タグ セキュリティ上
新着順 5 users 50 users 100 users 500 users 1000 usersPHP/脆弱性リスト/メモ - yohgaki's wiki
PHP/脆弱性リスト 「修正できない(されない)脆弱性」「修正されていない脆弱性」プログラムの脆弱性原因などを記載したページです。ベストプラクティス的な項目も含めています。これらの仕様自体が問題とは言えないまでもセキュリティ上の問題の原因(アタックベクタの一部)となり得る仕様はプログラマと知っておくべきなので掲載しています。register_globals=onの場合にリモートファイルのインクルー... 続きを読む
もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記
たにぐちまことさんの書かれた『よくわかるPHPの教科書(以下、「よくわかる」)』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方(以下、徳丸本)」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。4.2 入力処理とセキュリティ 「よくわかる... 続きを読む
エストニアのデジタル国家ソリューションのすべてのソースコードが公開されます - 日本・エストニアEUデジタルソサエティ推進協議会
エストニアの経済通信省と国家情報システム局が提供する「電子政府コードリポジトリ」により、将来的には、セキュリティ上の理由から特に要求されない限り、エストニアのデジタル国家ソリューションのすべてのソースコードが公開され、誰でも使用できるようになると。 Estonia creates a public code repository for e-g... 続きを読む
WPA2の脆弱性「パッチで対応可能」 Wi-Fi標準化団体が見解 - ITmedia NEWS
「WPA2」の脆弱性は、ソフトウェアアップデートで解決できる――Wi-Fiの規格標準化団体が見解を発表。 Wi-Fiの暗号化技術「WPA2」(Wi-Fi Protected Access II)にセキュリティ上の脆弱性見つかった 問題 で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日(米国時間)、「簡単なソフトウェアアップデートによって解決できる」と 発表 した。既に... 続きを読む
話題の「無線LANケーブル」は実在する (1/2) - ITmedia NEWS
「WPA2」の話題に便乗してTwitterトレンド入りした謎の“無線LANケーブル”。実は似たようなケーブルがあなたの生活を便利にしている。 「無線LANケーブルってなんだ」「ケーブルがあるのか無いのか、どっちなんだ」 ──Wi-Fiで使われている暗号化技術「WPA2」にセキュリティ上の弱点が見つかった 問題 を発端に、ネット上では “無線LANケーブル” と呼ばれる謎のケーブルが話題だ。実在しな... 続きを読む
徳丸浩の日記: ビックカメラ.COMでメールアドレスを間違えて登録したらどこまで悪用されるか検討した
すでに報道のように、ビックカメラの通販サイト「ビックカメラ.com」において、会員IDをメールアドレスにするという改修がなされました。従来は会員がIDを自由につけられる仕様でした。さっそく会員登録してみたところ、会員IDのメールアドレスの入力間違いに際して、安全性の配慮に掛ける仕様だと感じたのでビックカメラのサポートに報告したところ、以下のように「セキュリティ上の問題とは認識していない」との回答で... 続きを読む
Googleへの報告件数は世界2位:脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった - ITmedia エンタープライズ
脆弱性を見つけてセキュリティ対策に貢献しているのが、「バグハンター」と呼ばれる存在だ。Googleなどベンダーの報奨金で生計を立てているという「キヌガワ マサト」さんが、プロのバグハンターとしての“愉しみ”を紹介してくれた。 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部... 続きを読む
Googleへの報告件数は世界2位:脆弱性発見のプロ「キヌガワ マサト」さんは日本人だった - ITmedia エンタープライズ
脆弱性を見つけてセキュリティ対策に貢献しているのが、「バグハンター」と呼ばれる存在だ。Googleなどベンダーの報奨金で生計を立てているという「キヌガワ マサト」さんが、プロのバグハンターとしての“愉しみ”を紹介してくれた。 ソフトウェアのバグや脆弱性は、軽微な不具合からセキュリティ上の深刻な問題を引き起こすものまで、様々なものがある。開発者が幾ら注意しても脆弱性をなくすことは非常に難しいが、外部... 続きを読む
