tsupoさんのタグ「脆弱性」についてのクリップ一覧｜@nifty クリップ

asahi.com（朝日新聞社）：他人も出せる郵便「転居届」　便利さの陰で転送被害多発 - 社会

tsupo — 2009-12-08T10:18:53Z

他人も出せる郵便「転居届」　便利さの陰で転送被害多発（1/2ページ）2009年12月8日12時40分印刷本人以外でも「家族」「同居者」「従業員等」にチェックを入れれば、転居届は受け付けられる　　　知らないうちに自分の郵便物が他人の家に転送さ... 続きを読む

クリップへ追加する

プラグイン脆弱性問題に決め手はあるのか－＠IT

tsupo — 2009-11-13T13:01:39Z

第9回プラグイン脆弱性問題に決め手はあるのか飯田朝洋トレンドマイクロ株式会社サポートサービス本部コアテクノロジーサポートグループ Threat Monitoring Cneter 課長 2009/11/13 　こんなにあるプラグ... 続きを読む

クリップへ追加する

mixiアプリ「サンシャイン牧場」、課金ユーザーの個人情報が閲覧可能な状態に:ニュース - CNET Japan

tsupo — 2009-11-04T14:21:38Z

mixiアプリ「サンシャイン牧場」、課金ユーザーの個人情報が閲覧可能な状態に:ニュース - CNET JapanCNET JapanCNET_IDメールマガジンフィードサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチベ... 続きを読む

クリップへ追加する

「わざと脆弱性を持たせたWebアプリ」で練習を－＠IT

tsupo — 2009-10-23T13:33:29Z

上野宣 2009/10/23 ■命名・「やられWebアプリケーション」（仮）　構築したWebアプリケーションがセキュアかどうかを確かめる方法として、疑似的に攻撃を行うことで問題を発見する「脆弱性診断」があります。脆弱性診断は専門業者が実施... 続きを読む

クリップへ追加する

ECアプリケーション「Zen Cart」に関する注意喚起 | LAC

tsupo — 2009-10-15T08:59:32Z

)+'&title='+encodeURIComponent(ECアプリケーション「Zen Cart」に関する注意喚起),'delicious', 'toolbar=no,width=550,heig... 続きを読む

クリップへ追加する

アドビ、「Adobe Reader」と「Acrobat」のパッチを公開--28件の脆弱性を修復:ニュース - CNET Japan

tsupo — 2009-10-14T09:12:55Z

アドビ、「Adobe Reader」と「Acrobat」のパッチを公開--28件の脆弱性を修復:ニュース - CNET JapanCNET JapanCNET_IDメールマガジンフィードサイトマップトップニュース特集オピニオンブログホワイト... 続きを読む

クリップへ追加する

SQLインジェクション攻撃を仕掛けるウイルス再び、Webサイトを改ざん - ニュース：ITpro

tsupo — 2009-10-05T08:39:50Z

本文なし続きを読む

クリップへ追加する

「はてなブックマークモバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど

tsupo — 2009-10-02T10:32:36Z

このたび、一部ユーザー様のブックマークコメントが改ざんされたとの報告があり、弊社にて調査をいたしましたところ、「はてなブックマークモバイル版」の脆弱性を利用した不正アクセスが行われていた事実が判明いたしました。本件につきまして、ユーザー様... 続きを読む

クリップへ追加する

Windows VistaおよびServer 2008にDoS攻撃を受ける脆弱性 - セキュリティ - ZDNet Japan

tsupo — 2009-09-15T12:02:36Z

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は9月11日、Windows VistaおよびServer 2008にDoS攻撃を受ける... 続きを読む

クリップへ追加する

「yoyaku_v41」に新たなOSコマンドインジェクションの脆弱性 - セキュリティ - ZDNet Japan

tsupo — 2009-09-15T11:59:33Z

独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）および一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は9月11日、ディーアイシーが提供する予約管理用ソフト「yoyaku_v41」にOSコマ... 続きを読む

クリップへ追加する

Q.E.D.――セキュリティ問題を解決するのは「人」 − ＠IT

tsupo — 2009-09-10T05:49:18Z

最終回 Q.E.D.——セキュリティ問題を解決するのは「人」辻　伸弘 NTTデータ・セキュリティ株式会社 2009/9/9 　セキュリティにおける「合わせ技一本」　前回「たった1つの脆弱性がもたらすシステムの“破れ”」の最後に、ペネトレー... 続きを読む

クリップへ追加する

TCP/IP プロトコルに脆弱性―JPCERT/CC が注意喚起 - japan.internet.com Webテクノロジー

tsupo — 2009-09-09T09:44:11Z

一般社団法人 JPCERT コーディネーションセンター（JPCERT/CC）は2009年9月9日、「複数製品の TCP プロトコルの脆弱性に関する注意喚起」を公開した。今回公開されたのは、TCP/IP プロトコルの脆弱性で、第三者に悪用さ... 続きを読む

