Webアプリケーションのぜい弱性を示す用語として,クロスサイト・スクリプティング,SQLインジェクションといった言葉の認知度はかなり高まった。ブログ・サイトなどでも活発に議論されている。しかし,Webサイトの実態はどうだろうか。 筆者の所属する京セラコミュニケーションシステムでは昨年(2006年),ぜい弱性診断を実施したWebサイトの統計情報「2007年版 Webアプリケーションぜい弱性傾向」を発表した。これによると,パソコン向けWebサイトの48%に致命的なぜい弱性が見つかった。このうちワースト1位はクロスサイト・スクリプティングで56%,2位はSQLインジェクションで11%と,どちらもインジェクション(注入)系のぜい弱性。これらのぜい弱性を持った危険なサイトは依然として存在するのが実情である。 これらWebアプリケーションのぜい弱性があまりなくならない理由はいくつかあるが,以前は「ぜい
本家/.の記事より。ドイツ・ダルムシュタット工科大の暗号研究者Erik Tewsらは、従来知られていたよりもはるかに少ないパケットを捕捉するだけで、無線LANの104ビットWEPキーが十分クラック可能であることを示した。事実上1分少々あればWEPキーは解読できるということのようだ。 WEPがセキュリティ的に脆弱なのは以前から知られていたことだが、それでもキーの解読には50万から200万のデータパケットを捕捉することが必要と考えられていた。しかしTewsらのページによると、今回改良された手法を使えば40,000パケットの捕捉で50%、85,000パケットの捕捉なら95%の確率でWEPキーは解読可能だという。40,000パケットというのは従来知られていた必要パケット数の10分の1以下であり、受信状況さえ良ければ1分以内に捕捉可能とのこと。実際の計算にも、Pentium-M 1.7GHz、3MB
企業システムにおいて、ビジネスに欠かすことのできない情報を格納する役目を託されているデータベース。だが、データベースにさえデータを保管しておけば、セキュアな状態で保護されていると考えるのは、大間違い。データ保護機能を適用して初めて、データベースの安全性は高まるのだ。 “普通の”データベースが安全でない理由 データベースは、企業システムを構築する上で欠かすことのできないデータの格納場所である。一般的に、データベースへの信頼感は高く、データベースに格納したデータは安全であるという認識が持たれている。 しかし、実際のデータベースは、セキュリティ上の脆弱性が非常に多いということを知っておくべきだろう。データベースへのアクセスは通常、データベースに用意されている認証機能を利用し、アプリケーションやユーザーにアクセス権限を設定する仕組みになっている。データベースの内部に格納されているデータは暗号化され
つい先日の大日本印刷から15万件のジャックスカードの個人情報漏洩の事件がなかなかすごい展開を見せたらしい。ジャックスカードの15万件という件数だけでも派手だったわけだが、ITmediaによれば、大日本印刷の業務委託先の元社員によって不正に持ち出されていた個人情報は、43社分、計863万7405件に上るとのことである。でかそうなところを抜き出すと、アメリカンホーム保険が150万4857件(うち11万1759人分については保険料支払い用クレジットカード番号含む)、イオンが58万1293件、NTTファイナンスが64万225件、KDDIが11万3696件、ディーシーカードが33万7480件、UFJニコスが119万336件等である。大日本印刷の発表と個人情報流出の対象となった会社一覧を参照。
Main navigation Solutions Column 1 Business challenge Software renewals and audits Software license management and optimization SaaS spend management Cloud cost management IT asset lifecycle management CMDB data quality Accurate IT inventory Security and regulatory risk management Sustainable IT AI-powered transformation Public sector Column 2 Spend management by vendor IBM Oracle Microsoft SAP VM
