セキュリティ

SaaS型 WAFサービス Scutum(スキュータム)が気になる

ビットフォレスト社が開発、セキュアスカイ・テクノロジー社が提供のWAFサービスがあるみたいです! WAF 【Scutum】スキュータム - SaaS型Webアプリケーションファイアウォール 世界初のSaaS型WAF! いろんな意味で気になります。・・・今年のはじめぐらいか…

SQLインジェクション→XSS→情報を取るという攻撃が流行っているらしい

最近の出来事です。変な文字列のリクエストが1件来ていてびっくりしました。 調べてみると、どうやら↓このへんに書かれている攻撃コードみたいです。【参考】 そのとき日本で何が起きたのか?−3月のWeb改ざん事例をラックが説明 404エラーページ | 株式会社…

XSSって相当危険だよね?・・・で、どれだけ危険なの?

MLで紹介されていた記事が良かったので、紹介。 世間の認識と脅威レベルのギャップ――XSSは本当に危ないか? − @IT いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか? XSSだけでなく、他の脆弱性に関しても疑問に思うことです。 (S…

危険なエラーTOP25

Webアプリのセキュリティに影響を与えるプログラミングエラーTOP25というものが公開されていました。 ニュース - セキュリティ専門家,最も危険なプログラミング・エラーのトップ25を発表:ITpro CWE - 2011 CWE/SANS Top 25 Most Dangerous Software Errors…

予告inにXSSの脆弱性があったらしい

なんていうか、今更感がありますが。。。今発見したので、取り上げます。 【トレビアン】予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」(トレビアンニュース) - livedoor ニュース 予告inにおけるXSS脆弱性、及び被害の概要について - 予…

マイクロソフトの子供向けセキュリティサイト

存在を初めて知りましたが・・・リニューアルしたそうです。 マイクロソフトは2008年8月4日、小学生やその保護者および教師向けのセキュリティサイト「インターネット安全教室」をリニューアルした

闇取引される個人情報が値崩れ

値崩れするほど流出してるんですねぇ。。。 参考: アンダーグラウンドでやり取りされる個人情報の価格が、ここ最近大きく下がっているという。前述のフルセットであっても、1件当たり1ドル(同社の記事では、「10件当たり10ドル」と記載している)。これは…

フリーで使えるセキュリティスキャナツールっていろいろあるんですね。

RatProxyが気になっているので、後でいじる予定です。 でも他にもいろいろ気になるものが出てきました。 参考:フリーで使えるセキュリティスキャナ・ツールまとめ : アシアルブログ 今のところ、気になるのは プロキシ型(RatProxy) コマンドライン型(Wap…

あとで読むリスト

これ 脆弱性情報を統計的にまとめたレポートを発表(ラック) | ScanNetSecurity (経済社会、業界動向のニュース) あと、これ SQLインジェクション・ワームに関するレポートを発表(NTTデータ・セキュリティ) | ScanNetSecurity (経済社会、業界動向のニュ…

XSSの対処はこれだけと思わないように注意です。

ITProの記事は、毎日のようにつまみ食いしているわけですが、ちょっと気になった記事があったので紹介します。 参考:Apacheサーバー構築法 - 第13回 クロスサイト・スクリプティングに対処する:ITpro まずは、ざっと読んでみてください。 どうでしょうか?…

SQLインジェクション攻撃をされていないかを検索するツール

無償ですね。後でちょっと試してみたい。 記事:ニュース - 「SQLインジェクション攻撃をログから検出」、IPAが無償ツールを公開:ITpro

個人情報100MBの取引価格

気になる記事がありました。 記事: 闇市場で取引 個人情報入りデータ100Mバイトは約1万円 - ITmedia エンタープライズ 「整理されていないデータであれば、取引額は100Mバイトの容量で約1万円」(ジーデータ・ウイルスラボのラルフ・ベンツミュラー氏)。 …

最近、XSS Challengeにはまっています。

CSRFのMLを見ていたら、「XSSの練習問題作りました」というメールが来ていたので・・・はまってます。 練習問題:XSS Challenges (by yamagata21) - Stage #1 意外と気づけばさくさくいけるのですが、#14でかなりつまづきました。 調べれば、これのことだと…