クリップへ追加する

Windows、「Teardrop攻撃」にさらされる - Zero Day - ZDNet Japan

tsupo — 2009-09-09T09:40:51Z

Microsoft Server Message Block（SMB）の実装に脆弱性が存在するとして、これを悪用するエクスプロイトコードがインターネットに投稿されている。（編集部注：原文執筆後、Microsoftはセキュリティアドバイザリを... 続きを読む

クリップへ追加する

IPA、「OpenSSL」の旧版を利用しているWebサイトに注意喚起 -INTERNET Watch

tsupo — 2009-09-08T12:16:06Z

情報処理推進機構（IPA）は8日、脆弱性が存在する旧バージョンの「OpenSSL」を利用しているWebサイト運営者に対して、バージョンアップ実施を呼びかける注意喚起を発表した。　IPAでは、2008年11月頃からOpenSSLを使用してい... 続きを読む

クリップへ追加する

マイクロソフト、IISの新たな脆弱性を調査中:ニュース - CNET Japan

tsupo — 2009-09-01T04:45:39Z

マイクロソフト、IISの新たな脆弱性を調査中:ニュース - CNET JapanCNET JapanCNET_IDメールマガジンフィードサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチベンチャーレビューモバイルマーケテ... 続きを読む

クリップへ追加する

ウェブユーザーの約8割が、脆弱性のあるバージョンのFlash・Acrobatを利用 - Zero Day - ZDNet Japan

tsupo — 2009-08-28T04:15:28Z

Trusteerの調査によれば、ウェブユーザーの約8割が未パッチのバージョンのFlash、Acrobatを使用しているという。2009年8月にTrusteerが公表した調査結果によれば、同社のRapportセキュリティサービスのユーザー25... 続きを読む

クリップへ追加する

グーグル、「Google Chrome」で深刻な脆弱性を修正:ニュース - CNET Japan

tsupo — 2009-08-26T04:52:47Z

グーグル、「Google Chrome」で深刻な脆弱性を修正:ニュース - CNET JapanCNET JapanCNET_IDメールマガジンフィードサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチベンチャーレビュー... 続きを読む

クリップへ追加する

全文検索システム「Namazu」、最新版未適用サイトにIPA注意喚起 -INTERNET Watch

tsupo — 2009-08-20T10:08:44Z

情報処理推進機構（IPA）は20日、オープンソースの日本語全文検索システム「Namazu」の脆弱性について、「既に脆弱性対策を施したバージョンが公表されているにも関わらず、未適用のWebサイトがある」といった届出が増えているとして、Nama... 続きを読む

クリップへ追加する

他人のカード番号を計算で割り出す「クレジットマスター」初摘発 -INTERNET Watch

tsupo — 2009-07-07T15:44:49Z

カード番号に特殊な計算を施し、ほかのカード番号を割り出す「クレジットマスター」という手口を使って、不正にインターネットで商品を購入していたとして、警視庁は6日、窃盗の疑いなどで大阪市内の無職の男（45）の逮捕状を7日に取る方針を固めた。捜査関係者によると、クレジットマスターによるカード犯罪の摘発は全国初だという。こうした手口はカード会社などで問題となっており、被害防止に向けて抜本的な対策を迫られそうだ。　カード会社関係者や捜査関係者によると、クレジットマスターは、実際のカード番号に複雑な計算を加え、他人のカード番号を割り出す手口。ネットには、カード番号と有効期限を登録すれば買い物ができる通販サイトがあり、この手口で不正に入手した番号を打ち込むと、実在のカード番号に当たる可能性がある。有効期限は元のカードの期限がそのまま該当する場合がある。　中野署の調べによると、男はクレジットマスターを使って、大手カード会社の他人のカード番号を入手。平成20年7月20日、ネットで都内の通販会社から、テレビなど8点（20万円相当）を盗んだとされる。男は所在不明で、同署は覚せい剤取締法違反容疑でも逮捕状を取り、指名手配する方針... 続きを読む

クリップへ追加する

ブログシステム「Movable Type」に複数の脆弱性:ニュース - CNET Japan

tsupo — 2009-06-29T10:02:07Z

ブログシステム「Movable Type」に複数の脆弱性:ニュース - CNET JapanCNET JapanCNET_IDメールマガジンフィードサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチベンチャーレビューモバイルマーケティングアップルゲーム■ 経営一般■ 情報システム... 続きを読む

クリップへ追加する

スクリプト言語「Ruby」にDoS攻撃を受ける脆弱性:ニュース - CNET Japan

tsupo — 2009-06-11T05:27:52Z

スクリプト言語「Ruby」にDoS攻撃を受ける脆弱性:ニュース - CNET JapanCNET JapanCNET_IDメールマガジンフィードサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチベンチャーレビューモバイルマーケティングアップルゲーム■ 経営一般■ 情報システム■ ... 続きを読む

