登里、高森郁哉2009年05月20日 13時31分 ロンドン大学ロイヤルホロウェイ校の研究チームが、広く使用されている暗号化プロトコルOpenSSHに内在する脆弱性を明らかにした。 ロイヤルホロウェイ校Information Security Group(ISG)の研究チームによると、「Debian GNU/Linux」に含まれるOpenSSHのバージョン4.7に存在するこの脆弱性を突けば、32ビットの暗号化されたテキストを平文に変換することが可能になるという。 攻撃者が成功する確率は26万2144分の1だ。ISGを率いる教授のKenny Patterson氏は、CNET Newsの姉妹サイトであるZDNet UKに現地時間5月18日、今回の脆弱性はこれまでに発見されたOpenSSHの脆弱性よりも重大だ
DOC_ROOT="http://example.com/foo/" (cd tmp && wget -r $DOC_ROOT) mv `echo -n $i | perl -pe 's|^http:/|tmp|'`/* docMakefile.am の中で上みたいなコードを書いてたんだけど、$i なんて変数は存在しない ($DOC_ROOT の間違い) ので、 mv /* docに展開されて、しかもルートの主要ディレクトリは g+w されてるので実行可能... Mac OS X て管理者権限があれば su しなくてもシステムを破壊できるんですねorz それでも一縷の希望を抱きつつファインダから可視のファイルは / にリストアして、ついで生き残っていたターミナルで doc/bin/mv doc/bin /binとやった瞬間に OS がクラッシュ。二度と起動しなくなりました。 ううむ。とりあ
2008年01月05日02:45 カテゴリ翻訳/紹介Code 試訳 - コードをセキュアにする10の作法 全コーダー必読。プログラマーだけではなく法を作る人も全員。 Top 10 Secure Coding Practices - CERT Secure Coding Standards 突っ込み希望なので、いつもの「惰訳」ではなく「試訳」としました。 Enjoy -- with Care! Dan the Coder to Err -- and Fix コードをセキュアにする10の作法 (Top 10 Secure Coding Practices) 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部データは疑って掛かりましょう。これらにはコマンドライン引数、
情報処理機構セキュリティセンターは4月,メール・サーバーの認証プロトコルの一つ「APOP」について注意を喚起した。この注意喚起は,電気通信大学の太田和夫教授のグループが,APOPで使うハッシュ関数「MD5」に新たな欠陥を発見したことに基づくもの。この欠陥は,APOPだけでなく,MD5を使う電子署名などのほかのアプリケーションの欠陥も示唆する。実際にどの程度危険なものか,技術に基づいて考えてみよう。 わからないはずのパスワードが解かれる APOPは,チャレンジ・レスポンスという方式を使って,メール・クライアントとメール・サーバーのやりとりを盗聴してもパスワードが解読できないようにする。パスワードを直接やりとりせずに,まずサーバーからクライアントに「チャレンジ・コード」という文字列を送る。クライアントはチャレンジ・コードとパスワードを連結したうえで,MD5というハッシュ関数を使ってハッシュ値を
セキュアなLinux環境への近道――Damn Vulnerable Linuxの無防備さを極めろ!:Linux Hacks Damn Vulnerable Linuxには、セキュアなLinuxディストリビューションであれば備えていては“いけない”あらゆる要素が取りそろえられている。セキュリティホールの原因となる穴だらけの旧式ソフトウェアを意図的に寄せ集めたこのディストリビューションの意義を考える。 Damn Vulnerable Linux(DVL)には、セキュアなLinuxディストリビューションであれば備えていては“いけない”あらゆる要素が取りそろえられている。DVLの開発陣は、セキュリティホールの原因となる穴だらけの旧式ソフトウェアを意図的に寄せ集めることで、外部からの攻撃に対して無防備極まるLinuxディストリビューションをわざわざ生み出したのだ。最もこのディストリビューション、一般
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発 実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。 端末認証 登録が必要なサイトの場合,利用する際にはログインが必要です.ID/パスワードを毎回入力するのでは,携帯の場合では特に面倒です. そこで携帯ならではの認証方法として,現在の端末では取得が容易にできる端末自体の情報(端末ID)を利用します. (略) セッション PCサイトでセッションを使う場合は,通常セッションIDをCookieに保存しますが,携帯ブラウザではCookieにデータを保存することができません.そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります. セッションIDをGETで渡す セッションIDをGETで渡す場合は,PHPの設定ファ
JVN#84430861 Sage において任意のスクリプトが実行される脆弱性(2007.02) JVN#93700808 Sleipnir の RSSバーにおけるセキュリティゾーンの扱いに関する脆弱性 (2007.01) JVN#95249468 フレッシュリーダーにおける RSS フィード クロスサイトスクリプティングの脆弱性(2007.01) XML 形式で提供される、Webコンテンツの更新情報。 ← このようなアイコン見たことあるよね。 例: セキュリティホール memo の RSS Feed <?xml version="1.0" encoding="UTF-8"?> <rdf:RDF xmlns:rdf="http://www.w3.org/1999/02/22-rdf-syntax-ns#" xmlns="http://purl.org/rss/1.0/
The PHP coder's top 10 mistakes and problems @ SourceRally.net PHP Community 「PHPプログラマがおかしがちなミスTOP10」、という記事があったので紹介。 PHP初心者だとこういうミスがよくありますね。ということで今年からPHPをはじめようと思っている人には気をつけてほしいリストです。 生でクエリを出力しない echo $_GET['username']; ↓ echo htmlspecialchars($_GET['username'], ENT_QUOTES); やらないとクロスサイトスクリプティングされます。 SQLクエリに$_GET,$_POST,$_REQUESTの値を直接含めない $sql = "select * from table where id=".$_GET["id"]; ↓ $sql =
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
Network and information security in Europe today Browser security: bolt it on, then build it in Passive network security analysis with NetworkMiner Lynis - an introduction to UNIX system auditing Windows driver vulnerabilities: the METHOD_NEITHER odyssey Removing software armoring from executables Insecurities in privacy protection software Compliance does not equal security but it's a good start
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
これまでに見られたものよりはるかに深刻なダメージを組織のシステムに与える、新しいタイプのサービス拒否(DoS)攻撃が出現したと、VeriSignのセキュリティ責任者が警鐘を鳴らした。 VeriSignの最高セキュリティ責任者(Chief Security Officer:CSO)であるKen Silva氏は、2005年12月に初めて確認された新種のDoS攻撃は、2006年1月に最もまん延し、4週間前に勢いが収まったと話している。2カ月以内で1500件の個別のIPアドレスが、この手法による影響を受けたという。 「これらの攻撃は、われわれがかつて見たことがないほど大きなものだった」(Silva氏) より一般的なDoS攻撃は、リモート攻撃者に乗っ取られた感染PCであるボットのネットワークが、標的となるユーザーのウェブサーバやネームサーバ、メールサーバなどに大量のクエリを送信するという方法で行われ
■ WinnyのDownフォルダをインターネットゾーンにする いくつかの国々では、貧困層に薬物乱用が蔓延し、注射器の回し打ちで悪性の感染症が広がっているとき、無料で注射セットを配布するのが正義なのだという。 ニートにWinny乱用が蔓延し、Downフォルダのダブルクリックで悪性のトロイの被害が広がっているとき、私達にできることといえば、せめて安全なファイルの開き方だけは伝えていくことではないだろうか。どうしてもWinnyを使いたいならDownフォルダをインターネットゾーンにして使え、と。 Vector Softライブラリに、「ZoneFolder.VBS」というVBスクリプトのパッケージがある。 この中にある「インターネットフォルダ.VBS」を実行すると、作成するフォルダ名を入力するよう求められるので、できるだけランダムな名前を入力する。
