任意のコードが実行される脆弱性について
Posted by Shugo Maeda on 20 Jun 2008 信頼できない入力がRubyプログラムの入力として与えられた場合に、DoS攻撃を受け たり、任意のコードが実行される脆弱性が発見されました。 影響 攻撃者に以下の脆弱性を利用されることにより、DoS攻撃を受けたり、任意のコード が実行される危険性があります。 CVE-2008-2662 CVE-2008-2663 CVE-2008-2725 CVE-2008-2726 CVE-2008-2664 脆弱性の存在するバージョン 1.8系 1.8.4以前の全てのバージョン 1.8.5-p230以前の全てのバージョン 1.8.6-p229以前の全てのバージョン 1.8.7-p21以前の全てのバージョン 1.9系 1.9.0-1以前の全てのバージョン 各バージョンでの対応方法 各バージョンでの対応方法を以下に記載します。 1.8
sanonosa システム管理コラム集: Linuxでそこそこ安全かつ楽にサーバを立てる方法
【1.初めに】 要望がありましたので、今回はLinux(実際はRedhat系Linux)でそこそこ安全かつ楽にサーバを立てる際の手順を記してみます。 ※一応注意:今回は、試しにサーバを立てる程度であればこのくらいで十分ではないかと思うレベルを想定しています。サービスに投入するサーバでは私はもっと細かいところまで手を入れています。 【2.そこそこ安全かつ楽にサーバを立てる手順】 さて、いよいよ本題です。サーバを立てる際は、不必要なものを全て取り除いてから必要なものを追加していくというのが基本になります。以下の手順1~5では不要なものの除去、手順6~7で必要なものを追加し確認しています。それを踏まえまして。 ■手順1. OSをインストールします。(私はLinuxであればCentOSを入れることが多いです。その際私はインストールの種類をカスタムにしパッケージグループの選択では開発ツール以外全部チ
Webサーバへの攻撃を見抜く ― @IT
ウイルス、ワーム、ボットによる攻撃……ネットワーク上に存在する脅威は多種多様である。サーバにアクセスされた形跡を見て、それが通常のものなのか、それとも脅威なのかを判断するには知識と経験が必要となる。そこで本連載では、インシデント・ハンドリングのために必要な「問題を見抜く」テクニックを分野ごとに解説していく(編集部) ※ご注意 他社および他組織のWebサイトなどへのポートスキャンおよびデータの取得などの行為で得た情報を侵入などに悪用するか、または同じ目的を持つ第三者に提供した時点で違法となります。ご注意ください。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。 また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 インシデントを最終判断するのは「人間」 インターネットは、いわずと知れた世
CakePHP 比較演算子インジェクションに注意
@deprecated この情報はCakePHP1.2betaまでのものです。1.2RC1についてはこの方法は有効ではありません。詳しくはCakePHP 1.2RC1からは比較演算子をキーに書くをどうぞ。 CakePHPのモデルで検索条件を指定する場合は比較演算子に注意が必要です。 検索条件では↓な感じで条件値の他にSQLの比較演算子を入れることができます。 <?php class UserController extends AppController { funtion index($id) { $id = is_numeric($id) ? $id : 0; // $id より大きなidを持つレコードを取得 $list = $this->findAll(array('id' => '> ' . $id)); $this->set('list', $list); } } ?> これを見
産総研 RCIS: 安全なWebサイト利用の鉄則
お知らせ: 情報セキュリティ研究センターは、2012年4月1日にセキュアシステム研究部門 (2015-03-31 終了) に改組されました。 2015年4月1日現在、一部の研究は情報技術研究部門に継承されています。 この解説について 目的: フィッシング被害を防止するWebサイト利用手順の確認 著名なブランド名や会社名を騙った偽のWebサイトを作り、人をそこに誘い込んでパスワードや個人情報を入力させてかすめ取る、「フィッシング」 (phishing)と呼ばれる行為がインターネットの安全を脅かしつつあります。フィッシングの被害を防止するには、利用者ひとりひとりが本物サイトを正しく見分けることが肝心です。 しかしながら、どうやってWebサイトを安全に利用するか、その手順のことはあまり広く知られていないようです。技術者達の間では暗黙の了解となっていることですが、市販のパソコンの取扱説明書には書か
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
オンラインショップサイトの見極め、こんなところにも注目を
個人情報を預かるオンラインショップの運営においては、セキュリティへの配慮が重要だ。見た目の華やかさだけでなく、正しい設計にも目を配りたい。 「オンラインショップの運営」が企業にとって特殊な業態ではなくなって久しい。これにともない、「よく売れるオンラインショップのコツ」や「オンラインマーケティングの極意」といった情報も、運営者側の関心を呼んでいるようだ。 しかし、オンラインショップの運営においては、マーケティング戦略以上に重要なことがある。取引に際して預かることになる顧客の個人情報の保護や安全なトランザクションの確立、すなわちセキュリティの確保だ。 シマンテックが11月に公表した「オンライン詐欺に関する実態調査」によると、日本のインターネットユーザーは、オンライン取引に関して最も不安に思っている事柄として「インターネット上で入力した個人情報やログイン情報が漏れたり盗まれること」を挙げた。しか
