Greasemonkey - Mozilla Firefox まとめサイト

2005/07/20 3925 users Greasemonkey セキ ファイル 古いバージョン 編集

Greasemonkey 編集 古いバージョンをお使いの方へ 編集 Greasemonkeyに任意のファイルを読まれてしまう脆弱性があることが公表されています。 バージョン0.3.5以前のGreasemonkeyをお使いの方は、開発元から、最新のバージョンにアップデートしてください（拡張マネージャからの更新でもアップデートできます） 現在(2007/08/14)では,最新のバージョンにおいてもセキ... 続きを読む

徳丸浩の日記: 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう

2014/03/04 1203 users バリデーション perl ワナ 徳丸浩 Ruby

正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではありませんが不具合が生じるので \A と \z を使うようにしましょう。 はじめに 大垣さんのブログエントリ「P... 続きを読む

正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう | 徳丸浩の日記

2014/03/04 1203 users バリデーション perl ワナ 徳丸浩 Ruby

2014年3月4日火曜日 正規表現によるバリデーションでは ^ と $ ではなく \A と \z を使おう 正規表現によるバリデーション等で、完全一致を示す目的で ^ と $ を用いる方法が一般的ですが、正しくは \A と \z を用いる必要があります。Rubyの場合 ^ と $ を使って完全一致のバリデーションを行うと脆弱性が入りやすいワナとなります。PerlやPHPの場合は、Ruby程ではあり... 続きを読む

Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net

2018/01/05 1171 users ゲーマー CPU 捧ぐ net meltdown

Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ ライター：米田 聡 一般メディアにもニュースとして取り上げられたので，2017年末からにわかに騒がれだした「CPUの脆弱性」については，4Gamer読者も多くが聞き及んでいるだろう。海外では，「 Spectre 」（スペクター）や「 Meltdown 」（メルトダウン）といったおどろおどろしい名前が... 続きを読む

PHP/脆弱性リスト/メモ - yohgaki's wiki

2008/06/07 1152 users PHP メモ リモートファイル プログラマ プログラム

PHP/脆弱性リスト 「修正できない（されない）脆弱性」「修正されていない脆弱性」プログラムの脆弱性原因などを記載したページです。ベストプラクティス的な項目も含めています。これらの仕様自体が問題とは言えないまでもセキュリティ上の問題の原因(アタックベクタの一部)となり得る仕様はプログラマと知っておくべきなので掲載しています。register_globals=onの場合にリモートファイルのインクルー... 続きを読む

WiresharkでSSL通信の中身を覗いてみる - ろば電子が詰まっている

2014/04/13 1044 users Wireshark 落ち穂 ろば電子 OpenSSL 中身

OpenSSLの脆弱性「Heartbleed」が世間を賑わせていますが、色々と乗り遅れてしまった感があるので、ゆるゆると落ち穂拾いをしようかと思います。Heartbleedで秘密鍵を手に入れたらSSL通信の中身全部見えちゃうじゃん!! という事態になっていますが、なんとなく理論的にそうだろうなと分かるもののイマイチ具体的な手順が分からない。というわけで今回のテーマとして、手元にサーバの秘密鍵と、S... 続きを読む

深刻な脆弱性が見つかったInternet Explorer（IE6～11）を巡り全国各地の社内がコントでカオス : 市況かぶ全力２階建

2014/04/30 1026 users カオス コント 市況かぶ全力２階建 IE6 全国各地

【米安全保障省 ＩＥはハッカー攻撃にぜい弱】米国土安全保障省は、マイクロソフト社のインターネット・エクスプローラーについて、ハッカー攻撃にさらされる可能性があると指摘し、必要な対策が取られるまでは別のソフトを使うよう呼びかけました。http://t.co/QAJk9QSPiO— NHK科学文化部 (@nhk_kabun) 2014, 4月 29 午前中まとめ 情シス「IEを一時的に使用禁止」 皆「... 続きを読む

ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 | 徳丸浩の日記

2013/09/02 970 users ロリポップ 徳丸浩 シンボリックリンク攻撃 脅威 改ざん攻撃

2013年9月2日月曜日 ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策 既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッシ... 続きを読む

徳丸浩の日記: ロリポップのサイト改ざん事件に学ぶシンボリックリンク攻撃の脅威と対策

2013/09/02 969 users ロリポップ 徳丸浩 シンボリックリンク攻撃 脅威 改ざん攻撃

既に報道されているように、ロリポップ！レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改... 続きを読む

あなたのサーバは本当に安全ですか？今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita

2016/04/29 931 users Qiita CVE サーバ イケ 悪魔

はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわから... 続きを読む

OpenSSLの脆弱性で想定されるリスク - めもおきば

2014/04/10 913 users Ope おきば OpenSSL JPCERT JVN

JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今回の脆弱性の内容いわゆる「SSL通信」と呼ばれる暗号化通信は、実際にはSSL 3.0とより新しいTLS 1.0〜1.2（互換性のためプロトコル上の番号は3.1〜3.3）というプロトコルで定義されています。これらを使うために、様々なソフトウェアが利用している共通ライブラリが Ope... 続きを読む

