skipfish web application security scannerCode Archive Skip to content Google About Google Privacy Terms
Rubyã®è„†å¼±æ€§ãŒç™ºè¦‹ã•ã‚Œã¾ã—㟠- ãŠã‚‚ã—ã‚webサービス開発日記
Rubyã«DOS攻撃ã®è„†å¼±æ€§ãŒç™ºè¦‹ã•ã‚ŒãŸã‚ˆã†ã§ã™ã€‚ Riding Rails: DoS Vulnerability in Ruby DoS vulnerability in BigDecimal ã©ã‚“ãªè„†å¼±æ€§ã‹ BigDecimalã‹ã‚‰Floatã«å¤‰æ›ã™ã‚‹éƒ¨åˆ†ã«å•é¡ŒãŒã‚るらã—ãã€ä¸‹è¨˜ã®ã‚ˆã†ã«ã€å¤§ãã„数値をRubyã«ãƒ‘ースã•ã›ã‚‹ã“ã¨ã§DOS攻撃ãŒã§ãã‚‹ã¿ãŸã„ã§ã™ã€‚ActiveRecordãŒä¸‹è¨˜ã®ã‚ˆã†ãªã‚³ãƒ¼ãƒ‰ã‚’使ã£ã¦ã„るよã†ã§ã€ã»ã¨ã‚“ã©ã®RailsアプリãŒè„†å¼±æ€§ã®å¯¾è±¡ã«ãªã£ã¦ã„ã¾ã™ã€‚ BigDecimal("9E69999999").to_s("F") 対象 1.8.6-p368ä»¥å‰ 1.8.7-p160ä»¥å‰ 1.9.1ã¯å•é¡Œãªã„よã†ã§ã™ã€‚ 最善ã®è§£æ±ºæ–¹æ³• Rubyã‚’1.8.6-p369ã¾ãŸã¯ruby-1.8.7-p173ã«ã‚¢ãƒƒãƒ—グレードã™ã‚‹ã€‚ ã¨ã‚Šã‚ãˆãšã®è§£æ±ºæ–¹æ³• Rubyã®ã‚¢ãƒƒãƒ—グレードãŒ
グーグル新入社員ã¯ã‚³ãƒ¼ãƒ‰ã‚’書ãå‰ã«ã‚»ã‚ュリティ教育をå—ã‘ã‚‹ ― ï¼ IT
2008/04/25 「脆弱性ã¯å¤‰ã‚ã£ã¦ã„ãªã„ãŒã€ã‚ã‚Œã‚れをå–ã‚Šå·»ã世界ã¯å¤§ãã変化ã—ã¦ã„ã‚‹ã€â€•â€•4月24æ—¥ã®RSA Conference 2008 Japanã®åŸºèª¿è¬›æ¼”ã«ãŠã„ã¦ã€ç±³ã‚°ãƒ¼ã‚°ãƒ«ã®ã‚¹ã‚³ãƒƒãƒˆãƒ»ãƒšãƒˆãƒªæ°ï¼ˆã‚¨ãƒ³ã‚¿ãƒ¼ãƒ—ライズセã‚ュリティãŠã‚ˆã³ã‚³ãƒ³ãƒ—ライアンス担当ディレクター)ã¯ã“ã®ã‚ˆã†ã«èªžã‚Šã€å¾“æ¥ã¨ã¯ç•°ãªã‚‹ã‚»ã‚ュリティ対ç–ãŒæ±‚ã‚られるã¨è¿°ã¹ãŸã€‚ åŒæ°ã«ã‚ˆã‚‹ã¨ã€å¾“æ¥ã®æƒ…å ±ã‚·ã‚¹ãƒ†ãƒ ã¯ã€ä½•ãŒèµ·ã“ã‚‹ã‹æŠŠæ¡ã§ãる「ホワイトボックスã€ã ã£ãŸã€‚ã—ã‹ã—自社ã®ã‚‚ã®ã ã‘ã§ãªãã€ã‚µãƒ¼ãƒ‰ãƒ‘ーティã®ãƒ„ールやサービスãŒæ™®é€šã«åˆ©ç”¨ã§ãるよã†ã«ãªã£ãŸã„ã¾ã€ã©ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ãŒã©ã®ãƒªã‚½ãƒ¼ã‚¹ã‚’使ã„ã€ä½•ã‚’ã™ã‚‹ã®ã‹ã€äºˆæ¸¬ã‚‚把æ¡ã‚‚難ã—ã„「ブラックボックスã€ã®æ™‚代ã«ãªã£ã¦ã„る。ã“ã†ã—ãŸç’°å¢ƒã®å¤‰åŒ–ã«å¯¾å¿œã™ã‚‹ã«ã¯ã€æ–°ã—ã„ãƒãƒ¼ãƒ‰ã‚¦ã‚§ã‚¢ã‚„ソフトウェアã®è¿½åŠ ã¨ã„ã£ãŸã‚„ã‚Šæ–¹ã§ã¯ãªãã€ãƒˆãƒ¬ãƒ¼ãƒ‹ãƒ³ã‚°ã‚’ã¯ã˜ã‚ã¨ã™ã‚‹åœ°é“ãªå–り組ã¿ã‚’通ã˜ã¦ã€åŸºç›¤ã®ä¸ã«ã‚»ã‚