Mac OS Xのハッキングコンテストで優勝したある人物によると、Macのroot権限を取得するのは「とても簡単」なことだという。この人物は、公表されていないセキュリティ脆弱性を突いてマシンのroot権限を取得したとしている。 2月22日、スウェーデン在住のMacファンが、サーバとしてセットアップした自分のMac miniのセキュリティを破ってroot権限を手に入れる、というコンテストを行った。root権限があれば、そのコンピュータを完全に掌握し、ファイルやフォルダを削除したり、アプリケーションをインストールできる。 「rm-my-mac」と名付けられたこのコンテストは、開始から数時間で終了してしまった。挑戦者がこのサイトに次のようなメッセージを表示させたのだ。「つまらなかった。この哀れなMacは6時間で乗っ取られた。このページが書き換えられているのはそのせいだ」 「Gwerdna」とだけ
「mixi」上で、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手にアップされてしまうという現象が多発した。その原因はCSRFの脆弱性だ。 4月19日以降、ソーシャル・ネットワーキングサイトの「mixi」で、URLをクリックすると勝手に「ぼくはまちちゃん!」というタイトルで日記がアップされてしまうという現象が多発した。 サービスを提供しているイー・マーキュリーでは、この現象について一応の対処は取った模様だ。ただ、技術的な詳細については「ハッキングでもなく、サーバ攻撃やウイルスでもない。ID盗難などの被害は発生していない」という回答のみで、「それ以上はコメントできない」と述べるにとどまっている。 だがある意味、このコメントは正しい。「はまちちゃん」現象は、ウイルスなどの仕業ではないからだ。 正規ユーザーの操作で「意図しない」結果に URLをクリックすると勝手に日記が書き込まれ
CRNによれば、SkypeやVonageなどのVoIPツールではDoS攻撃のトラフィックが覆い隠され、攻撃元をたどることはほぼ不可能になってしまうという。 SkypeなどのVoIPアプリケーションにセキュリティ上の抜け穴が存在し、サービス妨害(DoS)攻撃を仕掛ける格好の土台になってしまう恐れがあるとして、通信業界の専門家や学者でつくるCommunications Research Network(CRN)が警鐘を鳴らしている。 CRNの1月26日の発表によると、SkypeやVonageなどのVoIPツールでは、IPパケットを介して継続的にメディアを実行するため、DoS攻撃のトラフィックが覆い隠されてしまう恐れがある。音声ネットワーク経由でアプリケーションを制御され、攻撃元をたどることはほぼ不可能になってしまうという。 さらに、自社の技術を守り、ISPにVoIPアプリケーションを遮断される
■ 続・「サニタイズ言うなキャンペーン」とは 「サニタイズ」という言葉はもう死んでいる サニタイズ言うなキャンペーンがわかりにくい理由, 水無月ばけらのえび日記, 2006年1月5日 というコメントを頂いた。まず、 これは「サニタイズという言葉を使うな」という主張ではありません。「そもそもサニタイズしなくて済むようにすべきだ」という主張です。言い方を変えると、「サニタイズせよと言うな」という主張になります。 「サニタイズ言うなキャンペーンがわかりにくい理由」, 水無月ばけらのえび日記, 2006年1月5日 とある。「サニタイズせよと言うな」キャンペーンでもよいのだが、 その場合は次の展開が予想される。 「サニタイズせよと言うな」を主張する際の具体例として、XSSやSQLインジェ クションのケースを挙げた場合、正しいコーディングは、「その場の文脈でメ タ文字となる文字をエスケープすること」と
■ プログラミング解説書籍の脆弱性をどうするか 印刷されて流通する書籍に脆弱性がある、つまり掲載されているサンプルコードにズバリ脆弱性があるとか、脆弱性を産みやすいコーディングスタイルを身につけさせている解説があり、それが脆弱なプログラマを生産し続ける根源になっている問題は、「なんとかしないといけないねえ」と以前から言われてきた。 ソフトウェア製品の脆弱性は、指摘があればパッチが提供されたり修正版に差し替えられたりするが、書籍の脆弱性はどうか。正誤表が差し込まれるとか、回収する措置がとられるかというと、それは望めそうにない。言論には言論で対抗すればよいということになるだろうか。 久しぶりにいくつかの書籍について調べてみた。先月園田さんの日記などで比較的評判良く紹介されていた2冊を読んだ。 山本勇, PHP実践のツボ セキュアプログラミング編, 九天社, 2004年6月 GIJOE, PHP
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