Webアプリケーションを作る前に知るべき10の脆弱性 ― ＠IT

2007/06/13 883 users Webアプリケーション

セキュリティ動向チェック Security&Trustウォッチ（47） Webアプリケーションを作る前に知るべき 10の脆弱性 上野宣 2007/6/13 Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプ... 続きを読む

60万台以上が感染しているトロイの木馬「Flashback」に感染しているか調べる方法 | Macの手書き説明書

2012/04/06 874 users Flashback インストーラー トロイ 木馬 Java

Flashbackとは何かFlashbackとは、Flashプレーヤーのインストーラーに見せかけて自身をインストールさせ、個人情報を盗むことから命名されたトロイの木馬です。初期のFlashbackはユーザーのインストール操作が必要で気を付けていれば感染が防げる物でしたが、最近ではJavaの脆弱性を利用してクリックのみで感染するようになり、英語圏で被害が拡大しています。Flashbackに感染してい... 続きを読む

もし『よくわかるPHPの教科書』の著者が徳丸浩の『安全なWebアプリケーションの作り方』を読んだら - ockeghem(徳丸浩)の日記

2011/08/22 856 users 拙著 ockeghem 徳丸本 セキュリティ 徳丸浩

たにぐちまことさんの書かれた『よくわかるPHPの教科書（以下、「よくわかる」）』を購入してパラパラと見ていたら、セキュリティ上の問題がかなりあることに気がつきました。そこで、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方（以下、徳丸本）」の章・節毎に照らし合わせて、「よくわかる」の脆弱性について報告します。主に、徳丸本の4章と5章を参照します。4.2 入力処理とセキュリティ　「よくわかる... 続きを読む

PHPでのセキュリティ対策についてのメモ - Liner Note

2008/10/26 832 users Liner Note 未知 事象 PHP 前々

PHPでのセキュリティ施策については前々からいささかながら気を払っていました。ただ、本を読んで体系だって勉強したわけではないので、調べてまとめたことを晒しておいて、みなさんのご指摘をいただこうかと思います。 以下の内容が正しいとは限らないこと、かつ、対策を実行しても未知の事象で脆弱性が生じうる可能性があることをご了承の上、お読みください。より詳細な内容を得たい場合は参考リンク先の文書を辿ってみてく... 続きを読む

Wi-Fiを暗号化するWPA2に脆弱性発見 ～対応のあらゆる機器が影響 - PC Watch

2017/10/16 800 users Wi-Fi WPA2 機器 脆弱性発見 PC Watch

講演の予告 　Wi-Fiの暗号化に使われるWPA2プロトコルに脆弱性があり、攻撃を受ける可能性があることが明らかとなった。12月4日～7日にイギリス・ロンドンで開かれるセキュリティイベント「black hat Europe 2017」で、博士研究員のMathy Vanhoef氏が、この件に関する詳細を解説する。 　これによれば、WPA2セキュリティプロトコルにキー管理に関するいくつかの脆弱性があり... 続きを読む

高木浩光＠自宅の日記 - 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ

2016/03/14 793 users 治外法権 JRE eLTAX 高木浩光 インス

■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという *1 。その原因は今更言うまでもなく、Java実行環境（JRE）やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインス... 続きを読む

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

2017/05/13 774 users piyolog セキュリティベンダ CSIRT NSA 各国

2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry 2.0等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、Wi... 続きを読む

狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN

2019/07/15 750 users 全貌 遮断 張り紙 掲出 窃盗容疑

7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影：7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくな... 続きを読む

ウェブセキュリティの最近の話題早分かり

2017/07/01 738 users ウェブセキュリティ WebDav アジェンダ 徳丸 API

ウェブセキュリティの最近の話題早分かり 1. ウェブセキュリティの最近の話題早分かり EGセキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAV... 続きを読む

CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog

2018/01/04 737 users piyolog SPECTRE meltdown CPU 名称

2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre ( またはこちら ) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre ... 続きを読む

ウェブセキュリティの最近の話題早分かり

2017/07/01 734 users ウェブセキュリティ WebDav アジェンダ 徳丸 API

ウェブセキュリティの最近の話題早分かり 1. ウェブセキュリティの最近の話題早分かり EGセキュアソリューションズ株式会社 徳丸 浩 2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAV... 続きを読む

Webアプリにおける11の脆弱性の常識と対策 (1/4) - ＠IT

2009/09/01 731 users 常識 Webアプリ 対策 JSP ASP.NET

株式会社メセナ・ネットコム 山中 秀樹 2009/9/1 本連載は、JSP／サーブレット＋StrutsのWebアプリケーション開発を通じて、Java言語以外（PHPやASP.NET、Ruby on Railsなど）の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 切っても切れない？ Webアプリケーションと脆弱性 ■ ＠IT PR：勉強会のお知らせ 「Java... 続きを読む

本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性

2016/07/17 715 users Microsoft Google 電話番号

セキュリティ研究者が、とても興味深い脆弱性を報告して報奨金をもらった記事が上がっている。 How I Could Steal Money from Instagram, Google and Microsoft – Arne Swinnen's Security Blog プレミアムナンバーという電話上のサービスがある。これは一時期日本で行われていたダイヤルQ2と同等の仕組みを持つサービスで、プレ... 続きを読む

いまさらブログ: Androidの脆弱性を見つけちゃった話

2013/12/18 702 users Android IPA Java Chrome ブログ

JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを... 続きを読む