男性器をBluetooth経由でロックできるスマート貞操帯に「攻撃者によってリモートから完全にロックされる脆弱性」が判明 - GIGAZINE
Bluetoothを介してスマートフォンと接続してリモート操作が可能な男性向けのスマート貞操帯に「セキュリティ上の欠陥」が発見され、悪意ある攻撃者がリモートで制御すると、着用したら二度と外れないようにできてしまうことが判明しました。 Smart male chastity lock cock-up | Pen Test Partners https://www.pentestp... 続きを読む
QRコードにセキュリティー上の弱点 不正サイトに誘導も | NHKニュース
電子決済や広告などに広く利用されている「QRコード」に、偽の情報を仕込むことができるセキュリティ上の弱点があることが、神戸大学のグループの研究でわかりました。この弱点を悪用すると、利用者を一定の割合で不正なサイトに誘導することも可能で、グループではセキュリティー対策の強化が必要だとしています。 こ... 続きを読む
社内でも立てられるGitHubクローン「GitLab」 - MOONGIFT|オープンソース・ソフトウェア紹介を軸としたITエンジニア、Webデザイナー向けブログ
GitHubは有料でプライベートリポジトリが持てますが、それでもセキュリティ上の理由でリポジトリを外だしできないケースはあるかと思います。そんなときに使ってみたいのがGitLab、GitHubクローンです。 0 続きを読む
ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - Dマイナー志向
元ネタはこちら。Apache AddHandler madness all over the placeGentoo Bug 538822どういうことか次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.png などもphp5-scriptとして解釈さ... 続きを読む
製品のセキュリティ上の懸念に関する根拠のない報道について - Huawei Japan
Australia - English Belarus - Pусский Brazil - Portuguese Canada - English China - 简体中文 Germany - Deutsch Japan - 日本語 Kazakstan - русский Malaysia - English Mexico - Español Myanmar - ျမန္မာ Russia - русский South Africa - English Spain - Español Switzerland - English Thailand - ภาษาไทย Tu... 続きを読む
EZwebの2011年秋冬モデル以降の変更内容とセキュリティ上の注意点 - ockeghem(徳丸浩)の日記
au/KDDIの技術情報サイトEZfactoryには、2011年秋冬モデル以降にEZwebの仕様変更がある旨表示されています。セキュリティ上の問題の可能性もあるため以下に報告します。EZfactoryトップページでの告知内容 EZfactoryトップページには、2011年秋冬モデルでの変更を以下のように要約しています。※お知らせ※EZブラウザは、2011年秋冬モデルにて、EZサーバを含め、「機能」... 続きを読む
Google先生「予備のメールアドレスは登録しておいたほうがいいよ!」 | 男子ハック
ヘビーユーザーにとってGmailはもはや生活のインフラです。便利なんですが、アカウントを乗っ取られたときのことを考えていますか?セキュリティ上の理由から予備のメールアドレスを登録するようにGoogleが勧めています。 なんで予備のメールアドレスが必要なの? 例えば、最悪のケースを想定すると、Android端末などの盗難にあい、Googleのアカウントのパスワードを変更されてしまったらどうなるでしょ... 続きを読む
Greasemonkeyの共通な落とし穴を避ける - minghaiの日記
Greasemonkeyの過去においてのセキュリティ上の問題の解説。Greasemonkeyだけに限らず、JavaScriptによるユーザ拡張を作成している全ての方に対して一読の価値があるドキュメントだと思われます。原文:O’Reilly Network -- Avoid Common Pitfalls in Greasemonkey Greasemonkeyの共通な落とし穴を避けるGreasem... 続きを読む
また百度(baidu)が日本語入力ソフトの件でやってくれたようです(山本 一郎) - 個人 - Yahoo!ニュース