ウェブセã‚ュリティ最å‰ç·š--「パラノイドã€ï¼šãã‚Œã¯ãƒ¤ãƒ•ãƒ¼ã®ã‚»ã‚ュリティãƒãƒ¼ãƒ
編集部注記:今回ã¯ã‚¦ã‚§ãƒ–ã‚»ã‚ュリティã®ç¾çŠ¶ã¨å°†æ¥ã«ã¤ã„ã¦æ¤œè¨¼ã™ã‚‹ã€4回ã«ã‚ãŸã‚‹ã‚·ãƒªãƒ¼ã‚ºã®ç¬¬2回目ã§ã™ã€‚ グーグルãŒæ„Ÿã˜ã‚‹ã€Œå†å–り組ã¿ã€ã®å¿…è¦æ€§ 「パラノイドã€ï¼šãã‚Œã¯ãƒ¤ãƒ•ãƒ¼ã®ã‚»ã‚ュリティãƒãƒ¼ãƒ MSãŒãƒ‡ã‚¹ã‚¯ãƒˆãƒƒãƒ—ã‹ã‚‰å¦ã‚“ã 教訓 å•é¡Œã®è§£æ±ºã¸ã®é“ Arturo Bejaræ°ã¯8å¹´å‰ã€Yahooã®ã‚»ã‚ュリティãƒãƒ¼ãƒ ã«ã´ã£ãŸã‚Šã®åå‰ã‚’æ€ã„ã¤ã„ãŸã€‚「Paranoidã€ï¼ˆç—…çš„ãªã¾ã§ã®å¿ƒé…性)ã 。 「Chief Paranoid Yahooã€ã®è‚©æ›¸ãã‚’æŒã¤Bejaræ°ã¯ã€è‡ªèº«ãŒæŒ‡æ®ã™ã‚‹éƒ¨ç½²ã®æ„›ç§°ã¨ã—ã¦ã€å …苦ã—ããªãã€ã‚»ã‚ュリティã®å½¹å‰²ã‚’身近ã«æ„Ÿã˜ã‚‰ã‚Œã‚‹åå‰ã‚’付ã‘ãŸã‹ã£ãŸã®ã 。 「ã‚ã‚Œã‚ã‚Œã¯ã€ã‚»ã‚ュリティをもã£ã¨æ°—楽ã«ã¨ã‚‰ãˆã¦ã‚‚らãˆã‚‹ã‚ˆã†å–り組んã§ã„る。セã‚ュリティã¯ãŸã—ã‹ã«é‡è¦ã ãŒã€æ·±åˆ»ã«ãªã‚Šã™ãŽãªã„ã»ã†ãŒå°Žå…¥ãŒé€²ã‚€ã€ã¨ã„ã†ã®ãŒç§ã®è€ƒãˆæ–¹ã ã€ã¨Bejaræ°ã¯è©±ã™ã€‚ åž‹ç ´ã‚Šã®ãƒãƒ¼ãƒŸãƒ³ã‚°ã¯ã€ã‹ã¤ã¦ãƒ‰ãƒƒãƒˆã‚³
Apacheã«å¯¾ã™ã‚‹ã‚µãƒ¼ãƒ“ス拒å¦æ”»æ’ƒã‚’回é¿ã™ã‚‹æ–¹æ³•
ç†è€…ã¯æœ€è¿‘,Apache HTTPサーãƒãƒ¼ã«å¯¾ã™ã‚‹ã‚µãƒ¼ãƒ“ス拒å¦æ”»æ’ƒã‚’防御ã™ã‚‹Webベースã®ã‚»ã‚ュリティ・ツール「mod_evasiveã€ã‚’使ã„始ã‚ãŸã€‚mod_evasiveã¯ç‰¹å®šã®æŒ™å‹•ã‚’探ã—ã¦ãれをブãƒãƒƒã‚¯ã™ã‚‹ãƒ¢ã‚¸ãƒ¥ãƒ¼ãƒ«ã§ã‚る。 mod_evasiveã¯ï¼Œç†è€…ãŒæ˜¨å¹´ã®12月ã«ç´¹ä»‹ã—ãŸã€ŒSuhosinã€ã«ä¼¼ã¦ã„る(関連記事:PHPã®ã€Œå®ˆè·ç¥žã€Suhosin)。Suhosinã¯PHPスクリプティング・エンジンã®å®‰å…¨æ€§ã‚’大幅ã«é«˜ã‚るパッãƒã§ã‚る。Suhosinã¯ï¼Œå®³ã‚’åŠã¼ã™å±é™ºæ€§ã‚’æŒã¤ã‚ã‚Šã¨ã‚らゆるWebベースã®ã‚³ãƒ³ãƒ†ãƒ³ãƒ„を検出ã—,ãれらãŒPHPエンジンを越ãˆã¦ã‚·ã‚¹ãƒ†ãƒ ã‚„ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ã«åˆ°é”ã™ã‚‹ã®ã‚’防ã上ã§å½¹ã«ç«‹ã¤ã€‚ mod_evasiveãŒæ©Ÿèƒ½ã™ã‚‹ä»•çµ„ã¿ã‚’説明ã—よã†ã€‚mod_evasiveã¯ã¾ãšURLリクエストをApacheサーãƒãƒ¼ã«é€ä¿¡ã™ã‚‹IPアドレスã®è¨˜éŒ²ã‚’å–る。ãã®å¾Œï¼Œã‚らã‹ã˜ã‚è¨å®šã—ãŸè¨±
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}