クリップへ追加する

Movable Typeにクロスサイトスクリプティングの脆弱性:ニュース - CNET Japan

tsupo — 2009-04-27T11:05:02Z

Movable Typeにクロスサイトスクリプティングの脆弱性:ニュース - CNET JapanCNET JapanCNET_IDメールマガジンフィードサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチベンチャーレビューモバイルマーケティングアップル■ 経営一般■ 情報システム... 続きを読む

クリップへ追加する

Poken/セキュリティ上のご注意 - オートログインはoff、でね。 - tech tech okdt

tsupo — 2009-04-23T05:47:23Z

にわかにブームになりかけているソーシャル名刺Pokenにつきまして。 Poken http://poken.jp/ja/ RockStarバージョン。こいつはAmazonでゲット。*1 Pokenについて指摘されている、利用上のセキュリティ問題。*2 But loosing physical control over your Poken is not the only way to get your account compromised. The URL is actually ... 続きを読む

クリップへ追加する

アドビ、「Flash」脆弱性に対処:ニュース - CNET Japan

tsupo — 2009-02-26T08:13:54Z

　Adobe Systemsは、攻撃者にコンピュータの遠隔制御を許す恐れのある「Flash Player」の脆弱性に対するパッチをリリースした。　Adobeは警告の中で、同脆弱性の影響を受けるのは「Adobe Flash Player 10.0.12.36」およびそれ以前のバージョンであると述べた。... 続きを読む

クリップへ追加する

Excelに新たなゼロデイ攻撃 - Zero Day - ZDNet Japan

tsupo — 2009-02-24T10:08:02Z

ZDNet Japan Brand Site:ZDNet Japanbuilder検索：ZDNetbuilderRSSサイトマップ CNET_IDログインZDNet Japanトップビジネスインダストリトピック金融製造公共小売物流通信ネットビジネスマネジメントトピック財務人事マネジメントキャリア・転職メンタルヘルスビジネストピックユーザー事例業界動向英語資格・学習テクノロジーテクノロジートレンドセキュリティガバナンス・運用管理Notesの次を考えるソーシャルテクノロジ経営が知るべきバズワード新しいOSの選択肢これはひどい！ITの話デベロッパーbuilder by ZDNet Japanホワイトペーパー製品用語企業動向ビジネスリソースプレスリリースイベント情報企業情報センターリファレンスダッシュボードインフォメーションZDNet Japanのイベントサイトマップテクノロジーセキュリティスペシャル » 特集 » Zero DayExcelに新たなゼロデイ攻撃SymantecはMicrosoft Excel 2007に対してゼロデイ攻撃が行われていることを確認した。他のバージョンにも影響が... 続きを読む

クリップへ追加する

「高機能アクセス解析CGI」にアクセス解析結果を閲覧される脆弱性:ニュース - CNET Japan

tsupo — 2008-12-16T07:37:31Z

　有限責任中間法人JPCERTコーディネーションセンター（JPCERT/CC）は12月12日、futomi's CGI Cafeが提供する「高機能アクセス解析CGI」にセッションIDが推測可能な脆弱性が存在すると「Japan Vulnerability Notes（JVN）」で公表した。　高... 続きを読む

クリップへ追加する

新たな「PDFウイルス」出現、ほとんどの対策ソフトが検出できず：ITpro

tsupo — 2008-11-10T06:38:30Z

米サンズ・インスティチュートの情報
[画像のクリックで拡大表示] 続きを読む

クリップへ追加する

Adobeがクリックジャッキング問題に対処 - Zero Day - ZDNet Japan

tsupo — 2008-10-16T13:13:33Z

ZDNet Japan Brand Site:ZDNet Japanbuilder検索：ZDNetbuilderRSSサイトマップ CNET_IDログインZDNet Japanトップビジネスインダストリトピック金融製造公共小売物流通信ネットビジネスマネジメントトピック財務人事マネジメントキャリア・転職メンタルヘルスビジネストピックユーザー事例業界動向英語資格・学習テクノロジーテクノロジートレンドセキュリティガバナンス・運用管理Notesの次を考えるソーシャルテクノロジ経営が知るべきバズワード新しいOSの選択肢これはひどい！ITの話デベロッパーbuilder by ZDNet Japanホワイトペーパー製品用語リファレンスダッシュボードビジネスリソースプレスリリースイベント情報企業情報センターインフォメーションZDNet Japanのイベントサイトマップテクノロジーセキュリティスペシャル » 特集 » Zero DayAdobeがクリックジャッキング問題に対処Adobeが少なくとも5件の重大なセキュリティ問題への対処を行ったFlash Player 10を公表した。対処した問題にはクリ... 続きを読む

