はてブログ

はてなブックマーク新着エントリーの過去ログサイトです。



タグ 認証回避

新着順 人気順 5 users 10 users 50 users 100 users 500 users 1000 users
 
(1 - 10 / 10件)
 

パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita

2023/09/17 このエントリーをはてなブックマークに追加 312 users Instapaper Pocket Tweet Facebook Share Evernote Clip select $sql Qiita SQLインジェクション

SQLインジェクションによる認証回避 SQLインジェクションによる影響として、情報が漏洩するとか、データが勝手に更新されてしまうなどとともに、認証回避の例がよく紹介されます(私の本でも取り上げています)。 典型的な例は下記のとおりです。 // $id と $password は外部からの入力 $sql = "SELECT * FROM users WHE... 続きを読む

トレンドマイクロ製品に複数の脆弱性 認証回避、DoS攻撃、権限昇格など CVSS最大8.2

2022/09/14 このエントリーをはてなブックマークに追加 14 users Instapaper Pocket Tweet Facebook Share Evernote Clip DoS攻撃 IPA 権限昇格 トレンドマイクロ製品 悪用

IPAは、トレンドマイクロ製品に複数の脆弱性が存在するとして注意喚起した。悪用が確認されているものや、影響度を示すCVSS v3のベーススコアが10点中8.2のものも含まれる。 情報処理推進機構(IPA)は9月13日、トレンドマイクロ製品の一部に複数の脆弱性が存在するとして注意喚起した。すでに悪用を確認したものや、影... 続きを読む

VMware製品に認証回避、権限昇格の脆弱性 深刻度は最高レベル 米連邦政府CISAが対策を指示

2022/05/19 このエントリーをはてなブックマークに追加 12 users Instapaper Pocket Tweet Facebook Share Evernote Clip 権限昇格 VMware製品 脆弱性 CISA DHS

米サイバーセキュリティインフラストラクチャ安全保障局が、米VMware製品に認証回避や権限昇格の脆弱性があるとして、政府・行政機関に対策を指示した。脆弱性の深刻度は10点中9.8点に及ぶ。 米国土安全保障省(DHS)傘下のサイバーセキュリティ諮問機関であるサイバーセキュリティインフラストラクチャ安全保障局(CISA... 続きを読む

プロジェクト管理ツール「Jira」に緊急度高い脆弱性、認証回避の恐れ

2022/04/25 このエントリーをはてなブックマークに追加 8 users Instapaper Pocket Tweet Facebook Share Evernote Clip JIRA セキュリティアドバイザリ Atlassian 標的

Atlassianは4月20日(米国時間)、「Jira Security Advisory 2022-04-20」において、同社が提供しているプロジェクト管理ツールの「Jira」に認証バイパスの脆弱性が発見されたとして、セキュリティアドバイザリを公開した。この脆弱性を悪用すると、リモートの攻撃者が認証を回避して標的のシステムに不正にアクセスできる... 続きを読む

【セキュリティ ニュース】「Apache HTTP Web Server」に複数の脆弱性 - 最新版で修正(1ページ目 / 全1ページ):Security NEXT

2017/06/20 このエントリーをはてなブックマークに追加 6 users Instapaper Pocket Tweet Facebook Share Evernote Clip Apache HTTP Security NEXT 脆弱性

オープンソースのウェブサーバ「Apache HTTP Web Server」に複数の脆弱性が含まれることが判明した。最新リリースの「同2.4.26」で修正されている。 バージョンによって影響を受ける脆弱性は異なるが、認証回避の脆弱性「CVE-2017-3167」やNULLポインタ参照の脆弱性「CVE-2017-7659」のほか、バッファオーバーリードなど、あわせて5件の脆弱性が明らかとなった。 同... 続きを読む

Juniper社ScreenOSの脆弱性に関する注意喚起 | セキュリティ情報 | 株式会社ラック

2015/12/28 このエントリーをはてなブックマークに追加 10 users Instapaper Pocket Tweet Facebook Share Evernote Clip 注意喚起 脆弱性 株式会社ラック ScreenOS ラック

ラックが運営するセキュリティ監視センター『JSOC』は、12月17日にJuniper社よりファイアウォール製品で動作するScreenOSにおいて、管理アクセスにおける認証回避の脆弱性(CVE-2015-7755)が公開された件に関して検証を行い、本脆弱性を用いることで一部のバージョンにおいて実際に認証を回避した管理アクセスが可能なことを確認しました。 本脆弱性を悪用することにより、攻撃者によってフ... 続きを読む

アイ・オーのネットワークカメラ「Qwatch」に脆弱性、覗き見される危険も -INTERNET Watch

2014/07/29 このエントリーをはてなブックマークに追加 16 users Instapaper Pocket Tweet Facebook Share Evernote Clip Qwatch ファームウェア INTERNET Watch

ニュース アイ・オーのネットワークカメラ「Qwatch」に脆弱性、覗き見される危険も (2014/7/29 20:36) 株式会社アイ・オー・データ機器は28日、ネットワークカメラ「Qwatch」シリーズに認証回避の脆弱性があることが判明したとして、情報を公開した。ユーザーに対しては、製品のファームウェアを最新版にアップデートするよう呼び掛けている。 「Qwatch」シリーズは、撮影した映像をネッ... 続きを読む

アイ・オー・データ機器製の複数の IP カメラにおける認証回避の脆弱性対策について(JVN#94592501):IPA 独立行政法人 情報処理推進機構

2014/07/29 このエントリーをはてなブックマークに追加 17 users Instapaper Pocket Tweet Facebook Share Evernote Clip IPA 独立行政法人 脆弱性対策 カメラ 情報処理推進機構

株式会社アイ・オー・データ機器が提供する複数の IP カメラ製品には、認証回避の脆弱性が存在します。当該製品にアクセス可能な第三者によって、認証情報を含む設定内容を取得される可能性があります。結果として、取得された認証情報を使用して当該製品で任意の操作を実行される可能性があります。 悪用された場合の影響が大きい脆弱性であるため、できるだけ早急に製品開発者が提供する情報をもとに、対応するファームウェ... 続きを読む

SQLインジェクションゴルフ - なんと3文字で認証回避が可能に | 徳丸浩の日記

2013/06/25 このエントリーをはてなブックマークに追加 339 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 pwd 日記 拙著 3文字

2013年6月25日火曜日 SQLインジェクションゴルフ - なんと3文字で認証回避が可能に 昨日のエントリ「SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか?」にて、認証回避の攻撃文字列が5文字にできる(「'OR'1」)ことを示しましたが、@masa141421356さんと、やまざきさん(お二人とも拙著のレビュアーです)から、idとpwdにまたがった攻撃例を示していた... 続きを読む

SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか? | 徳丸浩の日記

2013/06/24 このエントリーをはてなブックマークに追加 128 users Instapaper Pocket Tweet Facebook Share Evernote Clip 徳丸浩 FizzBuzz 攻撃文字列 我ら はせがわようすけ氏

2013年6月24日月曜日 SQLインジェクションゴルフ - 認証回避の攻撃文字列はどこまで短くできるか? コードゴルフという競技があります。与えられた問題(例えばFizzBuzz)を解くコードを、いかに短いプログラムで実現できるかというものです。 脆弱性の世界でもXSS Golfというものは既にあるようで、我らが はせがわようすけ氏にも、「短いXSSの話」というプレゼン資料が公開されています。第... 続きを読む

 
(1 - 10 / 10件)