サイオステクノãƒã‚¸ãƒ¼ã®ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ãŒ クラウドã€OSSã€èªè¨¼ã«é–¢ã™ã‚‹æ§˜ã€…ãªæƒ…å ±ã‚’æä¾›ã—ã¾ã™ã€‚
SIOS Tech. Lab - エンジニアã®ãŸã‚ã«ãªã‚‹æŠ€è¡“トピックス
サイオステクノãƒã‚¸ãƒ¼ã®ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ãŒ クラウドã€OSSã€èªè¨¼ã«é–¢ã™ã‚‹æ§˜ã€…ãªæƒ…å ±ã‚’æä¾›ã—ã¾ã™ã€‚
Trend Micro Incorporated
オンプレミスã‹ã‚‰ã‚¯ãƒ©ã‚¦ãƒ‰ã¸ã®ç§»è¡Œã‚’ã¯ã˜ã‚ã€ãƒã‚¤ãƒ–リッドクラウド環境をシームレスã«ä¿è·ã—ãªãŒã‚‰ã€ã‚¯ãƒ©ã‚¦ãƒ‰ã®åˆ©ç‚¹ã‚’実ç¾ã—ã¾ã™ã€‚ 詳ã—ãã¯ã“ã¡ã‚‰
弊社ã®ãƒ›ãƒ¼ãƒ ページã«Content Security Policy(CSP)ã‚’å°Žå…¥ã—ã¾ã—ãŸ
弊社ã®ãƒ›ãƒ¼ãƒ ページã«CSP(Content Security Policy)ã‚’å°Žå…¥ã—ã¾ã—ãŸã€‚CSPã«ã¤ã„ã¦ã¯ã€ã¯ã›ãŒã‚よã†ã™ã‘æ°ã®ã‚¹ãƒ©ã‚¤ãƒ‰ã€Œ5分ã§ã‚ã‹ã‚‹CSPã€ãŒã‚ã‹ã‚Šã‚„ã™ã„ã¨æ€ã„ã¾ã™ã€‚以下ã«ã‚¹ãƒ©ã‚¤ãƒ‰ã®ä¸€éƒ¨ã‚’引用ã—ã¾ã™ã€‚ 具体的ã«ã¯ã€ä»¥ä¸‹ã®ã‚ˆã†ã«æŒ‡å®šã—ã¦ä½¿ã„ã¾ã™ã€‚ Content-Security-Policy: default-src 'self' ã“ã®çµæžœã€ä»¥ä¸‹ã®ã‚ˆã†ã«JavaScriptã®è¨˜è¿°ãŒåˆ¶é™ã•ã‚Œã¾ã™ã€‚ 外部ã®JavaScriptã®èªã¿è¾¼ã¿ã¯ç¦æ¢ HTMLソースã«è¨˜è¿°ã—ãŸ<script>...</script>ã®JavaScriptã¯ç¦æ¢ イベント属性(onload="xxxx"ãªã©)ã¯ç¦æ¢ 何も書ã‘ãªããªã‚‹ã˜ã‚ƒãªã„ã‹ã¨æ€ã‚れるã‹ã‚‚ã—ã‚Œã¾ã›ã‚“ãŒã€JavaScriptã¯å…¨ã¦*.jsファイルã«è¨˜è¿°ã™ã‚Œã°ã‚ˆã„ã€ã¨ã„ã†ã“ã¨ã§ã™ã€‚ CSPã¯ã€JavaScriptã®ã‚³ãƒ¼ãƒ‰ã¨ãƒ‡ãƒ¼ã‚¿ã‚’分離ã—ã¦
æ–°ã—ã„æš—å·æŠ€è¡“
2. 自己紹介 ï® å¤§å¦æ™‚代 ï® äº¬éƒ½å¤§å¦æ•°ç†è§£æžç ”究所ã§ã¯ä»£æ•°å¹¾ä½• ï®ã‚³ãƒ³ãƒ”ュータã¨ã¯ç¸ã®ãªã„世界 ï® æš—å·ã«ã‚‚興味をæŒã¤ ï® mp3エンコーダ「åˆå¾Œã®ã“~ã ã€ã®é–‹ç™º(LGPL2) ï® å°±è·å¾Œ ï® IPAã‹ã‚‰ã®ä¾é ¼ã§æš—å·è§£èªãƒ—ãƒã‚°ãƒ©ãƒ ã®ä½œæˆ(2004å¹´) ï® ã€Žæ©Ÿæ¢°å¦ç¿’ã®å¦ç¿’ã€(CCA-BY3) ï®2012å¹´ã‚¸ãƒ¥ãƒ³ã‚¯å ‚ã®ã‚³ãƒ³ãƒ”ュータ書ç±å£²ã‚Šä¸Šã’3ä½ ï® http://compbook.g.hatena.ne.jp/compbook/20130110 ï® æš—å·ã®é«˜é€Ÿãªå®Ÿè£…(2013/8ã®æ™‚点ã§ä¸–界最速) ï®The Realm of the Pairings(SAC2013) ï® http://sac2013.irmacs.sfu.ca/sched.html 2013/11 2 /58 3. 目次 ï® æš—å· ï® mod pã®ä¸–ç•Œ ï® å·¾ä¹—ã®è¨ˆç®— ï® é›¢æ•£å¯¾æ•°å•é¡Œ ï® ElGamalæš—å· ï®
オープンリゾルãƒç¢ºèªã‚µã‚¤ãƒˆå…¬é–‹ã®ãŠçŸ¥ã‚‰ã›
å„ä½ <<< オープンリゾルãƒç¢ºèªã‚µã‚¤ãƒˆå…¬é–‹ã®ãŠçŸ¥ã‚‰ã› >>> JPCERT/CC 2013-10-31 I. æ¦‚è¦ JPCERT/CCã¯ã€ãŠæ‰‹å…ƒã® PC ã‹ã‚‰ã‚ªãƒ¼ãƒ—ンリゾルãƒã®ç¢ºèªãŒã§ãるサイトを公開ã„ãŸã—ã¾ã—ãŸã€‚ オープンリゾルãƒç¢ºèªã‚µã‚¤ãƒˆ http://www.openresolver.jp/ オープンリゾルãƒã¨ã¯ã€å¤–部ã®ä¸ç‰¹å®šã® IP アドレスã‹ã‚‰ã®å†å¸°çš„ãªå•ã„åˆã‚ã›ã‚’許å¯ã—ã¦ã„ã‚‹ DNS サーãƒã®ã“ã¨ã§ã™ã€‚オープンリゾルãƒã¯å›½å†…外ã«å¤šæ•°å˜åœ¨ã—ã€å¤§è¦æ¨¡ãª DDoS 攻撃ã®è¸ã¿å°ã¨ã—ã¦æ‚ªç”¨ã•ã‚Œã¦ã„ã‚‹ã¨ã®å ±å‘ŠãŒã‚ã‚Šã¾ã™ã€‚ JPCERT/CC Alert 2013-04-18 JPCERT-AT-2013-0022 DNS ã®å†å¸°çš„ãªå•ã„åˆã‚ã›ã‚’使ã£ãŸ DDoS 攻撃ã«é–¢ã™ã‚‹æ³¨æ„å–šèµ· https://www.jpcert.or.jp/at/2013/at130022.html ã¾ãŸã€DN
SQLインジェクションゴルフ - èªè¨¼å›žé¿ã®æ”»æ’ƒæ–‡å—列ã¯ã©ã“ã¾ã§çŸãã§ãã‚‹ã‹?
コードゴルフã¨ã„ã†ç«¶æŠ€ãŒã‚ã‚Šã¾ã™ã€‚与ãˆã‚‰ã‚ŒãŸå•é¡Œï¼ˆä¾‹ãˆã°FizzBuzz)を解ãコードをã€ã„ã‹ã«çŸã„プãƒã‚°ãƒ©ãƒ ã§å®Ÿç¾ã§ãã‚‹ã‹ã¨ã„ã†ã‚‚ã®ã§ã™ã€‚ 脆弱性ã®ä¸–ç•Œã§ã‚‚XSS Golfã¨ã„ã†ã‚‚ã®ã¯æ—¢ã«ã‚るよã†ã§ã€æˆ‘ら㌠ã¯ã›ãŒã‚よã†ã™ã‘æ°ã«ã‚‚ã€ã€ŒçŸã„XSSã®è©±ã€ã¨ã„ã†ãƒ—レゼン資料ãŒå…¬é–‹ã•ã‚Œã¦ã„ã¾ã™ã€‚第2回ã®OWASP Japanãƒãƒ¼ã‚«ãƒ«ãƒãƒ£ãƒ—ターミーティングã§ã®è¬›æ¼”ã§ã™ã。