タグ 認証回避
人気順 10 users 50 users 100 users 500 users 1000 usersパスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
SQLインジェクションによる認証回避 SQLインジェクションによる影響として、情報が漏洩するとか、データが勝手に更新されてしまうなどとともに、認証回避の例がよく紹介されます(私の本でも取り上げています)。 典型的な例は下記のとおりです。 // $id と $password は外部からの入力 $sql = "SELECT * FROM users WHE... 続きを読む
トレンドマイクロ製品に複数の脆弱性 認証回避、DoS攻撃、権限昇格など CVSS最大8.2
IPAは、トレンドマイクロ製品に複数の脆弱性が存在するとして注意喚起した。悪用が確認されているものや、影響度を示すCVSS v3のベーススコアが10点中8.2のものも含まれる。 情報処理推進機構(IPA)は9月13日、トレンドマイクロ製品の一部に複数の脆弱性が存在するとして注意喚起した。すでに悪用を確認したものや、影... 続きを読む
VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示
米サイバーセキュリティインフラストラクチャ安全保障局が、米VMware製品に認証回避や権限昇格の脆弱性があるとして、政府・行政機関に対策を指示した。脆弱性の深刻度は10点中9.8点に及ぶ。 米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA... 続きを読む
プロジェクト管理ツール「Jira」に緊急度高い脆弱性、認証回避の恐れ
Atlassianは4月20日(米国時間)、「Jira Security Advisory 2022-04-20」において、同社が提供しているプロジェクト管理ツールの「Jira」に認証バイパスの脆弱性が発見されたとして、セキュリティアドバイザリを公開した。この脆弱性を悪用すると、リモートの攻撃者が認証を回避して標的のシステムに不正にアクセスできる... 続きを読む
【セキュリティ ニュース】「Apache HTTP Web Server」に複数の脆弱性 - 最新版で修正(1ページ目 / 全1ページ):Security NEXT
オープンソースのウェブサーバ「Apache HTTP Web Server」に複数の脆弱性が含まれることが判明した。最新リリースの「同2.4.26」で修正されている。 バージョンによって影響を受ける脆弱性は異なるが、認証回避の脆弱性「CVE-2017-3167」やNULLポインタ参照の脆弱性「CVE-2017-7659」のほか、バッファオーバーリードなど、あわせて5件の脆弱性が明らかとなった。 同... 続きを読む
Juniper社ScreenOSの脆弱性に関する注意喚起 | セキュリティ情報 | 株式会社ラック
ラックが運営するセキュリティ監視センター『JSOC』は、12月17日にJuniper社よりファイアウォール製品で動作するScreenOSにおいて、管理アクセスにおける認証回避の脆弱性(CVE-2015-7755)が公開された件に関して検証を行い、本脆弱性を用いることで一部のバージョンにおいて実際に認証を回避した管理アクセスが可能なことを確認しました。 本脆弱性を悪用することにより、攻撃者によってフ... 続きを読む
アイ・オーのネットワークカメラ「Qwatch」に脆弱性、覗き見される危険も -INTERNET Watch
ニュース アイ・オーのネットワークカメラ「Qwatch」に脆弱性、覗き見される危険も (2014/7/29 20:36) 株式会社アイ・オー・データ機器は28日、ネットワークカメラ「Qwatch」シリーズに認証回避の脆弱性があることが判明したとして、情報を公開した。ユーザーに対しては、製品のファームウェアを最新版にアップデートするよう呼び掛けている。 「Qwatch」シリーズは、撮影した映像をネッ... 続きを読む
アイ・オー・データ機器製の複数の IP カメラにおける認証回避の脆弱性対策について(JVN#94592501):IPA 独立行政法人 情報処理推進機構
株式会社アイ・オー・データ機器が提供する複数の IP カメラ製品には、認証回避の脆弱性が存在します。当該製品にアクセス可能な第三者によって、認証情報を含む設定内容を取得される可能性があります。結果として、取得された認証情報を使用して当該製品で任意の操作を実行される可能性があります。 悪用された場合の影響が大きい脆弱性であるため、できるだけ早急に製品開発者が提供する情報をもとに、対応するファームウェ... 続きを読む
SQLインジェクションゴルフ - なんと3文字で認証回避が可能に | 徳丸浩の日記
2013年6月25日火曜日 SQLインジェクションゴルフ - なんと3文字で認証回避が可能に 昨日のエントリ「SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?」にて、認証回避の攻撃文字列が5文字にできる(「'OR'1」)ことを示しましたが、@masa141421356さんと、やまざきさん(お二人とも拙著のレビュアーです)から、idとpwdにまたがった攻撃例を示していた... 続きを読む
SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか? | 徳丸浩の日記
2013年6月24日月曜日 SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか? コードゴルフという競技があります。与えられた問題(例えばFizzBuzz)を解くコードを、いかに短いプログラムで実現できるかというものです。 脆弱性の世界でもXSS Golfというものは既にあるようで、我らが はせがわようすけ氏にも、「短いXSSの話」というプレゼン資料が公開されています。第... 続きを読む