「Top 10 Signs You Have an Insecure Web App」という記事がありました。 面白かったので要約してみました。 私の勘違いなどが含まれている可能性があるので、詳細は原文をご覧下さい。 1. アクセスログ解析の公開 アクセスログ解析ツールには商用とフリーのものがありますが、多くのサイトがフリーのアクセスログ解析ツールを利用しています。 AWStatsやWebalizerなど、良く知られている脆弱性を含むものがあります。 何故、世界に対して脆弱なアクセス解析ツールを使っている事を公開しなければならないのでしょうか? 例 Google検索 : Generated by Webalizer" intitle:"Usage Statistics" Google検索 : inurl:awstats filetype:pl 2. バックアップファイルのコピー 開発者は、
1999年11月に「Webがクラッキングされているのを発見したら」という記事を,ITproの前身であるBizITサイトに掲載した。 深夜に,自社のWebサイトにアクセスしてみたら,クラッキングなどによって,サイトがひどい状況になっているのを発見した。さて「あなたはどうしますか?」 あれから7年余り経ち,Web2.0が叫ばれるようになった。Webの使われ方が大きく変化している今,同じテーマをあらためて考えてみたい。 Webサイトに,変な画像が張ってあったり,ふざけた文章に書き換えられているのを深夜発見したとしよう。Webサイトの用途や書き換えの程度によるが,それくらいならば,ひょっとしたら“恥ずかしい”で済ませられるかもしれない。翌朝,システム部門などに連絡すればいい。しかし,内容によっては恥で済ませられない場合もある。たとえば,製品やサービスを紹介するページで仕様が変更されていたり,ショッ
Oracleは米国時間1月16日、自社ソフトウェアに影響を与える51の脆弱性を修正するパッチをリリースした。 今回のパッチは、Oracleの定例パッチリリースの一環として公開された。Oracleは1月11日、顧客が計画的にパッチを適用できるよう、定例パッチリリースの情報を初めて事前に発表している。 ただし、重要なパッチアップデート(Critical Patch Update :CPU)として16日にリリースされたパッチの数は、11日の予告よりも1件少なかった。主力製品のデータベースでは、事前予告のパッチ数は27だったが、実際には26件のパッチを発行している。 Oracleのセキュリティマネージャー、Eric Maurice氏は同社ブログで、「いくつかのバージョンのデータベースの脆弱性を修正するパッチに、ある問題がみつかった。われわれのポリシーに従って、この修正を1月のCPUから削除すること
日経の記事などによれば、日産自動車は21日、2003年~2004年に使われていた旧顧客データベースの情報の流出を認めた(プレスリリース)。流出規模は確認できていないが、最大で当該データベースの全量である、5,379,909名となる可能性がある。『週刊朝日』11月10日号の報道から、社内調査を進めていた。流出の根拠は以下の通り。 記事に記載された車種記号(車種型式、車種基本、車種区分)は、社内のみで使用している特殊記号 記事文中の車検満了時期に関する情報から推察すれば、流出時期は2003年5月から2004年2月の間と想定され、この時期に使用していたシステムは、2003年に導入した「旧お客さまデータベース」 当該システムは記事に掲載された情報をすべて保有する唯一のシステム ちなみに2005年4月に施行された個人情報保護法にあわせてセキュリティの強化が図られており、2006年1月には「新お客さま
Webアプリケーションに対する脅威は2006年に大幅に増大したが、2007年にもその勢いが衰えることはなさそうだ。 オンラインセキュリティのコンサルティング企業、SPIダイナミクスのアプリケーションセキュリティ専門家らは先ごろ、セキュリティ脅威をめぐる2007年の展望について話し合った。この会合では、Web 2.0技術の利用が拡大する一方で、攻撃が金銭獲得の手段になり得るという状況の中、Webアプリケーションは今後もハッカーのターゲットになるという結論に達した。 SPIの研究者らは、2007年に拡大が予想されるセキュリティ脅威を7つリストアップした。 RADで品質とセキュリティが犠牲に SPIダイナミクスのセキュリティエバンジェリスト、マイケル・サットン氏は、アプリケーションを迅速に開発できるのが魅力のRAD(Rapid Application Development)では、ソフトウェアの
uxi曰く、"今朝、livedoor wiki にログインしようとして気付いたのですが本日 10/20 の 9 時をもって SSL 証明書の有効期限が切れになってしまったらしく、接続時に警告が表示されるようになっていました。 (参考: SSL モードの livedoor ID 登録) 公式CAを通した証明書は、コストもかかりますから無駄に更新するのも馬鹿げていますが、スケジュールを詰め過ぎてしまうと、今回のように有効期限切れの期間が生ずる可能性があるかもしれません。また、スケジュールに相当余裕を見ていたとしても、更新手続きがスムーズに行かず、スケジュール通りに行かない事もあるかもしれません。 経路の暗号化のみを行いたい場合、独自CAによる証明書を使うことも少なくないと思いますし、 有効期限切れになったからと言って、即 SSL の安全性が大きく揺らぐわけではありません。 しかし SSL がど
