クロスサイトリクエストフォージェリ (cross-site request forgery) は、Webアプリケーションの脆弱性の一つ[1]もしくはそれを利用した攻撃。略称はCSRF（シーサーフ (sea-surf) と読まれる事もある[2][3]）、またはXSRF。リクエスト強要[4]、セッションライディング (session riding[3]) とも呼ばれる。1990年代はイメタグ攻撃とも呼ばれていた[要出典]。脆弱性をツリー型に分類するCWEではCSRFをデータ認証の不十分な検証 (CWE-345) による脆弱性のひとつとして分類している (CWE-352)[5]。 なおCSRFの正式名称はクロスサイトスクリプティング (XSS) と似ているが、XSSは不適切な入力確認 (CWE-20) によるインジェクション (CWE-74) のひとつとして分類されており[5]、全く異なる種類の

愛知県岡崎市立中央図書館は２８日、利用者１６３人分の個人情報がインターネットを経由して外部に流出したと発表した。０５年６月末時点で図書の予約や返却延滞をしていた一部の利用者の名前や年齢、電話番号、借りた本の題名、貸出日などが流出した。 ソフトを開発した三菱電機インフォメーションシステムズ（東京）によると、同図書館が最初のソフト販売先だった。岡崎市の利用者の個人情報を誤って残したまま、ソフトをほかの全国３７の公立図書館に販売してしまったという。宮崎県えびの市と福岡県篠栗町の図書館のホームページ（ＨＰ）から、岡崎市の個人情報がダウンロードされたことが確認された。 同社は「個人情報の取り扱いが不十分で、誠に申し訳ない」と陳謝し、岡崎市立中央図書館は「多大なご迷惑と心配をかけ、おわびする」とコメントした。 同図書館では今年８月、ソフトの古さが原因でＨＰの閲覧が困難になる問題も発覚している。【中村宰

XSSアタックについて認識し、パッチによる修復作業を行いました。 14 years ago XSSアタックについて認識し、パッチによる修復作業を行いました。 こうした脆弱性に関しての情報は、@safetyまでお知らせください。 しばらくすればパッチが完全に動作するようになるはずです。 その際には再びお知らせします。 更新：パッチでの対応が完全に完了しました。[日本時間: 22:50] 更新：本件に関する詳細をブログにアップしました。[日本時間: 9/22 3:59]

■編集元：ニュース速報板より「twitterでXSS脆弱性発生」 126 落語家(東京都) :2010/09/21(火) 21:29:27.89 ID:R0XqcxST0 【バグった人向け】祭りにも関わらず対処法も分からないまま TwitterをWebで見てしまってどうしようもない状態になった方々 http://twitter.com/account/logout http://twitter.com/account/logout http://twitter.com/account/logout http://twitter.com/account/logout http://twitter.com/account/logout http://twitter.com/account/logout 直接これにアクセスして素直にログアウトしましょう。 続きを読む

愛知県岡崎市立中央図書館のホームページ（ＨＰ）に大量アクセスしＨＰ閲覧を困難にしたとして今年５月、偽計業務妨害容疑で男性（３９）が逮捕されたが、閲覧が困難になった原因は、図書館のソフトが古いためだったことが２１日分かった。男性は６月に起訴猶予処分になっている。図書館は７月にソフトを改修した。 今年３月、「図書館のＨＰにつながらない」と市民から苦情があり、その後もＨＰ閲覧が困難になる事態が相次いだ。図書館は４月１５日に県警岡崎署に被害届を提出。男性は５月２５日に偽計業務妨害容疑で逮捕された。 図書館によると、男性は図書館の新着図書情報を自動的に取得できるプログラムを使い、最高で１０分間に約１６００回、ＨＰにアクセスしていたという。 しかし、図書館のソフトは０５年に導入したもので、１時間のアクセス数が４００回を超えただけでＨＰが閲覧できなくなるという古いものだった。このため、委託業者が７月にソ

