Railsエンジニアのためのウェブセキュリティ入門「のどが渇いた」というユーザーに何を出す? ユーザーの「欲しい」に惑わされない、本当のインサイトを見つけるUXデザイン・UXリサーチ
Android のセキュリティよくなってきた話
potatotips 42 で話した際の資料です 動画1: https://youtu.be/UHE31IQUHHc 動画2: https://youtu.be/b9qb5PqJotc
GMO社が被害を受けたStruts 2(CVE-2017-5638)問題で我々は何を学ぶべきか? - Qiita
GMOペイメントゲートウェイ社(以下GMOPG)という、クレジット決済代行を取り扱う、 国内最大手の会社がクレジットカード番号を流出させたとして、 3/10以降大きく報道されました。 この事故から、我々エンジニアが学ぶべき事は何でしょうか? 発生した事象について CVE-2017-5638とはなにか ファイルアップロードにおけるマルチーパートヘッダーの解釈部分に脆弱性があり、 リモートコード実行(RCE)が可能な状態であったらしい 本投稿の趣旨から外れるので、詳しくは調べていません。 経緯・経過 3/6 脆弱性情報が公開されたらしい (Cf. Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について ) 3/8 IPAが情報を掲載 (Cf. Apache Struts2 の脆弱性対策について(CVE-2017-5638)(S2-045)
ドキッ★脆弱性 onCreate() から onDestroy() まで
■対象者 初心者〜上級者。 Androidアプリで実際に公開された脆弱性について興味のある方。 脆弱性はバグです。バグは必ず産まれるものです。例えセキュアコーディングガイドを隅から隅まで暗証してたとて、予期せず脆弱な実装は世にでるでしょう。本発表ではJVN49343562とJVN61297210が付与されたAndroidアプリ「マネーフォワード」の「WebView クラスに関する脆弱性」「任意の操作が実⾏可能な脆弱性」について、下記のアジェンダ(仮)でご紹介いたします。 - 脆弱性対応タイムライン - 脆弱な実装の紹介 - 脆弱な実装の修正 - 脆弱な実装の背景 - 俺たちはどう脆弱性に向き合っていくのか こういたノットベスト・プラクティスを共有することで、世の中のアプリの品質がより高くなることを願っています。又、一歩踏み込んでこういったバグをも知見としてオープンに共有できる文化作りに一端
Androidアプリのクラッキング対策 - Qiita
はじめましてComicCafeAppです。初めてQiitaに投稿します。 趣味でAndroidアプリを開発していて、現在リリースしているアプリはComicCafe、CalcNote、CalcNoteProの3つです。この内、CalcNoteProが有料アプリで360円で販売しています。去年の11月にv1.0.0をリリースしてからアップデートを繰り返して徐々にユーザー数が増えてきた矢先、CalcNoteProがクラックされるという不幸に見舞われました。いろいろ対策を考えた結果、DexProtectorというツールを使って対策をしました。対策したバージョンをリリースしてからまだ数日ですが、幸い今のところクラックされていないようです。情報共有の為にDexProtectorの使い方をメモしておくことにします。 クラックされるとどうなるか アプリがクラックされるとライセンスチェックの仕組みや署名のチ
Dockerでホストを乗っ取られた - Qiita
注意 本件記事ですが、私の不適切な行動(拾ったスクリプトを検証なく走らせる)が原因です。「dockerは(特に何もしなくとも)危険」との誤解を皆様に与えた点、ご迷惑をおかけいたしました。申し訳ございません。 拡散されている記事を削除するのはさらなる誤解を招きかねないと思いましたので、冒頭に注意を付記しております。以下の記事は、「自分が何してるかをきちんと検証できないとセキュリティホールを生み出す」という意味で参考にして頂ければ幸いです。 追記 Twitterやはてブで言及いただきました皆様、ありがとうございます。 本件はpullしてきたイメージが悪意ある開発者によるものかどうかにかぎらず、不適切な設定をしていると起こり得ます。 ※コメント欄に質問への回答という形で、私がそのときに走らせていたイメージの一覧を挙げておりますが、どのイメージも評判あるものだと思います。 皆様におかれましては「あ
location.protocol - 素人がプログラミングを勉強していたブログ
location.protocolに変な文字列を入れた場合の挙動。 location.protocol = "javascript://\nalert(1)//" Safariでalertが表示される。XSSAuditorがコメント部分をチェックしないので最近のWebKitでもrefuseされない。 http://twitter.com/javascripter/status/3978868391 なんと、Safariではjavascript:スキームが動作してしまう(JavaScriptが動作してしまう)。Firefoxでは例外が発生し、Operaでは代入が無視される。気をつけよう。
