「わざと脆弱性を持たせたWebアプリ」で練習を
命名・「やられWebアプリケーション」(仮) 構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施することがほとんどだと思いますが、あなた自らが脆弱性診断の技術を身につけることで、セキュアWebアプリケーションについての理解が深まるとか、自社内で脆弱性診断ができるようになるといったこともあるかもしれません。 脆弱性診断の技術を身につける過程では、脆弱性を見つける手法を試したり、診断ツールを試したりする必要がありますが、診断といえど攻撃と同様のことを行うので、気軽に実稼働環境で実験するわけにもいきません。ましてや、他人や他社のWebサイトで試すなどはもってのほかです。 そこで、わざと脆弱性を持たせたWebアプリケーションと、それを動作させる環境が必要になります。 このような環境をわざわ
【ハウツー】Webデバッガに新星登場!? 操作を記録し、イベント/DOMを一発解析 - FireCrystal (1) FireCrystalとは | エンタープライズ | マイコミジャーナル
複雑な機能をいくつも実装したWebアプリケーションのデバッグはツールなしでは一苦労だ。Ajax処理やこまかいイベント制御・DOM操作をおこなっている箇所でバグを出してしまった日には、解析だけで大変な時間を割かなければならない。 そんなときは、FireCrystalを使えば解決するかもしれない。ユーザの操作を記録し「どのタイミングで」「なにがおこなわれているか」を一発で表示してくれる便利なアドオンだ。 本稿では、そのFireCrystalについて紹介しよう。 FireCrystalとは Stephen Oney氏は8月21日(米国時間)、Firefox上で動作するアドオン「FireCrystal」をリリースした。FireCrystalはThe MIT Licenseのもとで公開されている、Webデザイナ・デベロッパ向けのデバッガ。Webページ上でユーザの操作を記録し、内部でどのようなイベント
「Twitter」や「Facebook」へのDoS攻撃の標的はたった1人の活動家
Facebookの幹部によると、米国時間8月6日に「Twitter」でサイト全体のサービス停止を、そして、「Facebook」と「LiveJournal」、Googleの「Blogger」と「YouTube」で障害を引き起こしたサービス拒否(DoS)攻撃は、これらのサイトにアカウントを持つ親グルジア派の活動家ブロガー1人を標的にしたものだったという。 Facebookの最高セキュリティ責任者であるMax Kelly氏がCNET Newsに語ったところによると、「Cyxymu」というアカウント名を使用するこの親グルジア派のブロガーは、同時に攻撃されたこれらすべてのサイトでアカウントを所有していたという。 「これは、この活動家を標的として実行された、複数のサイトに対する同時攻撃で、目的は彼の発言を封じることだった」とKelly氏は述べた。「われわれは、今回の攻撃元を積極的に調査している。そして
高木浩光@自宅の日記 - 児童ポルノ単純所持処罰化とタイムマシン
■ 児童ポルノ単純所持処罰化とタイムマシン 日曜が休日出勤だったので今日は代休をとった。 先週末、はてブ界隈で児童ポルノ法改正の国会審議の話題が上がってきていたので、所謂「まとめサイト」を見たところ、参考人のアグネスチャンがずいぶん酷く言われていた。いったいどんなだったんだと、衆議院TVで録画を観たところ、そんなにひどい話ではなく、やはりネットのこの手の「まとめ」は真に受けてはいけないなと思った。それはともかく、与党案と民主党案の2つの法案が出ていて、法案提出者との質疑がなかなかディベートとして面白いものになっていた。単純所持での冤罪の懸念に関する議論では、コンピュータ技術に関わる部分があり、興味深い。 まず、提出されている法案を確認しておくと、与党提出法案では、(1)目的によらず、「何人も、みだりに、児童ポルノを所持し、又は(略)記録した電磁的記録を保管してはならない」と、罰則なしで禁止
重要なお知らせ | 小林製薬株式会社
2024/04/08 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第9報) 2024/04/05 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第8報) 2024/04/01 紅麹関連製品のインターネットからの返品のお申し込みについて 2024/04/01 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第7報) 2024/03/29 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第6報) 2024/03/28 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第5報) 2024/03/27 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第4報) 2024/03/26 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第3報) 2024/03/25 紅麹関連製品の使用中止のお願いと自主回収のお知らせ(第2報) 2024/03/22 紅麹関連製品の使用中止の
ブラウザに彼氏の秘密を教えてもらう
検索サイトの検索ワードを入れるやつでさ、 以前に検索したやつがバァーって一覧で出るよね。 わたしは色々考えて出ないようにしているんだけど、 彼氏が使ってるのは出るようになってるんだよ。 何で知ってるかっていうか、 たまに結構な頻度で使わせてもらってたりする。 で、検索ワードがわぁって出る。もちろん見たい。 でも、ずっと自重してた。 だって、自分がやられて嫌なことはしちゃいけないから・・・。 でも、見てしまった。理性の敗北! 見ても案外楽しくはなかった。というか、よくわかんねぇ。 たくさんある中でえっちぃワードが目に引く。いや、特に理由はないけど・・・。 「そのワードを検索する」=「そういうのが見たい」=「そういうのが好き」 =「わたしがそういう風になると嬉しい」? 変身してみようかな・・・・。
2009年のWebサービスは"安全性"が流行る?
