こっちも聞かれたので セキュリティ・ホールを攻撃するための小さなプログラム、またセキュリティ・ホールを実証するためのプログラムを「Exploit code」と呼びます。

聞かれたので ソフトウェアにセキュリティ上の脆弱性(セキュリティホール)が発見されたときに、問題の存在自体が広く公表される前にその脆弱性を悪用して行なわれる攻撃。

セキュリティ企業のラックは3月12日、日本をターゲットとしたSQLインジェクション攻撃が急増しているとし、注意を喚起した。企業や組織などが公開している正規のページが改ざんされて悪意あるWebサイトへのリンクが埋め込まれ、ユーザーがマルウェア感染など…

思い出したら追加する。

これはためになります。 webapplicationsec Unicodeとセキュリティ セキュリティ検査手法 受入れテスト用セキュリティチェックリスト 趣味と実益のWebアプリケーション検査

いきてー ■[Security][勉強会]セキュアコーディング勉強会 第壱回を開催致します

脆弱性は、Lotus Dominoのバージョン7.0/6.5/6.0に影響があり、対策としてはLotus Dominoを最新版のプログラムにアップデートすることが挙げられている。ただし、Lotus Domino 6.0については、2007年4月30日でサポート期間が終了しているため、6.5以上にアッ…

まじかー Gatford氏の説明によると、攻撃者はクロスサイトスクリプティングの脆弱性を利用し、Gmailアカウント利用者がログインし悪意あるリンクをクリックした際にGmailアカウントを攻撃できるという。その瞬間から、攻撃者はGmailのセッションクッキーを掌…

いろんなシステムで同一のパスワードを使用していると一点突破が怖い件。 あとでよむ。 セカンドライフにユーザー名とパスワードが流出する脆弱性の検索結果 7 件

Web application を host する secure な network 構成での攻撃方法を考える Web application を host する secure な network 構成 の続き なかなか興味を引くエントリだったので後で熟読予定。

1万を超えるWebサイトを支配する“史上空前”のサイバー攻撃が発生 「世界中に蔓延する危険も」――セキュリティ・ベンダー各社が警告

千葉興業銀行は９日、千葉県柏市のスーパーに設置された同行の無人現金自動預払機（ＡＴＭ）に、キャッシュカードの磁気情報を読み取るスキミング機器が設置されていたと発表した。預金の引き出しなどの被害はないという。

うそーん。CSRFってことか？ 本日20時頃、特定のタグを貼り付けたページを閲覧するだけで、はてなにご登録いただいているアフィリエイトIDが書き換わってしまう脆弱性が存在する事が判明しました。 この脆弱性について、先ほど修正を行いました。現在、この…

ぎゃー JVN#90420168 複数のサイボウズ製品におけるディレクトリトラバーサルの脆弱性

スライドが公開されてる。めもめも 2006年7月22日、第8回WebSig会議でお話しした「ディレクター・製作者が知っておくべきセキュリティ」に関するサポートページです。とりあえず資料がダウンロードできます。

あとでよむ。 Web アプリケーション セキュリティ強化: 脅威とその対策 セキュリティ保護された Web アプリケーションの設計ガイドライン

総務省は、社団法人日本インターネットプロバイダー協会の協力を得て、平成１８年６月９日（金）に情報セキュリティ対策の集中啓発を行うこととしましたので実施概要を公表します。

ASP.NET 1.1 ASP.NET 2.0 認証および許可 コード アクセス セキュリティ 通信セキュリティ 構成 暗号化 エンタープライズ サービス (.NET Framework 1.1) 偽装および委任 入力およびデータ検証 修正プログラムおよび更新 SQL Server 2000 脅威のモデル化 Web…

これはやばい！インターネット経由でVNCとかやってたら死亡... 遠隔の第三者が巧妙に細工した VNC クライアントを用いることにより、RealVNC Server に不正アクセスされる可能性があります。 id:tetsutalowさんありがとー あ、対策ですがRealVNC 4.1.2にする…

入門編です。おもにWebアプリ開発者には、基礎知識レベルとして見ていただきたい内容。 開発者が考慮すべきセキュリティの脅威とは何か？皆様から最もご要望をいただいていたまずはセキュリティの脅威を理解する基本的なオンラインセミナーを公開いたします…

Learning Path を使用して、セキュリティ上の脅威および適切な対応策についてのマイクロソフトのトレーニング リファレンスおよびリソースの範囲を検索してください。学習のためのリソースはレベルごと (基本的なものから専門的なものまで) にまとめられてお…

at 高木浩光＠自宅の日記から。 CSRF対策に「ワンタイムトークン」方式を推奨しない理由

必読です。 セキュリティガイドラインとは、Webアプリケーション開発におけるセキュリティ維持のために定められた、ロジック作成時のガイドラインです。このセキュリティガイドラインに従って開発を行うことで、担当者のプログラミング(または設計)レベルに…

あとでよむぞー 「安全なウェブサイトの作り方」では、「ウェブアプリケーションのセキュリティ実装」として、 IPAが届出を受けたソフトウエア製品およびウェブアプリケーションの脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい…

おーい、維持手数料上がってるがな 同行によれば、ワンタイムパスワードへの統一は国内初の試みで、ビジネスモデル特許を出願しているという。また、今回のセキュリティ強化にあたり、口座維持手数料を従来の105円から189円へ改定する予定。 全プレらしいよ…

再委託先社員の私用パソコンからWinnyへ情報流出 - 三井住友

WebサーバがSQLインジェクション攻撃を受け、顧客情報が流出する事件 google:Webサーバ SQLインジェクション攻撃 顧客情報 流出 事件 Webサーバ SQLインジェクション攻撃 顧客情報 流出 事件 の検索結果 約 155 件

おお。DLするー ■ 「Webシステム セキュリティ要求仕様（RFP）」編 β版(1.12MB) ■ α版に対するご意見と、その対応 (452ＫB)

入力フォームがSSLページでないばあい、適切にSSLが使われているかどうか不安になる。 クレジットカード業界は最もWebセキュリティを理解していない業界