Googleが「ハッキングを通じてWebアプリのセキュリティや脆弱性を学ぶ」ことを目的としたWebアプリ「Jarlsberg」を公開した Google Online Security Blog)。 Jarlsbergは、「ハッカーがどのようにセキュリティ脆弱性を見つけるか」「どのようにWebアプリを攻撃するか」「どうすればそのような行為への対策を行えるか」を学習することを目的としたもの。Google Apps上で動作しているWebアプリで、ユーザーが実際にさまざまな攻撃をテストしてみることが可能。「jarlsberg.appspot.comドメイン上で任意のスクリプトを実行できるようなファイルをアップロードせよ」などの課題やヒント、その解答と対策なども多数用意されている。また、ソースコードについてもすべて公開されている。 ドキュメントはすべて英語だが、セキュリティに興味のある方は挑戦してみ
2008/05/19 システムに侵入して悪意のある行為を行う“ハッカー”として一般社会に広く知られ、現在はセキュリティ・コンサルタントを務めるケビン・ミトニック氏が5月15日来日し、情報セキュリティEXPOの会場でプレゼンテーションを行った。 同氏は1995年、米国のソフトウェア企業や電話会社に不正侵入したとして逮捕され、有罪判決を受けている。ツトム・シモムラ氏による追跡の顛末は、「テイクダウン」という本にまとめられ、映画化もされた。 ミトニック氏は今回、メール暗号化サービスを提供するZenlokの顧問という立場で初来日した。同氏は、電子メールという仕組みが生まれて37年がたつにもかかわらず、いまだにそのほとんどが暗号化されていない状態に警鐘を鳴らした。 「かつて、私がツトム・シモムラ氏のワークステーションをハックして侵入してみたところ、驚くべきことに、多くのメールが暗号化されていないまま
rssh(1) を使えばよい。 該当アカウントのシェルを /usr/bin/rssh に変更する 与えたい権限は /etc/rssh.conf (see rssh.conf(5)) で設定する。 chroot させたいときはディレクトリ dir に対して # mkchroot.sh dirを実行して jail(?) 環境を作成しておく。なお mkchroot.sh は /usr/share/doc/rssh/examples/mkchroot.sh.gz として導入されているので適当に gunzip して使う。 私の環境では /usr/lib/rssh/rssh_chroot_helper が setuid root されていなかったため、そのままでは chroot システムコール呼び出し時に EPERM が発生してうまくいかなかった。ということで手で # chroot u+s /usr/
前回はスクリプトインジェクションがなくならない理由を紹介しました。それをふまえて今回はスクリプトインジェクションを防ぐ10のTipsを紹介します。 デフォルト文字エンコーディングを指定 php.iniには、PHPが生成した出力の文字エンコーディングをHTTPヘッダで指定するdefault_charsetオプションがあります。文字エンコーディングは必ずHTTPヘッダレベルで指定しなければなりません。しかし、デフォルト設定ではdefault_charsetが空の状態で、アプリケーションで設定しなければ、HTTPヘッダでは文字エンコーディングが指定されない状態になります。 HTTPヘッダで文字エンコーディングを指定しない場合、スクリプトインジェクションに脆弱になる場合あるので、default_charsetには“UTF-8”を指定することをお勧めします。サイトによってはSJIS、EUC-JP
Google、Microsoft、Yahoo!などの大手サイトに脆弱性が発覚。「サービスとしてのソフトウェア」を提供しているサイトは特に危険だという。 Google、Microsoft、Yahoo!など大手各社のWebサイトに、ユーザー認証をかわされてしまう脆弱性があることが分かり、US-CERTがアドバイザリーを公開した。 それによると、cookieを使って認証を行っているWebサービスの中には、最初にユーザーネームとパスワードを入力してログインするときには暗号化されたhttpsセッションで認証用cookieを設定していても、セッション全体が暗号化されておらず、その後そのcookieをhttpで転送しているサイトがある。 こうしたサイトでは、ネットワークパス上の攻撃者がcookieを含んだトラフィックを傍受して、正規ユーザーを装うことができてしまう可能性がある。 ログイン時にhttpsを
SMELLMANのMouth drummer、ハヤシの口ドラム+ベースの同時演奏 at the TILT HOUSE STUDIO SMELLMAN:アカペラグループ「チン SMELLMANのMouth drummer、ハヤシの口ドラム+ベースの同時演奏 at the TILT HOUSE STUDIO SMELLMAN:アカペラグループ「チン☆パラ」解散後、元メンバーが中心となり結 成 オリジナルなサウンド追求のため、数回のメンバーチェンジを経て現在に至る 類を見ないオリジナルなアカペラサウンドは定評 都内ライブハウスを中心に活動中 ワンマンライブ「ロスタルジア」決定! 2008.12.26 at SHIBUYA O-WEST http://www.smellman.com (続き) (一部表示)
【関連記事】 本内容についてのアップデート記事を公開しています。あわせてご確認ください(編集部) Security&Trustウォッチ(60) 今夜こそわかる安全なSQLの呼び出し方 ~ 高木浩光氏に聞いてみた http://www.atmarkit.co.jp/fsecurity/column/ueno/60.html Webアプリケーションに対する攻撃手法の1つであるSQLインジェクションの存在は、かなり広く知られるようになった。しかし、その対策はまだ本当に理解されていないように思える。フォームから渡された値の特殊文字をエスケープしたり、PHPのmagic_quotes_gpcといった自動エスケープ機能をオンにするだけで対策したつもりになっていないだろうか。 基本はもちろん、セカンドオーダーSQLインジェクションやマルチバイト文字を利用したSQLインジェクションの攻撃パターンや、その対
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く