問題が起きる前に。Webサーバセキュリティチェッカー·Websecurify MOONGIFT
Websecurifyは主立ったWebサーバにおけるセキュリティチェックを自動化してくれるソフトウェアです。 Webサイトを巡るセキュリティ問題は多々あります。自動化されている攻撃ソフトウェアもあり、ちょっとした油断で一気に重要データが引き抜かれたり、逆に破壊されてしまう可能性があります。それを事前に確認すべく使っておきたいソフトウェアがWebsecurifyです。 メイン画面です。 テストを行うURLを入力します。実行前に確認が出ます。 テストの実行中です。 完了しました。 レポート画面でインシデントの詳細が確認できます。 Websecurifyは代表的と言えるセキュリティチェックについて自動で行ってくれます。SQLインジェクション、ローカルファイルの読み込み、クロスサイトスクリプティング、CSRFなど多岐にわたります。サーバの種別を判断した上でやり方を変えるので、より確度が高くなります
児童ポルノ遮断、「IP直打ち」ですり抜け横行 : 社会 : YOMIURI ONLINE(読売新聞)
インターネット上の児童ポルノサイトへの接続を強制遮断するため、昨年4月に始まった「ブロッキング」に、早くもすり抜けの手口が横行している。 サイトアドレスを、「○○・co・jp」といった「URL」から、数字の羅列の「IPアドレス」に打ち直すだけ。「IP直(じか)打ち」と呼ばれるこの手口でブロッキングを免れ、違法DVDを販売するサイトは乱立しており、警察当局は児童買春・児童ポルノ禁止法違反容疑での集中摘発を検討している。 全裸の少女の写真の脇に「9歳」「11歳」などと記されたサイト。児童ポルノとみられるDVDが1枚650円で堂々と販売されていた。全国の警察が過去に摘発した“有名”な児童ポルノのタイトルも並び、「当店でそろわない商品はありません」とうたっている。 警察当局によると、サイトを運営するのは、数年前から首都圏を拠点に違法DVDを販売しているグループ。昨年のブロッキング導入後も数十のサイ
実際に対サイバー攻撃アラートシステム「DAEDALUS」が警告を出す映像
6月6日に独立行政法人情報通信研究機構(NICT)の対サイバー攻撃アラートシステム「DAEDALUS(ダイダロス)」が外部展開を開始しましたが、6月13日から開催されている「Interop Tokyo 2012」では実際にこのDAEDALUSが動いているところを見られます。 イベントを取材していたWirelessWire Newsが、ちょうどDAEDALUSがアラートを出しているところに遭遇、ムービーを撮影することに成功しています。 [INTEROP TOKYO 2012]DAEDALUSでビジュアライズされたサイバー攻撃(動画) - WirelessWire News(ワイヤレスワイヤーニュース) ムービーはこちら。撮影はiPhoneで行っていたそうです。 [INTEROP TOKYO 2012]DAEDALUS - YouTube 「DAEDALUS」についての説明中。 画面中央の青い
【LINE】既読にしないで相手に知らせずLINEの未読メッセージを読む方法 - ぼくはまちちゃん!