前回のPHPウオッチ公開以降,セキュリティ関連の修正が行われたPHPのリリースが相次いで行われた。この修正点について紹介するとともに,PHPのセキュリティ機能を強化するHardened PHP Projectから新たに公開された「Suhosin」,Zend Frameworkの最新情報を中心に紹介する。 PHPリリース関連情報 PHP 4.4.4,PHP 5.1.5緊急リリース:セキュリティ関連の脆弱性を修正 PHP 4およびPHP 5において,64ビットシステムにおけるメモリー管理上のバグなど複数のセキュリティ上の問題がみつかり,PHP 4.4.4およびPHP 5.1.5が8月17日に急遽リリースされた。主な修正点を以下に示す。 1.error_log(),file_exists(),imap_open(),imap_reopen()関数においてセキュリティ関連の制約(safe_mode
接待の席で、お店の無線LANを使ったら個人情報を盗まれた… 最近は、このスキミング集団が、無線LANを使ってお客の情報を“抜いている”危険性が指摘されている。狙う情報は3種類だ。1)ネットバンキングに利用する口座情報(口座番号、ID、パスワードなど)、2)企業の重要情報、3)メールアドレスや個人情報である。これらの3つは、比較的容易に金に換えることができる。 犯人は、情報を盗難する機能を持ったソフトを組み込んだノートパソコンを持ち込み、店内の有線LANに接続する。情報盗難ソフトは、LAN内を通過する1)〜3)の情報を自動的に収集。盗んだ情報を外部にいる“黒幕”に送信する(図)。 無線LANの暗号化は電波の部分だけ 無線LANはデータを暗号化して通信しているから、暗号が解読されないかぎり安全である? イエスだが、暗号化されている区間を思い違いしやすい。 無線LANが暗号化するのは無
http://dynabook.com/assistpc/download/makeula/makemod.cgi?filename=http://d.hatena.ne.jp/kudzu/ 上のURLを見て、ページを見てもらえばなんとなく想像できると思うけど、「同意する」のリンクをクリックした後に接続する先のURLを任意のURLにできる。 つまり、 適当なウェブサーバにトロイ(本物の実行ファイルにウィルスをつけるとかすると凶悪)を置く 上記URLのfilename=の項目をトロイのURLにする URLをSPAMなりなんなりでばらまく これで簡単にフィッシングできんな。さらにfilename=の項目をpostでできたら完璧*1。できるらしいので、死ぬほどやばい!もう東芝からダウンロードなんて絶対しない! URL自体はdynabook.comなわけで、相当な人がだまされると思うんだけど。これ
本ページの情報は、2016年10月時点のものです。2023年10月に再構成をいたしました。 なお、内容に変更はありません。 2016年10月版 2002年2月に「Webプログラマコース」と「製品プログラマコース」、2007年の6月に「Webアプリケーション編」、9月に「C/C++編」と分けて公開してきた講座のうち、原則を中心として共通的なものをまとめて2016年10月に再編しました。 なお、資料内の参照先はすべてサイトリニューアル前のURLであるため、リダイレクトを設定しています。 セキュア・プログラミング講座(2016年10月版/2017年6月一部修正)(PDF:2.3 MB) 2007年版 「ソースコード検査技術の脆弱性検出能力向上のための研究」(注釈1)を実施した一環として取りまとめた内容を、2002年から公開していたセキュア・プログラミング講座(旧版)の改訂版(2007年版)として
無線LANノートパソコン、電源をオンにするだけで情報が盗まれる (須藤 慎一=ライター) 「Centrino」のステッカーが貼られているノートパソコンの多くが、セキュリティ上の脅威にさらされている。無線LAN用ドライバソフトに不具合があることが判明したのだ。無線LAN経由でウイルスを組み込まれて、パソコン内の情報を盗まれる危険性があるという。米インテルが7月28日、同社製無線LAN用ドライバソフトにこうした不具合があることを公表した(関連記事)。(厳密には、組み込まれるソフトはウイルスとは限らないが、以降ウイルスと表記する) インテルは、CPUのメーカーとしてはもちろん、無線LANデバイスのメーカーとしても著名。多くのノートパソコンメーカーに無線LANデバイスをOEM供給している。インテルは、自社製チップ(CPUや周辺チップ。周辺チップには無線LAN機能を持つチップを含む)を搭載して
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く