ここ数年、野菜に生産者の名前や顔写真が付くようになった。安全性を示すためのものである。おかげで、安心して買い物ができるようになった。これを応用して、Webサイトにも「私が作りました」ということを示す顔写真を付けるのが流行るのではないかと言う人がいる。『株式会社すみましん』というサイトの運営者、住正徳さんだ。 「昨年は食の安全が問題になった。今年はサイトの安全に注目が集まると思う。というわけで、サイトを作った人間が顔を出してアピールすべきだと考えた。野菜とかにある「私が作りました」マークをサイトにも配置するのはどうだろう?これが2009年のWebスタンダードになる、かもしれない」とのこと。もちろん彼は実際に、このサイト上に顔写真を付けている。 何故こんなことを始めたのか?実際に効果はあるのか?詳しい話を聞いてみた。 記者: 「私が作りました」という顔写真を付けることについて、詳しくお話を伺っ
はてなフォトライフが実はプライベートな画像を全世界に公開している件 - 公開こまたく日記
タイトルは釣りですJK。はしたなくてすみません。 以前書いたEye-fiを手に入れたので利用できる有料オンラインストレージサービスを比較検討してみた以降、Flickrの有料アカウントを利用してフォトライフを送っています。無意識的に何気なくパシパシ撮っていた画像がお構いなしにすべてUPされてしまうので、ひたすら便利なもののセキュリティという意味ではトレードオフかななんて思いつつ使っています。 さて、はてなフォトライフやFlickrに代表されるオンラインストレージサービスですが釣りタイトルのように、例えプライベートフォルダを作成して保存をしている画像であっても第三者に表示されてしまう、ということはご存じでしょうか(有名な話ですが)。 例をあげてみます。 id:komatakアカウントのプライベートフォルダにはハンバーガー食べてるkomatakさんがいらっしゃいました。このURLです。 http
ネットのウイルスを監視するIPA(独立行政法人 情報処理機構)職員、Winny/Shareの殺人系ウイルス(通称 シャレタマ)に感染し、個人情報をネットにばらまく→IPAが1/4付で「おわび」をサイトに掲載 - 天漢日乗
ネットのウイルスを監視するIPA(独立行政法人 情報処理機構)職員、Winny/Shareの殺人系ウイルス(通称 シャレタマ)に感染し、個人情報をネットにばらまく→IPAが1/4付で「おわび」をサイトに掲載 去年の暮れ、IPA(独立行政法人 情報処理機構)は、こんな注意喚起を行っている。 年末年始における注意喚起 第08-29-139号 掲載日 2008年12月22日 独立行政法人 情報処理推進機構 セキュリティセンター 一般利用者の方へ メールの添付ファイルや USB メモリなどでウイルス等の被害に遭わないように ワンクリック不正請求やセキュリティ対策ソフトの押し売りにご用心 もしものときの対応策 システム管理者の方へ ~年末年始休暇における対策のお願い~ (以下略) IPAというのは、理事長挨拶によれば、こんな独立行政法人だ。 理事長挨拶 (略) IPAは、産学官の結節点として情報サー
ザッピングのURLが変わりました : ロケスタ社長日記
ザッピングというサイトがあり、ブログウォッチャーというところが提供しているのですが、それのドメインがcom→jpに変更になったようです。 【お知らせ】ザッピングthatspingをご利用に皆様へ (銀座・新橋らへんの社長ブログ) ザッピングのブログパーツをご利用の皆様へ 既にお気づきの方も多いかと思いますが、 弊社のシステムの都合により、ザッピングのドメインを thatsping.jpへと移行することになりました。 ご利用の皆様には、多大なご迷惑をおかけし、申し訳ありませんでした。 僕自身、ブログウォッチャー自体は、7月くらいから離れてしまっています。そのため、ブログウォッチャー内部については詳しくわからないのですが、ドメイン関連のトラブルが原因です、、、 ドメイン管理については僕の引き継ぎ方にも激しく問題があったので、そのへんで今サポートもしている状態です。ただ、お問い合
主に使うブラウザは「IE7」「Firefox」がツートップ、半数が「Google Chrome」に関心 | もずはっく日記 - WebStudio
もずはっく日記(2008年10月) 2008年10月24日 主に使うブラウザは「IE7」「Firefox」がツートップ、半数が「Google Chrome」に関心 | ひと・話題 | nikkei BPnet 〈日経BPネット〉 初回投稿日時: 2008年10月24日08時19分23秒 最終更新日時: 2008年10月24日15時57分01秒 カテゴリ: Firefox Google Chrome IE 雑談 SNS: Tweet (list) 結構興味深い数字が多いので、私見を書いてみます。 まず、前提条件を把握しておく必要がありますが、何故かこれが6ページ目に記述されています。詳しいことはそちらを直接見てもらうとして、この情報から私が推測する回答した集団のイメージは、もともとブラウザに興味のある人、ブラウザには興味ないけど日経読者でPCもしくはWebに興味のある人、との混成で、加え
「本当に逮捕されるか実験です」――2chでまた「小女子焼き殺す」予告
