サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
2010年4月23日 夕刻頃(日本時間)より、正規Webサイトを改ざんし、不正なプログラムが自動でダウンロードされるようにする「Webからの攻撃」に分類される脅威が相次いで確認されています。今回は、その中から一例をとりあげ、現在の脅威動向について分析してみます。 我々の不正サイトクローリングシステムによれば、4月23日に「gr<省略>ad.com」が「This URL is currently listed as malicious.」(不正サイト)として評価が行われていることを確認しています。
NTTドコモの携帯電話のうち、インターネット閲覧ソフト「iモードブラウザ2・0」を搭載した最新29機種を通じて、利用者の個人情報を不正取得される恐れのあることが、専門家の指摘で明らかになった。 同社は携帯サイトの運営者にパスワード認証などの安全対策を呼びかけている。携帯電話の機能が高機能化するにつれ、こうした危険は増しており、利用者も注意が必要になってきた。 高機能ソフトを悪用 該当機種は、昨年5月以降に発表されたプロシリーズやスタイルシリーズなど。iモードブラウザ2・0は、ジャバスクリプトと呼ばれる機能が組み込まれており、携帯用のインターネットサイトと自動で情報をやりとりできる。 悪意ある携帯用サイトは、接続してきた利用者の携帯のジャバスクリプトを使って、利用者が会員になっている別のサイトに一瞬だけ接続させることができる。その時、この会員サイトに利用者の住所など個人データが登録されている
みなさん、虫入れまくってますか? 自分はまだレベル6です 牧場行けないです。サンシャイン農園です 先日 のおさらいです OpenSocialJavaScriptAPI で取得したソーシャルデータは、閲覧者の改ざんを受けている可能性があります ということで、Twixi のように、マイミクであることをある種の承認として扱いたい場合困る なので、改ざんを受けない方法を使いましょう、というようなことを書きました や、改ざんといわれても ここ では、Greasemonkey を使ってソーシャルデータの表示ができてただけだし、せいぜい変なアクティビティ投げる程度じゃん という(自分からの)突っ込みを受けたので、さらに実験してみました Rekooさんぱねぇっす レベル21て。というか既に背景のグラフィックが普通じゃない気がするんですけど (Rekooさんはサンシャイン牧場の提供者のアカウントです)
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
2008/11/11 11月12日、13日にわたってセキュリティをテーマとしたカンファレンス「PacSec.jp」が都内にて開催される。その主催者であるドラゴス・リジュ氏は、@ITの取材に対し「WPAの暗号鍵が破られたことを取り上げるプレゼンテーションに対する関心が高まっているが、自分としてはむしろ、マーク・ダウド氏が行うセッション『Browser Memory Protection Bypasses: VirtualMachines』のほうが重要性が高いと考えている」と述べた。 このセッションは、Webブラウザのセキュリティ保護機能を迂回してしまう攻撃方法について取り上げる予定だ。「伝統的なバッファオーバーフローの代わりに、FlashやJavaScriptといったリッチでパワフルなコンテンツを用いて、バイトコードを直接、ブラウザのコンテキストで実施してしまうという方法で、非常に驚くべき
有限責任中間法人 JPCERT コーディネーションセンター(JPCERT/CC)は、フェンリルが提供するウェブブラウザ「Sleipnir」および「Grani」のお気に入り検索機能に脆弱性が発見されたと発表した。 細工された文字列が検索に使用されていた場合、表示された検索結果を履歴より復元した際に、ユーザーのウェブブラウザ上で任意のスクリプトが実行される可能性がある。 この脆弱性が存在するのは、Sleipnir 2.7.1 Release 2とそれ以前のバージョン、Portable Sleipnir 2.7.1 Release2とそれ以前、Grani 3.1とそれ以前。フェンリルでは、この脆弱性を解消した最新バージョンを提供しており、該当するバージョンを使用するユーザーは早急にアップデートするよう呼びかけている。
知らぬ間に中国内サーバーの「fuckjp.js」を実行してしまう 3月に発生したWeb改ざんと,Webにアクセスしてきたエンドユーザーへの攻撃手法を,もう少し詳しく見てみよう(図2)。 図2●3月11~13日の攻撃の流れ (1)攻撃者は,SQLインジェクションを使って企業や団体のWebページを改ざん,悪意のあるJavaScriptへのリンクを挿入する。(2)Webページを閲覧したユーザーは,知らぬまにリンク先の悪意のあるJavaScriptを実行。(3)もしユーザーのパソコンにぜい弱性がある場合は,ウイルスなど不正プログラムに感染する。 [画像のクリックで拡大表示] 前述したように,まずはSQLインジェクション攻撃を使って企業や団体のWebサイトを改ざんする。改ざんといっても,昔のようにWebページをごっそり別のものに差し替えたり,なんらかのメッセージ文を表示したりするといったことではない
TOPICSProgramming , Web ,Security 発行年月日 2008年02月 PRINT LENGTH 284 ISBN 978-4-87311-358-6 原書 Securing Ajax Applications FORMATPDF Ajaxは、昨今のWebサービスでは欠かせないものとなっていますが、そのインタラクティブ性の高さゆえに多くの脆弱性を抱えており、セキュリティがますます重要になってきています。本書はAjaxアプリケーションをはじめ、Web 2.0関連のテクノロジやWebサービス全般に関しても幅広くカバー。セキュリティに関する基本知識やWebアプリケーションの持つ脆弱性にも詳しく触れています。実際に多数のアクセスを集めているWeb 2.0サイトでのケーススタディなども交え、安全なWebアプリケーションを構築するために必要な知識をコンパクトにまとめてい