ã“ã‚Œã€é¢ç™½ã„ã®ã§ã€ã¾ã 見ã¦ã„ãªã„æ–¹ã¯ãœã²ã”覧ã«ãªã£ã¦ä¸‹ã•ã„。 XSSãŒã‚ã‚‹ãªã‚‰SQLインジェクションã¯ã©ã†ã‹ã¨ã„ã†ã“ã¨ã§ã€ã¡ã‚‡ã£ã¨è€ƒãˆã¦ã¿ã¾ã—ãŸã€‚ã“ã®æ‰‹ã®éŠã³ã¯ã€å•é¡Œã®ãƒ«ãƒ¼ãƒ«ãŒå‘½ã¨ã„ã†ã¨ã„ã†ã¨ã“ã‚ã¯ã‚ã‚Šã¾ã™ãŒã€æœ€åˆãªã®ã§ã‚ã¾ã‚ŠåŽ³å¯†ã«è€ƒãˆãšã«ã らã らã¨ã‚„ã£ã¦ã¿ã¾ã™ã€‚ 攻撃対象プãƒã‚°ãƒ©ãƒ ã‚„ã¯ã‚Šã€SQLインジェクション攻撃ã§ã¿ãªã•ã¾ãŠãªã˜ã¿ã®èªè¨¼å›žé¿ãŒã‚ˆã„ã®ã§ã¯ãªã„ã‹ã¨æ€ã„ã¾ã—ãŸã€‚拙著「体系的ã«å¦ã¶ 安全ãªWebアプリケーションã®ä½œã‚Š
å‹æ‰‹ã«æŸ»èª:Webアプリã«ãŠã‘ã‚‹11ã®è„†å¼±æ€§ã®å¸¸è˜ã¨å¯¾ç–
「Webアプリã«ãŠã‘ã‚‹11ã®è„†å¼±æ€§ã®å¸¸è˜ã¨å¯¾ç–ã€ã¨ã„ã†è¨˜äº‹ã‚’ä¹…ã—ã¶ã‚Šã«èªã¿ã¾ã—ãŸã€‚出ãŸå½“事もæ€ã„ã¾ã—ãŸãŒã€åŸºæœ¬çš„ãªèª¤ã‚ŠãŒå¤šãã€èªè€…ãŒèª¤è§£ã—ãã†ã§ã™ã€‚ã“ã®ãŸã‚ã€ç·¨é›†éƒ¨ã‹ã‚‰é ¼ã¾ã‚ŒãŸã‚ã‘ã§ã¯ã‚ã‚Šã¾ã›ã‚“ãŒã€ã€Œå‹æ‰‹ã«æŸ»èªã€ã—ã¦ã¿ã‚ˆã†ã¨æ€ã„ã¾ã™ã€‚ ç´°ã‹ã„点ã«çªã£è¾¼ã‚“ã§ã„ãã¨ã‚リãŒãªã„ã®ã§ã€å¤§ããªå•é¡Œã®ã¿æŒ‡æ‘˜ã—ãŸã„ã¨æ€ã„ã¾ã™ã€‚ ※2013å¹´2月25日追記 ã“ã®ã‚¨ãƒ³ãƒˆãƒªã«å¯¾ã—ã¦ã€ç·¨é›†éƒ¨ãŒå…ƒè¨˜äº‹ã‚’ä¿®æ£ãã ã•ã„ã¾ã—ãŸã€‚徳丸も修æ£ã«å”力ã„ãŸã—ã¾ã—ãŸãŒã€å分æ£ç¢ºãªå†…容ã§ã¯ãªã„ã“ã¨ã‚’ãŠå«ã¿ãŠããã ã•ã„。 ※追記終ã‚ã‚Š åŒè¨˜äº‹ã®æƒ³å®šèªè€…ã¯èª°ã‹æŸ»èªã«ã‚ãŸã‚Šã€ã“ã®è¨˜äº‹ã®æƒ³å®šèªè€…を明確ã«ã—ã¦ãŠã„ãŸæ–¹ãŒã‚ˆã„ã§ã™ã。記事ã®å†’é ã«ã¯ã€é€£è¼‰ã®èª¬æ˜ŽãŒã‚ã‚Šã¾ã™ã€‚ 本連載ã¯ã€JSPï¼ã‚µãƒ¼ãƒ–レット+Strutsã®Webアプリケーション開発を通ã˜ã¦ã€Java言語以外(PHPã‚„ASP.NETã€Ruby on Railsãªã©ï¼‰ã®é–‹ç™ºã«ã‚‚通用ã™ã‚‹
Webアプリã®è„†å¼±æ€§ã‚’検出ã™ã‚‹ãƒ„ールã¯ã‚ã‚Šã¾ã™ã‹ï¼Ÿ