クリップへ追加する

『Flash』にも影響を与える「クリックジャッキング」の脅威 - japan.internet.com Webテクノロジー

tsupo — 2008-10-09T06:59:25Z

2008年10月9日TOPWebビジネスWebマーケティングWebテクノロジーWebファイナンスEコマース携帯・ワイヤレスパブリックLinux TodayLinux TutorialWebビジネスWebマーケティングWebテクノロジーWebファイナンスEコマース携帯・ワイヤレスパブリックCyberAtlasキャリアデベロッパーデイリーリサーチ一覧デイリーリサーチDLサイトオンラインリサーチポータル今日のヘッドライン週間ヘッドライントピックスニュースガジェット特集一覧j.i.c.ブログプレスリリース一覧PR TIMESドリームニュースNews2u.net＠Pressセキュリティチャネルテレコムチャネルサーチエンジンウォッチセミナーイベントカレンダーアクセスランキング先週の注目ニュースブックマークランキングニュースメールの購読ニュースメールの変更・解除オプトインメールの登録・変更・解除iPhoneYoutubeモバイルノート検索連動型広告デジタルカメラアクセス解析グリーン ITテーマ一覧トピックス転職ならen派遣ならenアルバイトならenＩＴ求人情報新規登録変更・解除オプトインメールの
登録・変更・解除ロレックスフ... 続きを読む

クリップへ追加する

ECサイト構築システム「EC-CUBE」に脆弱性、SQLインジェクション攻撃に注意:ニュース - CNET Japan

tsupo — 2008-10-03T08:35:16Z

　独立行政法人情報処理推進機構セキュリティセンター（IPA/ISEC）は10月1日、ロックオンが提供するオープンソースのECサイト構築システム「EC-CUBE」に複数の脆弱性が確認されたと発表した。　特に、EC-CUBEによって構築されたECサイトが外部からSQLインジェクション攻撃を受けた場合、... 続きを読む

クリップへ追加する

「Google Chrome」のセキュリティパッチ、詳細が明らかに :ニュース - CNET Japan

tsupo — 2008-09-09T09:05:23Z

　Googleは、ブラウザ「Chrome」に対して3日前に提供開始したセキュリティパッチについて沈黙を守っていたが、米国時間9月8日午後、緊急レベルの脆弱性2件と重要度の低い問題数件が修正されたことを、その詳細とともに明らかにした。　GoogleのChromeプログラムマネージャーMark Lars... 続きを読む

クリップへ追加する

コード実行の恐れ：Google Chromeのアップデートがリリース、脆弱性に対処のもよう - ITmedia エンタープライズ

tsupo — 2008-09-09T07:18:15Z

コード実行の恐れ：Google Chromeのアップデートがリリース、脆弱性に対処のもようGoogleは脆弱性を修正したGoogle Chrome 0.2.149.29をリリースしたが、詳しい情報は公表していない。[ITmedia]2008/09/09 08:23　米Googleの新ブラウザGoog... 続きを読む

クリップへ追加する

ブラウザ攻撃の94％は脆弱性公開後24時間以内に発生 − ＠IT

tsupo — 2008-07-31T08:49:06Z

＠IT＠IT テクノロジー＠IT情報マネジメント＠IT MONOist＠IT自分戦略研究所JOB＠ITITmediaTechTarget誠＠IT総合トップ > テクノロジー > Security&Trust > News > ブラウザ攻撃の94％は脆弱性公開後24時間以内に発生　 NewsInsight米IBMが警告が「加速、急増」と警告ブラウザ攻撃の94％は脆弱性公開後24時間以内に発生2008/07/30　米IBMのインターネットセキュリティシステムズ X-forceチームは7月29日、2008年上半期のセキュリティトレンドについて解説するレポートを発表した。Webブラウザに関連するエクスプロイト・コードの94％は、ブラウザの脆弱性の公開後24時間以内に現れているといい、レポートはセキュリティ攻撃の「加速と急増」を指摘している。　エクスプロイト・コードが現れるまでの時間が短くなっている理由は、自動的に攻撃手法を見つけ出し、プログラムを作成するツールが使われていることが理由の1つ。レポートはこれらのツールが「犯罪組織に... 続きを読む

クリップへ追加する

WebLogicに深刻なぜい弱性、認証なしでファイルを見られる恐れ：ITpro

tsupo — 2008-07-31T06:04:04Z

　米オラクルは2008年7月28日（米国時間）、アプリケーションサーバーソフト2製品に緊急性の高いぜい弱性があると公表した。製品に含まれるApacheサーバー用プラグインにぜい弱性があり、悪用されるとサーバー内のファイルを認証なしで見られてしまう。ぜい弱性の深刻度を示す「CVSS」は最高レベル（10... 続きを読む

クリップへ追加する

【ハウツー】 Googleの脆弱性発見ツール「ratproxy」

tsupo — 2008-07-17T12:37:03Z

Webアプリケーション開発者にとって切っても切れない問題――それがセキュリティ対策だ。日増しに複雑になっていく要件・機能に対する脆弱性検査に悲鳴をあげているデベロッパ/テスターも多いことだろう。そのような中、あのGoogleが、社内でも活用している脆弱性発見ツールをオープンソース化して公開した。同ツールは脆弱性検査の新しい決め手となるか。続きを読む