Anonymous Coward曰く、"今年1月のストーリー「Lynxでアクセスしたら逮捕された?」で話題となった事件の判決が出たとZDNet UKが伝えており、CNET Japanの日本語訳記事が出ている。この記事によると、判事は、被告に悪意がないことを認めながらも有罪判決を言い渡したようだ。イギリスのコンピュータ不正使用法(Computer Misuse Act)では、被告人に損害を与える意図があったことを検察当局は証明する必要はないのだという。被告人の弁護団は「サイトの入り口まで行ったに過ぎなかった」と主張したそうだ。 日本の不正アクセス禁止法では何が不正アクセスに当たるかがわりと明確に定められているのに対し、イギリスのComputer Misuse Actでは「その者が得ようとしたアクセスが無権限のものであり」と定義されているだけになっている。被告人の行為が日本法に照らすとどうかが

2010/07/18 Damn Vulnerable Linux — セキュリティ教材 Slashdotに「Damn Vulnerable Linux」のタレ込みがされていたので覚え書き。「Damn Vulnerable Linux (DLV)」はセキュリティホールの原因となる穴だらけのソフトウェアを意図的に寄せ集めたディストリビューションで(1.8GB ISO)、コンピュータセキュリティの教材に使われる。VMware/Qemu/KVMなどの仮想マシンやUSBなどにインストールして利用する。元になったのは「Damn Small Linux (DSL)」でカーネルは脆弱度満載の2.4を採用し、旧バージョンのApache、MySQL、PHP、FTPd、SSHdなど特に攻撃に弱いバージョンが使われている。その他、GCC、GDBなどの開発ツールや攻撃のための各種ツールも備えており、不正侵入の手口の

先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ

■ リダイレクタの存在は脆弱性か？ 星澤さんの2日の日記 に出ていた件、ITmediaにも記事が出ており、次のように要点が書かれている。 このフィッシングメールは、571.94ドルの税金還付を受けるためにIRSのサイ トで手続きをするようにと受信者に伝えている。より本物らしく見せるため、 このメールはメール内のURLを直接クリックするのではなく、ブラウザのアド レスバーにコピー＆ペーストするよう指示している。このURLは本物 の IRSサイトのドメイン名を使っているが、このサイトの設定ミスのために、 フィッシング詐欺犯が設置した偽のサイトにリダイレクトされてしまう。 （略） 「これは典型的なフィッシングよりも高度だ。URLが――最初は――本物のサイトにつながるからだ」とSophosのセキュリティコンサルタント、 グラハム・クルーリー氏は語る。 政府サイトの設定ミスを突いたフィッシング, I

Windows XPを搭載しているATMをターゲットにしたマルウェアが東欧で出回っているそうだ(本家/.)。 このマルウェアはカードの磁気データや暗証番号を読み取り、DESアルゴリズムで暗号化して記録するとのこと。トリガーカードを使えばATMのキーパッドを使ってコマンドを入力できるようになり、取引数を表示させたり、記録したカードデータをプリントアウトしたり、マシンのリブートやマルウェアのアンインストールなども行うことが可能という。 セキュリティ企業Trustwareはこのマルウェアに関するレポート(PDF)をまとめている。それによるとマルウェアには複数のバージョンが確認されており、同社が分析したものは比較的初期のバージョンと思われるとのこと。新しいバージョンはより高機能になっていると考えられるとのことだ。

ハッカーが問題となっている昨今ですが，何故ハッカーに利用されるかを考えて見たことがあるでしょうか？ また、サーバーを構築する際にＤＮＳ、Ａｐａｃｈｅ、Ｓｅｎｄｍａｉｌの設定だけで、外部からの侵入を防ぐ為の手段を 検討されたことがあるでしょうか？実際には設定が手一杯ではないでしょうか！また、Ｆｉｒｅｗａｌｌを過信していないでしょうか、 外部から侵入されると次のような問題が発生します。 �@データの盗難・改ざん・不正使用 �Aサーバーが破壊される。 �B他のホストへの攻撃の踏み台として利用される。 このような問題を避けるため、インターネットに接続する場合にはネットワークセキュリティーについて、細心の注意を払わなければなりません。 このホームページでは,簡単に解かり易くハッカーなどの侵入を防ぐ方法について説明致します。 何もしないサーバーよりハッカー等の侵入は

Menuインストール前夜インストール中ネットワーク接続前ネットワーク接続後追加、変更時サービス開始前使用中とっても重要なこと有名なセキュリティツールたちコンピュータセキュリティ一般PR