こんにちはこんにちは!のはまちちゃんとIT戦士の方の対談

どちらも、「おお!凄い!!」という発見を見せてくれる方ですね。 前・中・後を一気に読みました!(笑) 参考:小飼弾のアルファギークに逢いたい♥:#6 IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(前編) JavaScriptのイケてないところ|gihyo…

82点でした。

トレンドマイクロのセキュリティ検定なるものが、ITProに載せてあったのでやってみました。 参考:ITpro EXPO検定---ITpro EXPO 2008 - トレンドマイクロのセキュリティ検定:ITpro セキュリティ犯罪は,どんどん複雑で巧妙化するばかりか,脅迫など,より凶…

XSP!?

「クロスサイト・プリンティング」攻撃というものが成功したそうです。 参考:Webサイトからネットワーク・プリンタに強制印刷させる「クロスサイト・プリンティング」攻撃:ITpro Cross Site Printingで細工されたWebサイトにアクセスすると,パソコンを接…

Webアプリケーションのセキュリティホールを早期に発見する方法

気になったので、視聴してます。 なかなか聞きやすいです。 参考: ホワイトペーパー:Webアプリケーションのセキュリティホールを早期に発見する方法 - ITmedia エンタープライズ衝撃的だったのは、これです。 64%の開発者はセキュアなアプリケーションを書…

ウイルススキャンサービスの「暗黒面」

なるほどねぇ・・・と思ってしまいました。 参考: ウイルススキャンサービスの「暗黒面」 - ITmedia エンタープライズ こうしたサービスはユーザーを助けるだけでなく、新しいマルウェアが主要ウイルス対策ソフトをうまくかわせるかどうかチェックする目的…

インターネット犯罪のブラック・マーケットを理解する

役に立つかもしれないので、あとで読みます。 でも、原文はきっついなぁ・・・ 参考:ITpro Security - インターネット犯罪のブラック・マーケットを理解する:ITpro この論文は,インターネット上で繰り広げられる犯罪の支援活動を“商売”にしている大規模な…

原理から学ぶネットワーク・セキュリティ

おお。こんな連載やってたのですね。 原理から学ぶネットワーク・セキュリティ - 原理から学ぶネットワーク・セキュリティ---目次:ITpro あとで読みます。

EZwebブラウザの「お気に入り登録」で登録できるのは、そのページのURLとは限らない

僕はずっと、その方法でURLを確認するものだと思っていました。 参考:高木浩光@自宅の日記「EZwebブラウザの「お気に入り登録」は偽サイトを見分ける手段にならない」 auの「よくあるご質問/お問い合わせ」に、↓こんなページがあるようです。 質問: EZweb…

楽天、コンピュータ関連事故の対応組織を新設

楽天は、情報セキュリティ対策強化の一環として、開発・編成統括本部内にコンピュータ関連事故に対応する組織「CSIRT(Computer Security Incident Response Team)」を新設したと発表した。 同社は、インターネット犯罪が起こらないような体制を整え、サー…

カナダのパスポート申請情報、単純なURL書き換えで丸見えに

ラニング氏はブラウザのURLのうち1文字を「M」から「L」に書き換えただけだった。パスポート申請者の社会保障番号、生年月日、運転免許証番号、住所などのデータを閲覧できることに気づいたという。 そんな簡単に見えるような作りになってるんですか!! ト…

SQL Injectionツールって、けっこうたくさんあるんですね。

後でいろいろ見てみようと思います。 他の人が使えなくとも、僕が使いやすいものがあればいいなぁ・・・ 参考:T.Teradaの日記:SQL Injectionツール

従来の闇ビジネスより割がいい? サイバー犯罪の実態

確かに、攻撃しやすいのはクライアント側になってます。それも、人の心理をついたものが多いですね。 Webアプリの弱点を突かれることもあるので、アプリセキュリティ担当者としては、心理面もチェックしなければいけません。 「ここが弱いですよ」と知らせる…