タグ「徳丸浩」 - はてブログ

タグ徳丸浩

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 293件)

SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

2015/01/22 1280 users SQLインジェクション対策判決 Privacy 北大責任

2015年1月22日木曜日 SQLインジェクション対策もれの責任を開発会社に問う判決 1月13日に、北大の町村教授による興味深いブログ記事が発表されました。 privacy:個人情報漏洩で脆弱なシステムの責任をソフトメーカーに問う事例この記事によると、SQLインジェクション脆弱性が原因でクレジットカード情報が漏洩した事件につき、ショップ側が開発会社を相手取り損害賠償請求の裁判を起こし、ショップ側... 続きを読む

徳丸浩の日記: 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

2014/03/04 1203 users バリデーション perl ワナ Ruby PHP

正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。はじめに大垣さんのブログエントリ「P... 続きを読む

正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう | 徳丸浩の日記

2014/03/04 1203 users バリデーション perl ワナ Ruby PHP

2014年3月4日火曜日正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではあり... 続きを読む

ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記

2013/09/02 970 users ロリポップシンボリックリンク攻撃脅威レンタルサーバー

2013年9月2日月曜日ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッシ... 続きを読む

徳丸浩の日記: ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

2013/09/02 969 users ロリポップシンボリックリンク攻撃脅威レンタルサーバー

既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改... 続きを読む

ECサイトからクレジットカード情報を盗み出す新たな手口 | 徳丸浩の日記

2018/10/15 941 users 手口漏洩ガイドライン従来改正割賦販売法

エグゼクティブサマリ聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。はじめに今年... 続きを読む

もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記

2011/08/22 856 users 拙著 ockeghem 徳丸本セキュリティ脆弱性

たにぐちまことさんの書かれた『よくわかるPHPの教科書（以下、「よくわかる」）』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ安全なWebアプリケーションの作り方（以下、徳丸本）」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。4.2 入力処理とセキュリティ　「よくわかる... 続きを読む

間違いだらけの「かんたんログイン」実装法（1/3） − ＠IT

2011/03/01 827 users 間違いだらけかんたんログイン実装法性善説あるべき姿

第2回間違いだらけの「かんたんログイン」実装法京セラコミュニケーションシステム株式会社ネットワークサービス事業本部技術顧問徳丸浩 2011/3/1“特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのあるべき姿... 続きを読む

徳丸浩の日記: 嵐のコンサートがあるとダブルブッキングしてしまうホテル予約システムを作ってみた

2015/05/07 823 users 仙台市泉区ホテルルートイン仙台泉インタートラブルライブ

今年の5月1日に、仙台市内のホテルで多重予約のトラブルが発生したと報道されています。部屋数２０３室の仙台市のビジネスホテルで、９月１８～２３日の宿泊予約を数千件受け付けるトラブルがあった。アイドルグループ「嵐」のライブが宮城県内で開催される期間だった。インターネットでの申し込みが殺到し、システム障害が起きたとみられるという。トラブルがあったのは、仙台市泉区の「ホテルルートイン仙台泉インター」。... 続きを読む

嵐のコンサートがあるとダブルブッキングしてしまうホテル予約システムを作ってみた | 徳丸浩の日記

2015/05/06 823 users シスコンサートトラブルライブアイドルグループ

2015年5月7日木曜日嵐のコンサートがあるとダブルブッキングしてしまうホテル予約システムを作ってみた今年の5月1日に、仙台市内のホテルで多重予約のトラブルが発生したと報道されています。部屋数２０３室の仙台市のビジネスホテルで、９月１８～２３日の宿泊予約を数千件受け付けるトラブルがあった。アイドルグループ「嵐」のライブが宮城県内で開催される期間だった。インターネットでの申し込みが殺到し、シス... 続きを読む

本当は怖いパスワードの話ハッシュとソルト、ストレッチングを正しく理解する（1/4）－＠IT

2011/10/06 809 users ストレッチングソルトハッシュ手法技術顧問

ハッシュとソルト、ストレッチングを正しく理解する本当は怖いパスワードの話京セラコミュニケーションシステム株式会社ネットワークサービス事業本部技術顧問徳丸浩 2011/10/6 「パスワードはハッシュで保存すれば安全」と思われていますが、本当にそれだけで大丈夫なのでしょうか？　この記事では、パスワードを安全に守るソルトやストレッチングといった手法について解説します（編集部） PSN侵入の件... 続きを読む

安全なWebアプリケーションの作り方改訂のお知らせ | 徳丸浩の日記

2018/03/06 742 users xxE デシリアライゼーション Webアプリケーション日記

徳丸本こと、「体系的に学ぶ安全なWebアプリケーションの作り方」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、... 続きを読む

HTTPSを使ってもCookieの改変は防げないことを実験で試してみた | 徳丸浩の日記

2013/09/30 719 users https 盗聴エントリ改変 SSL

2013年9月30日月曜日 HTTPSを使ってもCookieの改変は防げないことを実験で試してみた寺田さんのブログエントリ「他人のCookieを操作する」には、通信路上の攻撃者がいる場合は、SSLを使っても、Cookieの盗聴を防ぐことはできるが、Cookieの改変を防ぐことはできないと指摘されています。いかにも寺田さんらしい簡にして要を得たエントリで、これに付け加えることはあまりないのですが、... 続きを読む

