高木浩光＠自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない

2007/05/12 209 users IPA 高木浩光 脅威 リダイレクト先 脆弱性

■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト（複数）は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDと... 続きを読む

ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳

2007/04/06 492 users PASS 手口 YouTube ネタ帳 エントリ

ネタ帳は、売れない、人が来ないホームページにならない為の、インターネットの知識とブログネタに使えるエントリを書いています。 これはひっかかった・・・ 先日、WEBセキュリティの会社に勤める友人と会った。 私のブログを結構見ているという話から盛り上がり、最近ウィルスってどうなの？何に気をつけたらいい？と聞いてみたんです。 彼の話は面白い話でいっぱいだった。 例えばYouTubeの上のような画像。 こ... 続きを読む