クリップへ追加する

ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな

tsupo — 2008-06-03T03:33:29Z

本日起こった、ethna.jp や、jp2.php.net のサイトに、ActiveX や Flash の脆弱性をついた攻撃をする html を読み込む iframeを差し込まれるというトラブルが発生しました。ちょっとかかわったので、流れを記録として残しておこうと思います。

ethna.jpの第一報10:30ごろ、%Ethna のIRCチャンネルで、mikaponさんから、mlの保存書庫に不正な iframe が差し込まれているという報告がありました。10:31 (mikapon) おはようございます10:32 (mikapon) ethnaのサイトなんですが10:32 (mikapon) mlの保存書庫の所にiframe埋め込まれてませんか？

ちょうど出社中の時間で、この発言をリアルタイムでは見れなかったのですが、土曜日に tiarra を入れたおかげで、発言を見ることが出来ました。firefoxで開いたところ、htmlの先頭で iframeの開始タグのみがあるので、ページが真っ白になってしまっていました。修正や調査をする権限は無いので、MLに報告を投げました。10:39 (maru_cc) ほんとだ　なんか変... 続きを読む

クリップへ追加する

マイクロソフトセキュリティアドバイザリ (953818): Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威

tsupo — 2008-06-02T03:06:21Z

TechNet セキュリティ > マイクロソフトセキュリティアドバイザリマイクロソフトセキュリティアドバイザリ (953818)Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威公開日: 2008年5月31日マイクロソフトは、Apple 製 Safari を Windows XP および Windows Vista のサポートしているバージョンと組み合わせて使用した場合にリモートで攻撃することが可能な複合的な脅威に関する一般に公開されたレポートについて調査を行っています。Safari は、Windows XP および Windows Vista に標準ではインストールされていません。Safari をインストールするには、個別または、Apple Software Update を通じてインストールする必要があります。Safari を Windows 上で使用しているお客様は、このアドバイザリの内容をご確認ください。マイクロソフトでは、現在のところ、この複合的な脅威に関する具体的な攻撃の事例は確認していません。この調査の完了時に... 続きを読む

クリップへ追加する

Flashのセキュリティ脆弱性を突く攻撃を確認--米セキュリティ調査機関が警告:ニュース - CNET Japan

tsupo — 2008-05-29T08:41:20Z

　セキュリティアドバイス機関であるUS-CERTは米国時間5月28日、「Adobe Flash Player 9」の脆弱性が、悪意あるソフトウェアのインストールに実際に悪用されていることを確認した、と警告している。この脆弱性は、Adobeが先日リリースしたパッチをインストールしていないコンピュータに... 続きを読む

クリップへ追加する

Vista、未公開のFlash脆弱性で陥落--Pwn to Ownコンテストで:ニュース - CNET Japan

tsupo — 2008-03-31T07:45:45Z

Vista、未公開のFlash脆弱性で陥落--Pwn to Ownコンテストで:ニュース - CNET Japan CNET_IDメールマガジンフィードポッドキャストツールサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチワークスタイルベンチャーレビューモバイルマーケ... 続きを読む

クリップへ追加する

IPA、脆弱性関連情報の「届出システム」を刷新--利用者の声もとにフォームを改善:ニュース - CNET Japan

tsupo — 2008-03-31T07:14:51Z

IPA、脆弱性関連情報の「届出システム」を刷新--利用者の声もとにフォームを改善:ニュース - CNET Japan CNET_IDメールマガジンフィードポッドキャストツールサイトマップトップニュース特集オピニオンブログホワイトペーパーリサーチワークスタイルベンチャーレビューモバイルマー... 続きを読む

クリップへ追加する

グーグルを脆弱性スキャナにする新ツール ― ＠IT

tsupo — 2008-02-22T20:04:16Z

＠IT＠IT テクノロジー＠IT情報マネジメント＠IT MONOist＠IT自分戦略研究所JOB＠ITITmediaTechTarget誠＠IT総合トップ > テクノロジー > Security&Trust > News > グーグルを脆弱性スキャナにする新ツール　 NewsInsight脆弱なWebアプリやバックドアを発見グーグルを脆弱性スキャナにする新ツール2008/02/22　検閲反対のスタンスで知られるハッカー集団、Cult of the Dead Cow（cDc）が、グーグルの検索エンジンを、使い勝手のいい脆弱性スキャナに変える新ツールをリリースした。　ジョニー・ロング氏の「Google Dorks」——機密情報を見つけるための検索クエリ——にヒントを得たcDcの「Goolag Scan」は、さらに限界に挑み、Windows GUIベースのスタンドアロン検索アプリケーションを提供している。　オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー... 続きを読む