山本一郎です。やらかしは伝統芸能だと思っております。 ところで、1週間ほど前ですが、IIJがセキュリティ関連の情報ブログにおいて、クラウドを活用した日本語入力ソフト(IME)についてセキュリティ上の懸念があるという記事が掲載されておりました。もっとも、これ自体は少し前から東京某所で捕捉して興味深くモニタリングされていた事案であり、何をいまさらという感が無きにしも非ずでしたが、こういうことを知らずに... 続きを読む
Twitterブログ: 「マウスオーバーの」問題についての全容
概要: 日本時間の9月21日午後6:54に Twitter におけるセキュリティ上の弱点に対する 悪用が30分前より発生していることを確認し、即座に問題の対応にあたりました。日本時間21日午後11時までに問題の主要因を解決し、22日午前1:15にホバーカードに関連した小規模な問題も解決が完了しました。 詳細: 昨日夜に発生したセキュリティ上の弱点を付く悪用は、クロスサイトスクリプティング (XSS... 続きを読む
ドンキWiFiカメラハック(4) セキュリティ上の問題と、Linuxは使用されていなかった! - honeylab's blog
ここまでの調査の結果、以下のような問題がわかりました。 このカメラ、とにかくWiFiにつないでクラウド経由で画像を表示することが目的で、ローカルのセキュリティはポンコツです。 アプリからはメールアドレスとパスワードで紐付けられたユーザしか利用できませんが、 telnetやRTSPはローカルに流れたままのため、この... 続きを読む
「マイナンバー」って何のために始まるの? 担当補佐官の楠正憲氏にメリットを聞いてみた - リクナビNEXTジャーナル
2015 - 12 - 25 「マイナンバー」って何のために始まるの? 担当補佐官の楠正憲氏にメリットを聞いてみた ライフ ピックアップ 「マイナンバー制度」と聞いて、どんなイメージを持っているだろうか。「国に監視されるような気がしてこわい」「セキュリティ上の不安がある」などネガティブな印象を持つひとも少なくないのではないだろうか。 内閣官房社会保障改革担当室で番号制度推進管理補佐官を務める楠正憲... 続きを読む
SPAセキュリティ入門 by 徳丸 浩 | トーク | PHP Conference Japan 2021 #phpcon #phpcon2021 #php - fortee.jp
シングルページアプリケーション(SPA)において、セッションIDやトークンの格納場所はCookieあるいはlocalStorageのいずれが良いのかなど、セキュリティ上の課題がネット上で議論されていますが、残念ながら間違った前提に基づくものが多いようです。このトークでは、SPAのセキュリティを構成する基礎技術を説明した後、... 続きを読む
はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関して - はてなブックマーク開発ブログ
2014-10-18 はてなブックマークボタンを設置した一部サイトに対するセキュリティ警告に関して 10月15日(水)より、はてなブックマークボタンを設置したサイトの一部に対して、はてなブックマークボタンが原因とされるセキュリティ上の警告が、Googleセーフブラウジング等において報告されています。この警告に対して、はてなでも15日より調査を行っておりますが、はてなブックマークボタンの貼り付けコー... 続きを読む
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
第4回 OpenIDをとりまくセキュリティ上の脅威とその対策 山口 徹 サイボウズ・ラボ株式会社 2007/11/20 さまざまなサービスがOpenID対応を打ち出し、注目度は高まる一方です。しかし、セキュリティの観点ではどのような課題があるのでしょうか。第4回では現時点でのOpenIDセキュリティ対策を詳細に解説します(編集部) 前回はConsumerサイトを実際に作る際のプログラミングに関して... 続きを読む
OpenSSLにまた重度の欠陥、修正アップデートは3月19日にリリース:CodeZine
OpenSSLプロジェクトチームは、日本時間の3月17日未明に送信された同コミュニティのメーリングリストにおいて、OpenSSLの修正アップデート1.0.2a, 1.0.1m, 1.0.0r、0.9.8zfをリリースする予定だと発表した。 リリース日は、3月19日(日本時間では3月20日の見込み)。多くのセキュリティ上の欠陥を修正するという。今回修正される欠陥は最高レベルの深刻度であるというので、... 続きを読む
「SQLite」データベースに脆弱性--「Chromium」ベースのブラウザにも影響 - ZDNet Japan
広く普及している「SQLite」データベースエンジンにセキュリティ上の脆弱性が発見された。この脆弱性により、膨大な数のデスクトップアプリやモバイルアプリがリスクにさらされているという。 TencentのBladeセキュリティチームによって発見されたこの脆弱性が悪用された場合、被害者のコンピュータ上において悪意のある... 続きを読む