高木浩光@自宅の日記 - ユビキタス社会の歩き方(3) 無線LANのSSIDを不用意に明かさない
■ デイリーポータルZ 記者の家を探しに行く 5月27日の日記「PlaceEngineのプライバシー懸念を考える」では次のように書いた。 つまり、家庭の無線LANアクセスポイントのMACアドレスを誰かに知られることは、住所を知られることに等しい。そのような事態をPlaceEngineサービス(および類似のサービス)が新たに作り出したことになる。 「MACアドレスは個人を特定するものではない」と言えるだろうか?もし、別のネットサービスで、何らかの目的で家庭の無線LANのMACアドレスを登録して使うサービスが始まったとする。そのサービスもまた、「MACアドレスから個人が特定されることはありません」と主張するだろう。このとき、PlaceEngineとこのサービスの両者が存在することによって、わからないはずの住所が特定されてしまう事態が起きてくる。 PlaceEngineなどのサービスが存在する現
脆弱性検証用画像を作成 (Kanasansoft Web Lab.)
この画像は、Microsoft Internet Explorerの画像ファイルに対する脆弱性を、検証するためのものです。 ユーザが画像を投稿でき、投稿された画像をブラウザ上で表示するようなWebアプリケーションの場合、この脆弱性が発生する可能性があります。 実際に投稿を行い、検証してみて下さい。自分の管理下ではないサイトで行った場合、不正アクセス等の犯罪行為に問われる可能性がありますので取り扱いにはご注意下さい。 「XSS:Cross Site Scripting」とalertが表示、「Phishing」と画面に表示、別ウィンドウ(または別タブ)が開き「Session Hijacking」がGoogleにて検索等の動作が確認された場合、そのWebアプリケーションはセキュリティ上の問題があります。 Cross Site Scriptingをはじめ、Session Hijacking等、Ja
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
XSS - 表示系パラメータに存在する盲点 :: ぼくはまちちゃん!
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
「自分だけは大丈夫」,セキュリティ対策を妨げる「正常化の偏見」
現在では,専門誌やITニュース・サイトに限らず,一般誌/紙や通常のニュース・サイトなどでも,コンピュータ・セキュリティの重要性を解説することが増えている。それにもかかわらず,一般ユーザーの多くは,セキュリティに対して無関心のように思える。 その理由としてよく聞かれるものの一つが,コンピュータ・ウイルスなどの被害に遭ったとしても,身体に危害が及ぶことはないからということ。あるベンダーの方は,セキュリティ対策を一切施さないユーザーから,「本物のウイルスとは異なり,コンピュータ・ウイルスに感染しても寝込むことはない。何かあったらOSを再インストールすれば済むこと」と言われて,言葉に詰まったという。 筆者も,「被害に遭ったとしても致命的なことにはならない」と思っていることが,一般ユーザーの多くがセキュリティ対策に無関心であることの大きな理由の一つだと考えていた。しかし,最近ある講演を聞いて,たとえ
USBメモリを用いたソーシャル・エンジニアリング
ソーシャルエンジニアリングの第一歩は、「組織内の人に化けること」にある。イーサン・ハントみたく化けの皮を被る必要もない。もっと重要なのは、機密ではないが、組織内の人しか知りえないような情報を知っていること。例えば座席表やビルドサーバの名前だとか。 ひとたび組織内の人に化ける情報を得たならば、攻略はぐっと楽になる。「欺術」を参考に潜入を進めることができる(ホントにやっちゃダメよ)。ここでは、USBフラッシュメモリを使って最初のハードルを効率的に超える方法を考えてみよう。 オフィスの受付窓口の片隅や、社員食堂(外の人も入れる)の廊下でUSBメモリを拾ったら、どうするよ? USBメモリなんてありふれているし、最近じゃオサレな奴やカワイイ系まで出回っているぐらいだ。誰かが落としたんだろうな… で、何が入っているのだろうか? で、自分のPCに挿してみる…が、すぐに覗けない。それぐらい知ってるって、し
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Yahoo!オークション護身術 - Yahoo!オークション