こんにちはこんにちは!! LINE使ってますか! スマホのメッセンジャーアプリ! すっごい流行ってますよね! なんでも世界でユーザーが4000万人を越えたとか…! そんなこんなで、先日ちょっとしたイベントで偶然、Barimiちゃんに会った時にも、LINEのお話がでました。 はまち:「あ、ばりみちゃんもLINE使ってるんですね」 ばりみ:「めっちゃ使ってるよ〜、でもこれ [既読]っていうのが相手に伝わるのがたまにやだな〜」 はまち:「あ〜、読んだことが相手に伝わるんですよね」 ※既読の例 たしかに、読んだことが相手に伝わってしまうと、 相手に「なんで読んだのに返事くれないのかなぁ」とか思われたりで、ちょっと面倒なんですよね。 同じような不便を感じてる人、他にも多いかもしれない。 そんなわけで暇にまかせてこんなツールを作ってみました。 Stealth LINE - 既読にしないで相手に知らせず
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
【レアジョブ:重要】お客様の個人情報流出の可能性に関するお知らせ
個人情報保護宣言 個人情報保護宣言 個人情報に関する公表事項 プライバシーポリシー 株式会社レアジョブは、多くのお客様に英会話レッスンを楽しんでいただく中で、お客様や英会話講師、そして当社スタッフなど、多くの個人情報を取得して取り扱います。 これら個人情報の管理は、サービスを安心して利用いただくための基礎であり、重要かつ守秘性の高いものとして適切に取り扱うため、当社が事業の用に供するすべての個人情報を適切に保護することを社会的責務として定め、 そのためのルール及び体制を「個人情報保護マネジメントシステム」として構築し、個人情報保護の活動に取り組んでいくことを宣言いたします。 1. 個人情報の取得・利用・提供について インターネットを通じたオンライン英会話事業の中で、適切に個人情報を取得するとともに、予め定めた利用目的の範囲内でのみ個人情報を取り扱い、目的を超えた個人情報の利用をせず、そのた
pastebinに貼られた「twitterユーザのパスワード」を軽く分析した - ockeghemのtumblr
アノニマス匿名のハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。(注:当初anonymous hackersをアノニマスハッカーと訳していましたが、ここは「匿名の」という意味ですね。訂正します) 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。ところが重複がかなりあり、ユニークなID:パスワードの組み合わせだと、34,069に減少します。さらに、「同一ユーザ名でパスワードが異なる」組み合わせが6個ありました。
Post by @youkoseki
malaさんはNHN Japanのエンジニアとして多くのウェブサービスの設計に関わるだけでなく、セキュリティやプライバシの観点から見たアーキテクチャについて、ブログでさまざまな情報や問題提起を発信されています。 特に昨年末に公開されたブログ記事「はてな使ったら負けかなと思っている2011」は、インターネットはどこへ行くかという私のもやっとした問題意識にピッタリとハマる素晴らしい文章でした。あの記事を読んで、これはぜひ一度お会いして、インターネットの現状やエンジニアの役割について、お話を聞いてみたい、と思ったのが今回の企画の発端です。未読の方は、まずそちらからどうぞ。 なお、インタビューは三月末に行われました。無職期間中に公開する予定で、ずいぶん時間がかかってしまいました。文中、私の所属する企業の話も出てきますが、例によってここは個人ブログであること、そもそも私が転職する前のインタビューであ
エロサイトに「いいね」した人がエロサイトを見ていたとは限らない | コーヒーサーバは香炉である
コーヒーサーバは香炉である 美人プログラマごうだまりぽのブログですがデータが吹っ飛んでしまって仮復旧中。画像が入っていないところ、整形されていないところなどがあります。 検索 メインメニュー 最近、知らないうちにアダルトサイトなどをFacebookで「いいね」してしまうという問題が話題になっている。 知らない間にアダルトサイトを「いいね」 Facebook知人、同僚に性的嗜好がバレる (J-CASTニュース) これにはクリックジャッキングと呼ばれる手法が使われている。たとえば、ユーザが興味を引くような画像を表示してクリックを促し、実際にはその上にかぶせるように設置した「透明の『いいね』ボタン」を押させるというような仕組みだ。ページ内の要素の「透明度」を変えることでわりと簡単に仕掛けられる。 かんたんな絵であらわしてみた。図中のいいねボタンは半透明になっているけれど、実際に仕掛ける場合は透明
text.ssig33.com - Shibuya.XSS に行ってきた。