Live Nude Cams 😍 - Ooh Cams
Live nude webcam chat IntroductionLive nude webcam chat has become increasingly popular as a form of online entertainment and communication. This unique platform allows individuals to connect with models in real-time, engaging in intimate experiences through video chat. With the advancements in technology and the widespread availability of high-speed internet connections, live nude webcam chat has
何故かあたり前にならない文字エンコーディングバリデーション
(Last Updated On: 2018年8月8日)私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。 不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想できなくなります。つまり、いい加減に文字エンコーディングを取り扱うと安全なシステムは作れないのです。 参考:エンジニア向けに
WordPress を安全に使い続ける方法
以下は、2009年9月5日に書かれた WordPress.org 公式ブログの記事、「How to Keep WordPress Secure」を訳したものです。本文内のリンク先はすべて英語ページです。 ほころびは早めに直せば後の手間がずいぶん省けます。私は縫い物は下手ですが、ブロガーに対してもあてはまるアドバイスだと思います。今すぐにアップグレードの作業をちょっと行うことで、後から色々と修正する労力がかなり省けます。 現在、修正パッチをあてられていない古いバージョンの WordPress に対するワーム(ウィルス)が広がり始めています。このワームは、過去の多くのものと同様に、巧みにできています。ユーザー登録を行い、パーマリンクを使って評価されたコードを実行するセキュリティバグ(今年初旬に修正済み)により自身を管理者に設定します。さらに JavaScript を使って管理画面のユーザーペー
How to Keep WordPress Secure
A stitch in time saves nine. I couldn’t sew my way out of a bag, but it’s true advice for bloggers as well — a little bit of work on an upgrade now saves a lot of work fixing something later. Right now there is a worm making its way around old, unpatched versions of WordPress. This particular worm, like many before it, is clever: it registers a user, uses a security bug (fixed earlier in the year)
アクアチムクリームを市販で買いたい方におすすめ通販はこちら
ベピオゲルは薬局で買える?最安値の通販はこちら > アクアチムクリームを市販で買いたい方におすすめ通販はこちら 『アクアチムクリームを市販で買うことはできませんか?』 この記事はこんな質問に答えた記事です。 早速、回答です。 アクアチムクリームは有効成分ナジフロキサシンの医療用医薬品です。市販はされていません。また、ナジフロキサシンを含んだ市販品はありません。 アクアチムクリームを病院の処方以外で買いたいなら、個人輸入がおすすめです。 オオサカ堂というサイトで海外製のナジフロキサシンの薬のナディバクトを買うことができます。 値段は1本1,238円(送料無料)、3本まとめると1本あたり808円(送料無料)で買うことができます。 商品名:[ジェネリックアクアチムクリーム]ナディバクト(Nadibact) 【1本10g】 販売価格: 1本 1,238円 2本 1,824円 3本 2,425円 送
サイバー藤田の真相について