「○○小学校(実在の小学校名)で小女子を焼き殺します。本当に逮捕されるか実験です」――こんな犯行予告が10月21日、「2ちゃんねる」に投稿された。2ちゃんねらーや「予告.in」ユーザーによって警察に通報された模様だ。 2ちゃんねるの「自己紹介板」「ニュース速報(VIP)板」に21日午後2時25分ごろ、同じ固定ハンドルで「○○小学校で小女子を焼き殺します」というタイトルのスレッドが作成され、それぞれ「本当に逮捕されるか実験です」などと書き込まれた。 その直後の午後2時33分には、同じ固定ハンドルでテレビ局の爆破予告スレッドが、同34分には大学の爆破予告スレッドが作成されている。 2ちゃんねるの「犯罪予告をするアフォな人。」スレッドでは、21日午後8時前に、「ニュース速報(VIP)」板以外の3つの投稿についてIPアドレスが公開されており、3投稿が同じIPアドレスから行われたことが確認できる。
志田未来への殺害予告。具体的な犯人の文章については、URLの... - 予告in
表示している情報は、予告inに情報提供された通報内容です。 犯行予告のあったサイトからの予告文の転載等が含まれる場合があります。 実際の犯行内容の確認は リンク先(外部サイト)、もしくは キャッシュ からご確認ください。
NHKとリニアと原発の関係。- セキュリティホール memo
復刊リクエスト受付中: ジェイムズ.F.ダニガン「 新・戦争のテクノロジー」(現在58票) 中山信弘「ソフトウェアの法的保護」 (現在112票) (オンデマンド購入可) 陸井三郎訳・編「ベトナム帰還兵の証言」 (現在109票) 林克明「カフカスの小さな国 チェチェン独立運動始末」 (現在175票) 田中徳祐「我ら降伏せず−サイパン玉砕戦の狂気と真実」 (復刊決定) RSS に対応してみました。 小ネタは含まれていません。「政治ねたウゼェ」という人は RSS ベースで読むと幸せになれるでしょう (ウザくない人は こっちの RSS がよいかもしれません)。 RSS 1.0 ですので、あくまで RDF Site Summary です。 現在は Really Simple Syndication には対応していません。 今すぐ Really Simple Syndication がほしい人は、のい
個人だから甘いのかな - ぼくはまちちゃん!
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
お前ら知ってる?彼女とか他人のPCで、恥ずかしいWebページ見た後とか、キャッシュとか履歴消去するだろ?:アルファルファモザイク
12 名前:名無しさん@八周年 投稿日:2008/03/21(金) 15:55:50 ID:KBMS0bQP0 お前ら知ってる? 彼女とか他人のPCで、恥ずかしいWebページ見た後とか、キャッシュとか履歴消去するだろ? あれ、全然消えてないんだぜ エクセル立ち上げて、どこでも良いからセル選んで、右クリしてハイパーリンクを選んで、「ファイル・ウェブページ」の「ブラウズしたページ」に全部出てくる(;^ω^) 俺はこれで2回痛い目にあった
Firefox3のオレオレ警告 | 水無月ばけらのえび日記
……なんと「そのままアクセスする」とか「一時的に受け入れる」とかいう選択肢がありません。そのかわり「例外として扱うこともできます」という謎のリンクがあります。クリックすると、「例外を追加」というボタンが現れます。 「インターネット接続環境を完全には信頼できない場合や、これまでこのサーバではこの警告が表示されなかった場合は、このサイトを例外として追加しないでください。」という注意書きが。そして例外に追加しようとすると、だめ押しの一撃。 「本物の銀行、ショップ、その他公共サイトがこの操作を求めることはありません。」太字で断言ですよ。これは気持ち良い! ここまでされると、本物サイトをオレオレ証明書で運用するのもかなり抵抗が出てくるでしょう。 ※興味本位で一時的にアクセスしてみたりするのがやりにくくなりますが……。まあ、一般の人はそんなことをする必要がありませんしね。 「Firefox3のオレオレ
サーバシグニチャは隠すのが当たり前
(Last Updated On: 2007年9月4日)私も何年も前からセミナーではサーバ、モジュールバージョンは隠すようにと言っています。何故こんな事で賛否両論になるのか全く理解できません。犯罪者がどのように攻撃するか?を考えればなぜ隠す必要があるのか理由は明白です。サーバのバージョン情報が詳しく公開されていれば、その情報を使うに決まっています。攻撃に使える情報は全て使わない訳がありません。 最新版を使っているから安全ではない事も明白です。サーバに0day攻撃の脆弱性が発見された場合どの情報を使います?公開または推測できるバージョン情報に決まっています。 フィンガープリンティングでかなりの確率で推測可能、という議論もあるとは思います。しかし、適切に運用/設定されているシステムなら細かいバージョン番号までは推測できない場合が多いと考えられます。 犯罪者が攻撃に利用している、利用する可能性が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
藤川優里(藤川ゆり).in
仮想ブラウザでWebからの脅威を防ぐ「ZoneAlarm ForceField」