「安く早く」が崩壊しかけてるかも:Geekなぺーじ
日本国内でトップレベルのセキュリティ専門家である徳丸浩さんが、Twitterで「何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない」と発言したことが話題になっています。 [Security] Webとセキュリティとソフトウェア工学 それぞれの方々のご意見を拝見した限り、「自前でWordPres立ててはいけない」という表現に対して「ダメって言うな!」や「じゃあ、どこで経験つめばいいの?」といった論点での反論は多い一方で、「インターネットは超荒波だから気をつけようね」という点に関しては見解が一致してそうだと思います。今のインターネットの荒波がどれぐらいかというと、最後は主人公たちが乗っていた漁船が荒波に飲まれて全員死亡というパーフェクトストームという映画ぐらいのレベルだという感想を個人的に持っています。 いまのインターネットは、安さと早さを追
SQL Injection Bypassing WAF | OWASP Foundation
Thank you for visiting OWASP.org. We have migrated our community to a new web platform and regretably the content for this page needed to be programmatically ported from its previous wiki page. There’s still some work to be done. SQLi A SQL injection attack consists of insertion or “injection” of a SQL query via the input data from the client to the application. A successful SQL injection exploit
AWS WAFをバイパスしてSQLインジェクション攻撃をしてみる - Soon Lazy
最近はAWS WAFを触っています。こういう防御ツールは、やはり攻撃をどれぐらい防いでくれるか気になります。AWS WAFの場合、SQLインジェクション系の脆弱性を探ってくれるsqlmapをかけたところ、攻撃をブロックしてくれたという記事があります。 記事を読んだり自分でちょっと試したりして、ちゃんとSQLインジェクション攻撃を防いでくれるんだーと思っていました。が、つい先日WAFをバイパスしてSQLインジェクション攻撃をするテクニックがあることを知りました。例えばOWASPのこのページには、そういうテクニックがいくつか紹介されています。 こうなると気になるのは、AWS WAFに対してWAFバイパスのテクニックを使うとどうなるかです。というわけで、実際に試してみました。 単純にSQLインジェクションしてみる まずは、AWS WAFがないときにSQLインジェクションができること、また、AWS
週末の思索:私がローカルISPをハッキングした手順、そしてインターネットで身を守るための一般的なアドバイス、学び | POSTD
週末の思索:私がローカルISPをハッキングした手順、そしてインターネットで身を守るための一般的なアドバイス、学び 長文を読む時間のない読者へ: 時間差SQLインジェクションについて最低限の知識がある読者を想定しています。技術用語を読みたくない場合は、結末の重要なアドバイス、学びまでスクロールダウンしてください。 先週、長い週末を過ごすため、故郷であるNagpurを訪れました。私はNagpurのあらゆるものを深く愛していますが、インターネットだけは別です。十分なFUPの光通信やブロードバンドを提供するまともなインターネットサービスプロバイダ(ISP)がないからです。家族は某ローカルISPの1か月2Mbps 50GBのプランで手を打っています。 FUPとは? 多くのISPは、通信量が制限に達すると速度を落とすFair Usage Policyという制度を採用しています。例えばデータ通信量が50
Hacking Slack accounts: As easy as searching GitHub
A surprisingly large number of developers are posting their Slack login credentials to GitHub and other public websites, a practice that in many cases allows anyone to surreptitiously eavesdrop on their conversations and download proprietary data exchanged over the chat service. According to a blog post published Thursday, company researchers recently estimated that about 1,500 access tokens were
自分のメールアドレスやID名で検索するとハッキングされて過去の流出リストに入っていたかどうかがわかる「Have I been pwned?」
by Automobile Italia Adobeや不倫・浮気サイトのAshley Madison(アシュリー・マディソン)を始めとする大手ウェブサイトがハッカーから攻撃を受けるなどして、個人情報が流出してしまう事件はたびたび起こっています。過去に起こった個人情報流出事件において、自分のメールアドレスやユーザー名が含まれていたのかを検索可能で、もし今後流出したら教えてくれるサイト「Have I been pwned?」がMicrosoftのMVP社員によって公開されています。 Have I been pwned? Check if your email has been compromised in a data breach https://haveibeenpwned.com/ ということで、公に情報が流出したことのあるサイトのリストは以下の通り。流出件数トップとなっているのは、20
パナマ文書の流出源にWordPressプラグインの可能性
ヨーロッパの有力者を主な顧客にオフショア取引に関わっていたパナマの法律事務所モサク・フォンセカから膨大な文書が流出した「パナマ文書」について、WordPressの有料プラグイン「レボリューション・スライダー」に原因がある可能性が浮上した。 WordPress向けのセキュリテイプラグインWordfenceを提供する米フィードジトのマーク・マウンダーCEOは、4月7日、同社のブログに「モサク・フォンセカ流出事故――WordPressレボリューション・スライダーが原因の可能性」という記事を投稿したのだ。 パナマ文書の流出源は、内部犯行説やハッカー説が指摘されているが、法律事務所は顧客向けに、Webサイトでデータにアクセスするサービスを提供しており、脆弱性のあるDrupalを使っていたのが原因だ、とする報道が多い。しかしマウンダーCEOによれば、法律事務所のWebサイトはWordPressで稼働し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Need for speed: What's the fastest Android browser?