MSDNフォーラムã§è¡¨è¨˜ã®è³ªå•ã‚’見ã‹ã‘ã¾ã—ãŸã€‚åŒãƒ•ã‚©ãƒ¼ãƒ©ãƒ ã®æ´»å‹•å®Ÿç¸¾ãŒãªã„ã›ã„ã‹ã€å›žç”ã«ãƒªãƒ³ã‚¯ã‚’貼るã¨æ‹’å¦ã•ã‚Œã¾ã—ãŸã®ã§ã€ã“ã¡ã‚‰ã«å›žç”ã—ã¾ã™ã€‚ ã“ã“ã‹ã‚‰ãŒè³ªå•ãªã®ã§ã™ãŒã€ãƒ—ãƒã‚°ãƒ©ãƒ ã®å®Ÿè£…ãŒå®Œäº†ã—ãŸã‚ã¨ã€è„†å¼±æ€§ãŒæ½œã‚“ã§ã„ãªã„ã‹ã‚’ãƒã‚§ãƒƒã‚¯ã™ã‚‹å¿…è¦ãŒã‚ã‚‹ã®ã§ã™ãŒã€è„†å¼±æ€§ã‚’検出ã™ã‚‹ãƒ„ールãªã©ãŒã‚ã‚Šã¾ã—ãŸã‚‰æ•™ãˆã¦ãã ã•ã„。ã§ãã‚Œã°ã€ç„¡å„Ÿã§ä½¿ãˆã‚‹ç‰©ã§ã€ç’°å¢ƒã«ã‚ã¾ã‚Šä¾å˜ã—ãªã„ã‚‚ã®(Windows Serverã®ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚„ã€DBMSã®ç¨®é¡žã«ä¾å˜ã—ãªã„ã‚‚ã®ï¼‰ãŒã‚ˆã„ã§ã™ã€‚ Webアプリã®è„†å¼±æ€§ã‚’検出ã™ã‚‹ãƒ„ールã¯ã‚ã‚Šã¾ã™ã‹ï¼Ÿ 以下ã€å›žç”ã§ã™ã€‚ ã”è¦æœ›ã®æ¡ä»¶ã‚’ã™ã¹ã¦æº€ãŸã™ãƒ„ールã¯ã€ãŠãらããªã„ã¨æ€ã„ã¾ã™ã€‚ å°‘ã—å¤ã„エントリã«ãªã‚Šã¾ã™ãŒã€ä»¥ä¸‹ã®ãƒ–ãƒã‚°ã«Webアプリケーションã®è„†å¼±æ€§ã‚’調ã¹ã‚‹ãƒ„ールãŒã¾ã¨ã‚られã¦ã„ã¾ã™ã€‚ サーãƒ/Webアプリケーション脆弱性ãƒã‚§ãƒƒã‚¯ãƒ„ールã®å€‹äººçš„ã¾ã¨ã‚(フリー/有償) 良ã„物ã¯é«˜ä¾¡ã€
PHP Freaks - PHP Help Tutorial: PHP Security
1. IntroductionWriting PHP applications is pretty easy. Most people grasp the syntax rather quickly and will within short time be able to produce a script that works using tutorials, references, books, and help forum forums like the one we have here at PHP Freaks. The problem is that most people forget one of the most important aspects that one must consider when writing PHP applications. Many beg
カスペルスã‚ー2012ã®3å¹´3å°ç‰ˆãŒã‚¢ãƒžã‚¾ãƒ³ã§å®Ÿè³ª2280円ã ã£ãŸï¼
Amazonã«ã€Œã‚«ã‚¹ãƒšãƒ«ã‚¹ã‚ー ãƒãƒ¼ã‚²ãƒ³ç‰¹ä¾¡ã§ã”æä¾›ï¼ ãŠå¾—ãª3å¹´3å°ç‰ˆã‚’ã”紹介ã€ã¨ã„ã†ãƒšãƒ¼ã‚¸ãŒã‚ã‚Šã¾ã—ãŸã€‚ 全世界100ã‹å›½ 3億人以上ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒæ”¯æŒï¼ã‚«ã‚¹ãƒšãƒ«ã‚¹ã‚ー 2012 Multi Platform Security 