Shibuya.XSS に行ってきた。 徳丸さんの隣に居座って膨大な量の酒を飲んだ。 発表内容については、書けないことが多いし、書けないことが多いなか纏めている人がいるので、そういうのを適宜参照してほしく思う。 小保田さんのエントリあたりがよくまとまっている。 以下考えたこと。 1. 「素人」の話 割と真剣に伝えたいこと。セキュリティの話突き詰めてくと素人はアプリ書くな!!ってなりがちなんだけど、良くない傾向。素人でもアプリを自由に書けるようにライブラリや認証システム作る人が全力で、バグがあってもセキュリティホールにならないように設計しないといけない #shibuyaxss— mala (@bulkneets) April 4, 2012 マラのこの意見は実のところ結構片手落ちだと僕は思っている。この意見は「素人はアプリケーションを作ってよいが、ライブラリは作ってはいけない」という意見にす
カスペルスキーが「DNS Changer」の注意喚起、7月以降にWebに接続できなくなる恐れ
カスペルスキーは2012年4月4日、コンピュータウイルス「DNS Changer」に関する日本語の情報ページを公開し、無償駆除ツールを使ってDNS Changerの感染確認を行うよう注意を促した。 DNS Changerとは、パソコン上のDNS設定を勝手に書き換える不正プログラムのこと。DNS Changerに感染すると、ユーザーはインターネット・サービス・プロバイダー(ISP)のDNSサーバーではなく、全く別のDNSサーバーを使わされることになる。 このDNS Changerを使い、不正なDNSサーバーと不正なWebサイトに誘導して大規模なネット詐欺を行っていた犯罪グループは、2011年11月にFBI(米連邦捜査局)によって逮捕・起訴された(関連記事:史上最大規模!サイバー犯罪グループを追う)。しかし、DNS Changerに感染したパソコンが世界中にまだ存在しているため、現在は、DNS
フォーム自動入力(x-autocompletetype)の実験
※ご注意: ウイルスバスターがインストールされている環境だと、この記事は読めないようです (→参考画像) (x-autocompletetypeとは?) Webサイトのフォームにワンクリックで個人情報を自動入力してくれる便利機能。ブラウザに、あらかじめ名前やメールアドレスや住所やクレジットカード番号などの情報を設定しておく。 アンケートサイトとかに超便利 入力が苦手なオカンも便利 とにかくべんり Google Chrome のみ対応してる (2012年4月4日時点)。 便利すぎて今後、他のブラウザも追随必至。 (ユーザーが自動入力を使うには) Google Chrome 設定 → 個人設定 → 自動入力設定の管理 → 住所氏名メールアドレス等を入れておく (Webページ側での自動入力の設定) inputにx-autocompletetype属性をつけて、値を email とか sname
クラウド導入の壁は相変わらず「セキュリティ」がトップ。国内の2つのアンケート結果から
どれだけの企業がすでにパブリッククラウドを導入しているか、もしくは計画しているか。そしてパブリッククラウドの導入で懸念することとは何か。サイボウズとITmediaのTechTargetが相次いでアンケート結果を発表しました。それぞれの結果を見てみることにしましょう。 TechTargetは2月22日付けの記事「パブリッククラウド調査結果、セキュリティが不安な一方で3割は導入に前向き」で、2012年1月24日から2月9日にかけて行ったアンケート結果を記事にしています。Webによるアンケートで、有効回答数は312件。主にPaaS/IaaSを想定した質問になっています。 サイボウズは昨年12月に行った同社主催の「経営戦略×クラウド」シンポジウム来場者に対するアンケート結果を公開しています。有効回答数は222件。こちらは主にサイボウズのイベントに集まった人が対象のため、クラウドとしてSaaS/Pa
2008-11-20
タイトル通り、webセキュリティのメモ書き。 参考 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構*1 第1回■ぜい弱性がなくならない本当の理由(わけ)(3ページ目) | 日経 xTECH(クロステック) [HotFix Report] セキュリティ用語−セッション・ハイジャック(session hijack) もろもろ SQL Injection (SQL インジェクション) データの中にこっそりSQLを書いて、こっそり入れたSQL文の直前に「'」とかでエスケープして、こっそり入れたSQL文を実行させますよっと OS Command Injection (OS コマンド インジェクション) CGIとかの中に、openとかexec,system関数を使ってるとき、入力値をそのまま入れてるとコマンドが実行されちゃうってやつ。 パス名パラメータの未チェック/Director
47NEWS(よんななニュース)
「置き配」の荷物盗み、フリマアプリに出品し換金 荷物を繰り返し盗んだ疑い、男を逮捕 窃盗品とみられる商品、男の自宅に400点以上 金に困り、近所の置き配に目を付けたと話す34歳
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
米LinkedIn、パスワード約650万件が漏えいか~至急パスワード変更を 
日本ベリサイン - Enterprise & Internet Security Solutions
徳丸本に載っていないWebアプリケーションセキュリティ
ティム・バーナーズ・リー氏:「グーグルやフェイスブックから自分のデータを取り戻そう」 from WirelessWire News
United States