クリップへ追加する

ここが危ない！Web2.0のセキュリティ：第10回 RSSのセキュリティ｜gihyo.jp

tsupo — 2007-10-31T09:54:18Z

gihyo.jp » DEVELOPER STAGE » 連載 » ここが危ない！Web2.0のセキュリティ » 第10回 RSSのセキュリティここが危ない！Web2.0のセキュリティ第10回 RSSのセキュリティ2007年10月31日福森大喜 Web2.0, RSS, セキュリティ12RSSリーダーの脆弱性では，次にRSSリーダーの脆弱性について考えてみます。RSSフィードがWebサイトの更新情報を配信しているという性格上，RSSリーダーはブラウザを利用したWebアプリケーションとして開発される場合と，IEコンポーネントを利用したアプリケーションやFirefoxのアドオンとして開発される場合があります。そのため，クロスサイトスクリプティングやSQLインジェクションのように，一般のWebアプリケーションと同じ脆弱性が存在します。HTMLを解釈して出力する機能があればクロスサイトスクリプティングの脆弱性が考えられ，データベースへの登録機能があればSQLインジェクションの脆弱性が考えられます。よってその対策も一般のWebアプリケーションと同様になります。しか... 続きを読む

クリップへ追加する

第6回　意外に知られていないブラインドSQLインジェクション｜gihyo.jp

tsupo — 2007-06-11T06:35:37Z

gihyo.jp » DEVELOPER STAGE » 連載 » なぜPHPアプリにセキュリティホールが多いのか? » 第6回　意外に知られていないブラインドSQLインジェクションなぜPHPアプリにセキュリティホールが多いのか?第6回　意外に知られていないブラインドSQLインジェクション2007年6月11日大垣靖男プログラミング, PHP, セキュリティ前回の記事でSQLインジェクションの話は終わりにして，クロスサイトスクリプティングの話を書かせて頂こうと思っていました。しかし，6月5日に東京にて開催されたPostgreSQLカンファレンス2007でセキュリティをテーマに講演させて頂き，意外にブラインドSQLインジェクションをご存じでない方が沢山いらっしゃいました。40名ほどの聴講者の皆様にSQLインジェクションをご存じの方？とお聞きするとほぼ全ての方が知っていると答えたのですが，ブラインドSQLインジェクションをご存じの方は数名でした。SQLインジェクションの常識ブラインドSQLインジェクションの話をする前に，SQLインジェクションとその対策の常識につ... 続きを読む

クリップへ追加する

ぼくはまちちゃん！(Hatena) - 安全なWebサイト利用の鉄則

tsupo — 2007-04-13T19:06:42Z

ようこそゲストさん最新の日記記事一覧ユーザー登録ログインヘルプぼくはまちちゃん！(Hatena) ライブドアリーダーで購読 → 2007/04/09■安全なWebサイト利用の鉄則
産総研 RCIS: 安全なWebサイト利用の鉄則 (はてなブックマーク hotentry より)
サイト運営者の鉄則
サイトからクロスサイトスクリプティング脆弱性を排除する
わかりやすいのが産総研にあるよがんばれ＞＜Permalink | コメント(2) | トラックバック(0) コメント一覧sakesnare2007/04/10 01:33すごいっすねー！よく見つけますね！！bhd2007/04/10 13:09もう、高木先生の日記にトラバおくって先生にお願いするしかないよ＞＜；はてなユーザーのみコメントできます。はてなへログインもしくは新規登録をおこなってください。トラックバック - http://d.hatena.ne.jp/Hamachiya2/20070409/aistリンク元368 http://reader.livedoor... 続きを読む

クリップへ追加する

I know. 開発日誌、 » XSS 脆弱性に関するお知らせ。

tsupo — 2007-04-10T12:39:16Z

I know. 開発日誌、I know. と FeedGrapher を作っている人たちの日記です。« CSRF 脆弱性に関するお知らせ。障害報告 04/23 »2007-04-09XSS 脆弱性に関するお知らせ。Filed under： information — hiroaki @ 19:57 アンテナ表示ページにおいて、特定の url でアクセスすると任意のスクリプトを実行できる脆弱性があると IPA (情報処理推進機構) を通じてご指摘があり、これを修正いたしました。IPA による確認作業も終わりましたのでここにご報告いたします。想定される影響としては、任意のスクリプトを実行できるため以下は一例となりますが、偽のログインフォームを表示させ ID / パスワードを入力させる、Cookie を盗用する、不正な広告を表示させるなどが挙げられます。i-know.jp を含む不自然に長い url にアクセスした、いつものブラウザでログアウトしていないのにログインフォームが出てきた、等に心当たりのあるユーザーの方は、アンテナ登録サイトをチェックしていただき、パスワードの変更をお... 続きを読む

