Google、「ハッキング学習用Webアプリ」を公開 - スラッシュドット・ジャパン
Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
「メールの盗聴は珍しいことではない」、初来日のミトニック氏が警鐘 - @IT
2008/05/19 システムに侵入して悪意のある行為を行う“ハッカー”として一般社会に広く知られ、現在はセキュリティ・コンサルタントを務めるケビン・ミトニック氏が5月15日来日し、情報セキュリティEXPOの会場でプレゼンテーションを行った。 同氏は1995年、米国のソフトウェア企業や電話会社に不正侵入したとして逮捕され、有罪判決を受けている。ツトム・シモムラ氏による追跡の顛末は、「テイクダウン」という本にまとめられ、映画化もされた。 ミトニック氏は今回、メール暗号化サービスを提供するZenlokの顧問という立場で初来日した。同氏は、電子メールという仕組みが生まれて37年がたつにもかかわらず、いまだにそのほとんどが暗号化されていない状態に警鐘を鳴らした。 「かつて、私がツトム・シモムラ氏のワークステーションをハックして侵入してみたところ、驚くべきことに、多くのメールが暗号化されていないまま
SCP/SFTP 専用アカウントを作りたい - 奈古屋の日記
rssh(1) を使えばよい。 該当アカウントのシェルを /usr/bin/rssh に変更する 与えたい権限は /etc/rssh.conf (see rssh.conf(5)) で設定する。 chroot させたいときはディレクトリ dir に対して # mkchroot.sh dirを実行して jail(?) 環境を作成しておく。なお mkchroot.sh は /usr/share/doc/rssh/examples/mkchroot.sh.gz として導入されているので適当に gunzip して使う。 私の環境では /usr/lib/rssh/rssh_chroot_helper が setuid root されていなかったため、そのままでは chroot システムコール呼び出し時に EPERM が発生してうまくいかなかった。ということで手で # chroot u+s /usr/
第11回 スクリプトインジェクションを防ぐ10のTips | gihyo.jp
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
Googleなど大手サイトのcookie転送に問題発覚、認証かわされる恐れ
Google、Microsoft、Yahoo!などの大手サイトに脆弱性が発覚。「サービスとしてのソフトウェア」を提供しているサイトは特に危険だという。 Google、Microsoft、Yahoo!など大手各社のWebサイトに、ユーザー認証をかわされてしまう脆弱性があることが分かり、US-CERTがアドバイザリーを公開した。 それによると、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがある。 こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性がある。 ログイン時にhttpsを
YouTube - Broadcast Yourself
SMELLMANのMouth drummer、ハヤシの口ドラム+ベースの同時演奏 at the TILT HOUSE STUDIO SMELLMAN:アカペラグループ「チン SMELLMANのMouth drummer、ハヤシの口ドラム+ベースの同時演奏 at the TILT HOUSE STUDIO SMELLMAN:アカペラグループ「チン☆パラ」解散後、元メンバーが中心となり結 成 オリジナルなサウンド追求のため、数回のメンバーチェンジを経て現在に至る 類を見ないオリジナルなアカペラサウンドは定評 都内ライブハウスを中心に活動中 ワンマンライブ「ロスタルジア」決定! 2008.12.26 at SHIBUYA O-WEST http://www.smellman.com (続き) (一部表示)
今夜分かるSQLインジェクション対策 ― @IT
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトバンク端末100機種以上にJavaScript関連の不具合
ウイルス感染したPCにおける保存パスワードの窃取問題へ対策した「FFFTP」v1.97
はてなブログ | 無料ブログを作成しよう
Flashとポリシーファイルの密接なカンケイ ― @IT
訂正ありご注意→セキュリティのセの字も考えてないライブドアの公衆無線LANサービス