セキュリティ調査会社のFinjanから今月中旬に出されたプレスリリースにて、ある一群のWebサーバに何らかの不正操作を施された結果、そこにアクセスする多数のWindowsマシンが連日マルウェアに感染させられ続けており、こうして汚染されたマシンは未だ正体のつかめぬ犯罪組織の意図するボットとして活動するようになっているという警告が報じられている。この問題の発覚後、セキュリティ企業のScanSafeおよびSecureWorksもこの件に取り組んではいるが、感染されたサイト数の正確な数は未だ把握しかねているとのことだ。ただし今のところ、被害にあったサーバはLinuxおよびApacheの組み合わせという点において、すべてのレポートが一致している。 ServerTune.comの掲載記事にある説明では、今回の手口では不正操作を受けたサーバにルートキットの一種がインストールされており、それが正規のシステ
(Last Updated On: )私が知らなかっただけかもしれませんが、これにはかなり驚きました。いろんな所で問題が指摘されていますが、ECMAScriptにXML機能を追加したのはどうなんでしょうね…. 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。 <script> 123[”+<_>ev</_>+<_>al</_>](”+<_>aler</_>+<_>t</_>+<_>(1)</_>); </script> 好むと好まざる関係なくFirefox 1.5から使えるのでWeb開発者は知っておかなればならないです。 日本語訳 http://www.ne.jp/asahi/nanto/moon/specs/ecma-357.html 原文 http://www.ecma-international.org/publications/
先ほど、はてなスターの仕組みを変更し、正常なはてなスターのコード以外で☆が付けにくくなりました。 これまでの仕様では、画像(img)タグなどに☆を追加するためのURLを仕込ませるだけで、そのページにアクセスしただけで☆をつけたことになってしまうなどの問題が発生していましたが、今回の変更により、セッションごとに暗号化された文字列を追加でやりとりするようになり、意図しない☆がつきにくい仕組みになりました。 なお、既存のはてなスターを設置のユーザー様は、特に設定の変更などは必要ございません。 新しい仕様でも、JavaScriptが実行可能な環境で意図的にスクリプトを仕込むことで意図しない☆が付く動作を実行させることが可能ですが、はてなダイアリーやグループなどのJavaScriptを自由に書くことができない環境ではこのようなことはできなくなっています。はてなスターでは、外部のブログサイトなど様々
1か月以上ご利用いただいていない日記の「スパムコメント・トラックバックの拒否」を有効にしました 先ほど、はてなダイアリーとはてなグループにおいて、1か月以上更新のない休眠状態のブログに対して「スパムコメント・トラックバックの拒否」設定をはてなにより有効とさせていただきました。はてなダイアリー及びはてなグループにはコメントやトラックバックを外部から受け付ける機能があり、以前からご利用いただいております。しかしこの数ヶ月間、スパムコメントやトラックバックの数が非常に増加しており、日記一覧ページやアンテナで記事が更新されたと思って見に行ったらスパムコメントだけがついていたり、あるいは毎日のように大量のスパムトラックバックが飛んでくるため、いつもスパムへの誘導リンクを見てしまうといった被害が大量に発生しています。はてなでは、先日からDNSBLを用いたトラックバックフィルターやコメント時の画像認
小飼弾のアルファギークに逢いたい♥ #6IT戦士 天野 仁史/こんにちはこんにちは! Hamachiya2(後編) Webアプリ開発でもっとも重要なこと 天野 仁史さん、Hamachiya2さん(はまちちゃん)との対談の後編です。 編集部注)本対談は2007年3月に行われたものです。 撮影:武田康宏 優れたエンジニアって 弾:毎度おなじみの質問です。優れたエンジニアとして重要なのはどんなことでしょうか。タグは綴じようとか(笑)。 天:俺は自分1人でどこまで作れるかっていうことだと思います。上から下まで自分でどのくらい作れるか。そういう意味では、自分はまだまだかなぁと思うんですけど。 は:そういう人がそばにいたら、何でもお願いしたくなっちゃうかも。アイディアが湧いたら「こんなの作って」とかって。この人に言ったら、上から下まで全部できちゃうみたいな。 弾:いやでも何でもやら
(2007年10月追記) この記事は、AdobeAIR と呼ばれている技術のα版時点でのセキュリティについて述べています。2007年10月現在での最新版についての情報は、以下のページを参照してください。akihiro kamijo: AdobeAIR ベータ 2セキュリティ関連の変更点akihiro kamijo: AdobeAIR のデジタル署名機能について(追記ここまで) void elementblog: いろんな意味でしゃれにならないApollo にてApollo はセキュリティ的に危ないよ、という話が出ていたので、ちょっと調べてみました。Web技術を使っているとはいえ、ローカル環境で動くので、ある程度の覚悟をもってインストールする必要があります。今回は、その心構え(?)のようなものをまとめてみました。セキュリティは専門ではないので、つっこみは大歓迎です。Apollo
前回ではWeb 2.0の興隆とともに,JavaScriptが多用され,使用をできないようにするととたんに,Webが使い物にならなくなる現状が,脅威を生んでいることを示した。今回は,RSSといった新しい技術や,ユーザーからの情報公開といったWeb 2.0の特徴がさらに火に油を注ぐことになることを示す。RSS,ATOMのリーダー・ソフトなど新しいアプリケーションの台頭は,ブラウザ以外にもJavaScript実行環境が増えることにほかならない。RSSやATOMのリーダー・ソフトは本来,最新情報のリストを表示するための仕組み。JavaScriptを解釈する必要はない。しかし多くが,Internet Explorerなど既存のソフトのコンポーネントを使用してリストを表示しているため,JavaScriptを解釈してしまうケースがある。 実際,無償で配布されているRSSリーダーのいくつかでXSSのぜ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Amazon.co.jp: Ajaxアプリケーション & Webセキュリティ: 本: Christopher Wells,牧野 聡