安全なPHPアプリケーションの作り方2014

2014/10/11 716 users PHPアプリケーション KCCS 作り方転籍出向

安全なPHPアプリケーションの作り方2014 Presentation Transcript 1. 安全なPHPアプリケーションの作り方2014 2014年10月11日徳丸浩 2. 徳丸浩の自己紹介 • 経歴 – 1985年京セラ株式会社入社 – 1995年京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年KCCS退職、HASHコンサルティング株式会社設立 • 経験... 続きを読む

Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる | 徳丸浩の日記

2012/08/10 697 users 盗聴 Twitter SSL通信履歴エントリ

2012年8月10日金曜日 Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴（SSL含む）が平文で送信され、盗聴可能な状態になります。導入 Tポイントツールバーの導... 続きを読む

徳丸浩の日記: Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる

2012/08/10 695 users 盗聴 Twitter SSL通信履歴エントリ

twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴（SSL含む）が平文で送信され、盗聴可能な状態になります。 Tポイントツールバーの導入は以下の手順です。 T-IDの登録（アカウント作成）ツールバーのダウンロードツールバーの導入詳しく... 続きを読む

徳丸浩の日記: WordPress 4.7.1 の権限昇格脆弱性について検証した

2017/02/05 610 users 権限昇格脆弱性日記

エグゼクティブサマリ WordPress 4.7と4.7.1のREST APIに、認証を回避してコンテンツを書き換えられる脆弱性が存在する。攻撃は極めて容易で、その影響は任意コンテンツの書き換えであるため、重大な結果を及ぼす。対策はWordPressの最新版にバージョンアップすることである。本稿では、脆弱性混入の原因について報告する。はじめに WordPress本体に久しぶりに重大な脆弱性が見... 続きを読む

WordPress 4.7.1 の権限昇格脆弱性について検証した | 徳丸浩の日記

2017/02/05 610 users 権限昇格脆弱性日記

徳丸浩の日記: パスワード攻撃に対抗するWebサイト側セキュリティ強化策

2013/05/07 593 users パスワード攻撃 Webサイト側セキュリティ強化策日記

Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト（プレスリリース） goo（プレスリリース）フレッツ光メンバーズクラブ（プレスリリース） eBook Japan（プレスリリース） My JR-EAST（プレスリリース）これらの事例のうちいくつか（あるいは全て）は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃（後述）」であると考え... 続きを読む

パスワード攻撃に対抗するWebサイト側セキュリティ強化策 | 徳丸浩の日記

2013/05/07 593 users フレッツ光メンバーズクラブ goo 脅威プレスリリース攻撃

2013年5月7日火曜日パスワード攻撃に対抗するWebサイト側セキュリティ強化策 Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト（プレスリリース） goo（プレスリリース）フレッツ光メンバーズクラブ（プレスリリース） eBook Japan（プレスリリース） My JR-EAST（プレスリリース）これらの事例のうちいくつか（あるいは全て）は、別のサイトで... 続きを読む

パスワードの定期的変更について徳丸さんに聞いてみた(1) | 徳丸浩の日記

2013/08/05 590 users 徳丸徳丸さんパスワード根拠高橋

2013年8月5日月曜日パスワードの定期的変更について徳丸さんに聞いてみた(1) 高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。徳丸: 徳丸です。よろしくお願いします。高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大き... 続きを読む

セキュリティの都市伝説を暴く

2017/06/09 573 users セキュリティ都市伝説 autocomplete アジェンダ

セキュリティの都市伝説を暴く 1. セキュリティ対策の都市伝説を暴く EGセキュアソリューションズ株式会社徳丸浩 2. アジェンダ • セキュリティの都市伝説とは • セキュリティの都市伝説さまざま – パスワードのマスク表示 – IDまたはパスワードが違います – パスワードの有効期間 – autocompleteの停止 – 戻るボタンの問題 • まとめ 2 3. 徳丸浩の自己紹介 • 経歴... 続きを読む

SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記

2018/12/05 565 users SSRF GCE 徹底入門 SSRF脆弱性 AWS CLI

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254についてSSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例SSRFを利用したメール送信ドメインの乗っ取り「CODE BLUE 2018」参加レポー... 続きを読む

ウェブアプリケーションセキュリティ超入門 | Slideshare

2017/09/18 529 users SlideShare KCCS 徳丸転籍出向

ウェブアプリケーションセキュリティ超入門 1. ウェブアプリケーションセキュリティ超入門 EG セキュアソリューションズ徳丸浩 2. 徳丸浩の自己紹介 • 経歴 – 1985年京セラ株式会社入社 – 1995年京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計... 続きを読む

実は厄介、ケータイWebのセッション管理（1/3） − ＠IT

2011/05/26 523 users 厄介性善説ケータイWeb セッション管理セキュリティ

第3回実は厄介、ケータイWebのセッション管理京セラコミュニケーションシステム株式会社ネットワークサービス事業本部技術顧問徳丸浩 2011/5/26 “特殊だ”と形容されることの多い日本の携帯電話向けWebサイト。そこには、さまざまな思い込みや性善説の上しか成り立たないセキュリティが横行しています。本連載は、ケータイWebの特殊性をていねいに解説し、正しいケータイWebセキュリティのある... 続きを読む

(1 - 25 / 293件)

次の25件 »