情報処理推進機構:情報セキュリティ:脆弱性対策:安全なウェブサイトの作り方
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
myIPneighbors.com Reverse IP Domain Check DNS Tool
IP address means Internet protocol address, and it’s an identifying number assigned to every device you use. Whenever you visit a website or app, your device will automatically search for its IP address before loading. Any device that connects to the Internet has an IP address. Likewise, websites and apps can identify your location through your IP when you visit them. Your IP address is your digit
ラピッドSSL
アルファSSL販売開始のご連絡 本サイトでは、ラピッドSSLの新規お申し込みの受付を停止させていただいておりましたが、2008年4月1日より新たにアルファSSLのブランドを立ち上げ、販売を開始いたしました。 安定して提供可能なアルファSSLのご利用を是非ともご検討ください。 ご質問や不明な点などございましたら、こちらよりお問い合わせください。 グローバルサイン株式会社 WebTrustとはAICPA(米国公認会計士協会)とカナディアン公認会計研究所によって共同開発された監査基準に基づいて、米国3大監査法人の一つ、Ernst And Young社(アーンスト アンド ヤング社)が行っている国際的な電子商取引認証局監査プログラムです
一網打尽の詳細情報 : Vector ソフトを探す!
「TCP/IPドライバ等」カテゴリーの人気ランキング GlassWire Free アプリケーションが行う通信状況をグラフ化し、データ流出を通知してくれる(ユーザー評価:0) TinyWall 通信を許可するプログラムを詳細に指定し、パソコンを守るファイアウォール(ユーザー評価:2.5) Firewall App Blocker 指定したプログラムのデータ通信を簡単にブロックできる(ユーザー評価:0) IPConfigTray IPアドレスの表示/コピーと「ipconfig」を手軽に実行する、タスクトレイ常駐型のアプリケーション(ユーザー評価:0) TeleWatch ネットワーク内に繋がっているコンピューターを調べる(ユーザー評価:4.5) 「LAN・Internet等」カテゴリのソフトレビュー 今どこボード 11.0.0 - メッセージやファイルの送受信にも対応。数項目の設定だけで手軽
Clam Antivirusに関するメモ
1.1. Clam Antivirusについて Clam AntivirusはTomasz Kojmによる、LinuxやBSD、Mac OS Xなど各種UNIX系のシステムで動作するアンチウイルスソフトです。シグネチャによるパターンマッチング方式を採用していて、現在約21,755種類(2004年6月1日)のウイルスに対応しています。最も大きな特徴としてはGPLライセンスに従って利用することができるオープンソースのソフトウェアであるということがあります。 1.2. Clam Antivirusについての情報 Clam Antivirusについての最新かつ正確な情報、ソースコードなどはhttp://www.clamav.net/にあります。 googleなどで検索するときは「clam antivirus」や「clamav」などのキーワードをもとにして探すとよいでしょう。 1.3.1. "in
[MySQLウォッチ]第27回 MySQL 5.0 および 4.1 にSQLインジェクションのセキュリティ・ホール
先日,MySQL 5.0 および 4.1 に関してSQLインジェクションの危険性に対応するためにバージョンアップが行われた。 SQLインジェクションとは,入力されたデータにより意図せざるSQL文が実行されてしまうという攻撃である。データベースのデータを書き換えられたり,データが読み出されることにより情報が漏洩したりする恐れがある。セキュリティ・ホールというとWebサーバーやWebアプリケーション言語の専売特許だという印象があるが,データベースにも存在する。十分な注意が必要である。 以下,SQLインジェクションの原理と,MySQLに存在した問題の詳細とその対応について解説する。問題の発見から修正にいたるやりとりはWeb上で公開されており,誰がいつ問題を指摘し修正したのかもたどることができる。 mysqli_real_escape_string()関数によるSQLインジェクションの防止 プログ
![[MySQLウォッチ]第27回 MySQL 5.0 および 4.1 にSQLインジェクションのセキュリティ・ホール](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なWebサイト設計の注意点
HiromitsuTakagiのブックマーク