クリップへ追加する

総務省・経産省配布のボット対策ツールに脆弱性 − ＠IT

tsupo — 2007-02-14T15:40:59Z

＠IT＠IT テクノロジー＠IT情報マネジメント＠IT MONOist＠IT自分戦略研究所JOB＠ITITmediaTechTarget誠＠IT総合トップ > テクノロジー > NewsInsight > 総務省・経産省配布のボット対策ツールに脆弱性　コード実行の危険総務省・経産省配布のボット対策ツールに脆弱性2007/02/13　総務省と経済産業省が連携して行っているボット対策プロジェクト「サイバークリーンセンター」が1月25日から2月9日にかけて配布した非常駐型のボット駆除ツール「CCCクリーナー」に脆弱性があることが分かった。現在配布しているバージョンには脆弱性はない。　CCCクリーナーは検索エンジンとしてトレンドマイクロの製品を利用。このトレンドマイクロの検索エンジンにUPX圧縮ファイル検索処理時のバッファオーバーフローの脆弱性があった。細工されたUPX圧縮ファイルをCCCクリーナーでスキャンした場合、任意のコードが実行される危険がある。脆弱性のあるCCCクリーナーによる被害は現時点では報告されていない。　脆弱性があるのは1月25... 続きを読む

クリップへ追加する

脆弱性の発見と報告とIPA

tsupo — 2007-02-14T10:03:06Z

あたまがうにになる技術等の話題を適当に書くBLOG。いわゆる日記はこっち、開発ラボもあるよ 2007年02月14日脆弱性の発見と報告とIPAなんとなーく、脆弱性を見つける→IPAへ報告というのが一般的なのかと、何を見たわけでもなく思ってる自分がいて、報告をしたりもした。報告したものは基本的に、脆弱性がありそうだな…と思い、怪しい場所をチェックをしてやっぱり見つかったりするので報告するという感じ。
でも、その理由をそのままIPAに報告すると「脆弱性を探すのはやめなさい（やめてください）」といった旨の返事がくる。私も割と大きめなWEBサービスの開発運営に関わっているのでこれは間違い無いと思うけれど、普通に使ってて、たまたま脆弱性が見つかるなんて結構稀なパターンじゃないかと思う。(もちろん無いわけではない)
通常、普通に使っててたまたま見つかるような部分はテストされてるからね。となると、脆弱性は普通ではやらないような部分とかに残ってる。
自分が利用してるor利用しようと思ったWEBサービスに、致命的な脆弱性があると嫌なので、そういう部分を軽く調べてみたりする。
で脆弱性が... 続きを読む

クリップへ追加する

Six Apart - Movable Type News: Movable Type 3.34日本語版の提供を開始

tsupo — 2007-01-23T09:28:38Z

Movable Type 4 Publishing Platform パートナーサイトマップお問い合わせsix apart ホーム機能・特徴ご購入方法関連コンテンツ導入事例よくある質問・お問い合わせMovable Type News前のページへメイン次のページへ2007年01月22日Movable Type 3.34日本語版の提供を開始Movable Typeユーザーの皆様本日より、Movable Type 3.34日本語版 (以下3.34-ja) の提供を開始いたします。3.34-jaの主な修正点は、3.33以降に発見されたセキュリティ上の不具合への対策と、FastCGIサポートの向上です。マニュアルに沿ってインストール（アップグレード）をしていただきますようにお願い致します。最新版は以下より入手ください。有償ライセンスhttps://mtuser.sixapart.jp/個人無償ライセンスhttp://www.sixapart.jp/movabletype/mt3/license.html#personal3.34-jaは、以下の方法で確認していただくことができます。ダウンロードしたファイルを解凍すると、... 続きを読む

クリップへ追加する

Kazuho@Cybozu Labs: E4X-XSS 脆弱性について

tsupo — 2007-01-12T16:22:17Z

Kazuho@Cybozu Labs奥一穂のお仕事ブログ (日本語 | English)« 安全な JSON, 危険な JSON (Cross-site Including?) |メイン| JSONP - データ提供者側のセキュリティについて »2007年01月10日E4X-XSS 脆弱性について　Firefox でサポートされている JavaScript 拡張 E4X (ECMA-357) では、JavaScript 内に XML とほぼ同様のマークアップ言語を記述できるようになっています。しかし、マークアップ言語の解釈にはいくつかの違いがあり、この点をついたクロスサイトスクリプティングの可能性が (相当に小さいものの) 存在します。攻撃者は、ウェブアプリケーションに E4X として解釈した場合に実行コードとして解釈されるコードを注入 (XSS) し、1 のコンテンツを