3å¹´3å°ç‰ˆã€€ã®ã“ã“ãŒã‚¹ã‚´ã„ï¼ 3年間使ãˆã¦ãŠå¾—ï¼ 3å¹´é–“æ›´æ–°æ–™0円ã§ä½¿ãˆã‚‹ã®ã§ã€1å¹´ã‚ãŸã‚Šã®æ–™é‡‘ãŒãŠå¾—ã§ã™ã€‚ 例ãˆã°Windowsã€Macã€Androidã®3å°ã§ä½¿ç”¨ã—ãŸã‚‰ã€ 11,340(å‚è€ƒä¾¡æ ¼) ÷ 3å¹´ ÷ 3å° = 1å¹´1å°ã‚ãŸã‚Š1,260å††ï¼ â‡’ã•ã‚‰ã«ä»Šãªã‚‰ãƒãƒ¼ã‚²ãƒ³ç‰¹ä¾¡ã§ã€1å¹´1å°ã‚ãŸã‚Š500円以下ã«ï¼ ã“ã‚Œ1本ã§3å°ã¾ã§OKï¼ã€€Windowsã€Macã€Andoroidã«å¯¾å¿œ スマートフォンユーザーãŒæ€¥å¢—ã™ã‚‹ä¸ã€ã‚¦ã‚¤ãƒ«ã‚¹ã®å‡ºç¾ã‚„ã€ç´›å¤±ã€ç›—難ã®å±é™ºæ€§ã‚‚高ã¾ã£ã¦ã„ã¾ã™ãŒã€ãƒ¢ãƒã‚¤ãƒ«å‘ã‘ã‚»ã‚ュリティソフトを導入ã™ã‚Œã°ã€å®‰å¿ƒã—ã¦åˆ©ç”¨ã™ã‚‹ã“ã¨ãŒã§ãã¾ã™ã€‚『カスペル
SE・プãƒã‚°ãƒ©ãƒžãŒçŸ¥ã£ã¦ã‚‹ã¨ä¾¿åˆ©ãªè„†å¼±æ€§ãƒã‚§ãƒƒã‚¯ãƒ„ール 5 㤠| ãƒã‚·ãƒ£ãƒã‚°ã€‚
æ±äº¬ãƒ©ãƒ¼ãƒ¡ãƒ³ã‚·ãƒ§ãƒ¼2011 ã„ãã¦ãƒ¼ãƒ¼ãƒ¼ï¼ã¿ãªã•ã‚“ã“ã‚“ã«ã¡ã¯ã€nakamura ã§ã™ã€‚ 今日ã¯ãƒ—ãƒã‚°ãƒ©ãƒžã ã£ãŸã‚Šã‚µãƒ¼ãƒç®¡ç†è€…ã ã£ãŸã‚Šï¼ˆã‚‚ã—ãã¯ãã®ä¸¡æ–¹ã ã£ãŸã‚Šï¼‰ã™ã‚‹æ–¹ã«ãŠå‹§ã‚ã—ãŸã„サイトã¨ãƒ„ールをã„ãã¤ã‹ã”紹介ã—ã¾ã™ã€‚ç´°ã‹ã„脆弱性ã®ãƒã‚§ãƒƒã‚¯ç‰ã©ã†ã—ã¦ã‚‚手間ãŒæŽ›ã‹ã‚‹ã‚‚ã®ãŒå¤šã„ã§ã™ãŒã€ä»Šå›žã”紹介ã™ã‚‹ãƒ„ールをã†ã¾ã使ã†ã¨ãã®è¾ºã‚Šã ã„ã¶åŠ¹çŽ‡ã‚ˆãã§ãã‚‹ã¨æ€ã„ã¾ã™ã‚ˆï¼ WEB アプリケーション関連 XSS Me XSS Me :: Add-ons for Firefox XSS ã®ãƒ†ã‚¹ãƒˆã‚’ã‚る程度自動化ã—ã¦ãれる Firefox ã®ã‚¢ãƒ‰ã‚ªãƒ³ã§ã™ã€‚残念ãªãŒã‚‰ Firefox3.0.* ç³»ã®é ƒã«é–‹ç™ºãŒæ¢ã¾ã£ã¦ã—ã¾ã£ã¦ã„るよã†ã§ã™ãŒã€åƒ•ã®ç’°å¢ƒã§ã¯ install.rdf ã®æ›¸ãæ›ãˆã§å•é¡Œãªã動作ã—ã¦ã„ã¾ã™ã€‚(Windows7 64bit + Firefox7.0.1) SQL Inject Me SQL I
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
XSS Me Warnings - real XSS issues?
PHPã§ã®ã‚»ã‚ュリティ対ç–ã«ã¤ã„ã¦ã®ãƒ¡ãƒ¢ - Liner Note
{{#tags}}- {{label}}
{{/tags}}