私が「サイバー藤田」という架空の人物を演じ始めたのは6月5日のことである。つい先日にも、Twitterと呼ばれるサービス上で有名人がpostを始め、多数のフォローを集めていた。これは危険なことである。本当にその人物が本物なのかどうか。Twitterには、それを確認する方法は用意されていなかった。このままでは危ない、そう感じた私は動くことにした。 それは、「サイバー藤田」という架空の人物を演じることであった。 「サイバー藤田」を演じることで、周りにTwitter上での「なりすまし」の危険性を教えたかったのだ。「サイバー藤田」を演じ始めたとき、Twitterにはなりすまし対策は存在しなかった。Twitterがなりすまし対策、認証済みアカウントの実験を始める、と日本のメディアで発表されたのは、3日後の6月8日のことであった。 6月5日に演じ始めた「サイバー藤田」とは、一体どんな人物であったのだろ
C-Production – UNIXとプログラミングの備忘録
大変ご無沙汰です。約1年半ぶりの更新です。 昨日、ブログを設置しているサーバでOSのアップデートに問題が発生したため、これを機に新サーバ・新OSに乗り換えることにしました。 現在のブログがマルチサイトのため、そのままでは新サーバの構築に苦戦すると予想されるため、他のブログの記事を統合しました。 統合内容は以下の通りです。 ・C-Production ・・・ メインサイトのため、他のブログを吸収して継続。 ・♪8thNote♪ ・・・ メインサイトに統合済みだったので、削除。 ・モバイル魂 ・・・ メインサイトに記事を引き継ぎ、並行稼働中。 ・無線のドキュメント ・・・ もともと閉鎖予定だったので、そのまま削除 外部SNSのアカウントについてはそのまま継続します。 今後ともよろしくお願いします。
ログインフォームにおけるCSRF対策 - Study03.net 対シンバシ専用
大分前に、どこかのログインフォーム(ログインIDとパスワードを求めるような画面の事)にCSRF対策が施されてなくて良くないなーと思って、社内のセキュリティに詳しい人に、話してみたら、 「ログインフォームに関しては、CSRF対策が施されてなくても特に問題はない」 的な事を言われて、ちょっと面を食らった。 理由としては、「パスワード」自体が、本人しか知りえない「秘密の情報」であれば、外部サイトから、そのフォームに対してPOSTしたとしても「秘密の情報」が間違ってればエラーになるはずだから。 パスワード変更フォームとかでも、「現在のパスワード」を入力させてちゃんとチェックするようにすれば上記と同じ事が言える。 なるほど、同じような処理をするのでも、それに対する必要なセキュリティ対策というのはその性質によって求められるものが変わってくるんだなーと思った。 むしろログインページ(入力画面)が、htt
Wordpressの脆弱性を突いたSEO攻撃が浮上
Wordpressの脆弱性を突いて、検索エンジンで悪質なページを上位に表示させる新手のSEO攻撃が発生しているという。 人気ブログソフトWordpressの脆弱性を突いた新手のSEO攻撃が浮上していると、セキュリティ企業のPanda Securityがブログで伝えた。 それによると、この攻撃では米転職サービスCareer Builder傘下サイトのTheWorkBuzz.comと、非政府組織が運営するCenter for International Media Assistanceのサイトが利用された。検索エンジンで悪質なページを上位に表示させ、偽ウイルス対策ソフトウェアの配布サイトに誘導する手口が使われている。 いずれの攻撃もWordpressの旧バージョンの脆弱性を突いて、同ソフトウェアのフォルダにリダイレクト用の不正コードを大量に仕込んでいるという。脆弱性の詳しい内容は不明で、Pan
グルグル回すグーグルの新CAPTCHA特許 | 秋元@サイボウズラボ・プログラマー・ブログ
Googleのリサーチブログで紹介されていた、新しいキャプチャ方式の論文[pdf] こういう画像を、ちゃんと上を向くように直すことで、ユーザが人間であることを確認する、というもの。 なお、Aは人間でもコンピュータでも上がわかるような画像、Cは人間でもコンピュータでも上がわからないような画像、Bが人間だけ簡単に上が判定できる画像、だそうだ。画像にも、上がはっきりしているものと、どちらが上と取れる画像があるので、このキャプチャに向いた画像を選別して使うと書いてある。 3枚ぐらいの判定でよい結果が出たということで、実際に今CAPTCHAがあるようなWebのフォームに適用しようとするとこんなイメージになる。 また、キーを入力するタイプの今主流のキャプチャよりも、キーボードが無くて画面も小さいこういうデバイスで特に有用である、とも言っている。 [追記] ジョェバンニ、じゃなくてamachangが数時
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
日経BP
http://takagi-hiromitsu.jp/diary/20090802.html%23p01
WordPress 2.8 以前には思ったより危険なセキュリティホールが – Nire.Com