tsupoさんのタグ「脆弱性」についてのクリップ一覧｜@nifty クリップ

asahi.com（朝日新聞社）：他人も出せる郵便「転居届」 便利さの陰で転送被害多発 - 社会

プラグイン脆弱性問題に決め手はあるのか － ＠IT

mixiアプリ「サンシャイン牧場」、課金ユーザーの個人情報が閲覧可能な状態に:ニュース - CNET Japan

「わざと脆弱性を持たせたWebアプリ」で練習を － ＠IT

ECアプリケーション「Zen Cart」に関する注意喚起 | LAC

アドビ、「Adobe Reader」と「Acrobat」のパッチを公開--28件の脆弱性を修復:ニュース - CNET Japan

SQLインジェクション攻撃を仕掛けるウイルス再び、Webサイトを改ざん - ニュース：ITpro

「はてなブックマーク モバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど

Windows VistaおよびServer 2008にDoS攻撃を受ける脆弱性 - セキュリティ - ZDNet Japan

「yoyaku_v41」に新たなOSコマンドインジェクションの脆弱性 - セキュリティ - ZDNet Japan

Q.E.D.――セキュリティ問題を解決するのは「人」 − ＠IT

TCP/IP プロトコルに脆弱性―JPCERT/CC が注意喚起 - japan.internet.com Webテクノロジー

Windows、「Teardrop攻撃」にさらされる - Zero Day - ZDNet Japan

IPA、「OpenSSL」の旧版を利用しているWebサイトに注意喚起 -INTERNET Watch

マイクロソフト、IISの新たな脆弱性を調査中:ニュース - CNET Japan

ウェブユーザーの約8割が、脆弱性のあるバージョンのFlash・Acrobatを利用 - Zero Day - ZDNet Japan

グーグル、「Google Chrome」で深刻な脆弱性を修正:ニュース - CNET Japan

全文検索システム「Namazu」、最新版未適用サイトにIPA注意喚起 -INTERNET Watch

他人のカード番号を計算で割り出す「クレジットマスター」初摘発 -INTERNET Watch

ブログシステム「Movable Type」に複数の脆弱性:ニュース - CNET Japan

スクリプト言語「Ruby」にDoS攻撃を受ける脆弱性:ニュース - CNET Japan

Movable Typeにクロスサイトスクリプティングの脆弱性:ニュース - CNET Japan

Poken/セキュリティ上のご注意 - オートログインはoff、でね。 - tech tech okdt

アドビ、「Flash」脆弱性に対処:ニュース - CNET Japan

Excelに新たなゼロデイ攻撃 - Zero Day - ZDNet Japan

「高機能アクセス解析CGI」にアクセス解析結果を閲覧される脆弱性:ニュース - CNET Japan

新たな「PDFウイルス」出現、ほとんどの対策ソフトが検出できず：ITpro

Adobeがクリックジャッキング問題に対処 - Zero Day - ZDNet Japan

『Flash』にも影響を与える「クリックジャッキング」の脅威 - japan.internet.com Webテクノロジー

ECサイト構築システム「EC-CUBE」に脆弱性、SQLインジェクション攻撃に注意:ニュース - CNET Japan

「Google Chrome」のセキュリティパッチ、詳細が明らかに :ニュース - CNET Japan

コード実行の恐れ：Google Chromeのアップデートがリリース、脆弱性に対処のもよう - ITmedia エンタープライズ

ブラウザ攻撃の94％は脆弱性公開後24時間以内に発生 − ＠IT

WebLogicに深刻なぜい弱性、認証なしでファイルを見られる恐れ：ITpro

【ハウツー】 Googleの脆弱性発見ツール「ratproxy」

ethna.jpやjp2.php.netに発生したトラブルについて - maru.cc@はてな

マイクロソフト セキュリティ アドバイザリ (953818): Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威

Flashのセキュリティ脆弱性を突く攻撃を確認--米セキュリティ調査機関が警告:ニュース - CNET Japan

Vista、未公開のFlash脆弱性で陥落--Pwn to Ownコンテストで:ニュース - CNET Japan

IPA、脆弱性関連情報の「届出システム」を刷新--利用者の声もとにフォームを改善:ニュース - CNET Japan

グーグルを脆弱性スキャナにする新ツール ― ＠IT

ここが危ない！Web2.0のセキュリティ：第10回 RSSのセキュリティ｜gihyo.jp

第6回 意外に知られていないブラインドSQLインジェクション｜gihyo.jp

ぼくはまちちゃん！(Hatena) - 安全なWebサイト利用の鉄則

I know. 開発日誌、 » XSS 脆弱性に関するお知らせ。

総務省・経産省配布のボット対策ツールに脆弱性 − ＠IT

脆弱性の発見と報告とIPA

Six Apart - Movable Type News: Movable Type 3.34日本語版の提供を開始

Kazuho@Cybozu Labs: E4X-XSS 脆弱性について

asahi.com（朝日新聞社）：他人も出せる郵便「転居届」　便利さの陰で転送被害多発 - 社会

プラグイン脆弱性問題に決め手はあるのか－＠IT

「わざと脆弱性を持たせたWebアプリ」で練習を－＠IT

「はてなブックマークモバイル版」の脆弱性を利用した不正アクセスに関するご報告 - はてなブックマーク日記 - 機能変更、お知らせなど

マイクロソフトセキュリティアドバイザリ (953818): Apple 製 Safari が Windows プラットフォーム上で使用された場合の複合的な脅威

第6回　意外に知られていないブラインドSQLインジェクション｜gihyo.jp