【注意喚起】ワンクリック不正請求に関する相談急増！ http://www.ipa.go.jp/security/topics/alert20080909.html これによるとワンクリック詐欺が増えているらしい。少なくとも相談件数は増えている。 IPAの資料によるとユーザがアプリケーションを実行してしまう事が原因と解説されています。 相談の主な内容は、動画を…

悪意のあるページからブラウザを保護する為のフィルタリングツールにはクライアントにインストールするタイプ、プロキシタイプなどある。これらのツールは本当にクライアントを保護できているのだろうか? 最近の攻撃は悪意のあるサイトにアクセスしなくても、広告から悪意のあるサイトに誘導されたり、SQLインジェクションやネットワークレベルの攻撃で悪意のあるページへのifra…

昨日の午前11時半頃からデータベースサーバのメモリ不足エラーにより、このブログへアクセスするとMySQLサーバエラーが表示される状態でした。DoSなどの攻撃ではなく、単純にデータベースサーバに利用していたマシンのトラブルでした。DB専用機だったので最近はソフトウェア的な変更はありませんでした。割と古いマシンなのでハードウェア障害の疑いもあります。 DBサーバ…

言われてみれば、そう言えばそんな機能があったね、と思うような機能はよくあります。 JavaScript無しでフォームを制御する方法はHTML4が策定されている時に追加された機能です。 http://www.w3.org/TR/html401/interact/forms.html#h-17.2.1 (さらに…)

追記：斜め読みで勘違いしていた部分を修正しました。RHのSSHのパッケージが全部更新されていたのでここに脆弱性があったと読んでいました。 8/22リリースされたエラータです。 Last week Red Hat detected an intrusion on certain of its computer systems and took immediat…

http://www.milw0rm.com/exploits/6229 などはまだいいですが http://www.0x000000.com/?i=630 こういうのは、本当に使ってしまう輩がいそうで怖いです。 どうしても直ぐにバージョンアップできない場合、WAFは役に立ちます。今回の場合、 mod rewriteを使用した簡易WAF でも十分です。そう言…

「プログラミングはホワイトリスティングが基本」にブラックリストもホワイトリストもどちらも同じ事を言っていて違いが分からない、とコメントを頂きました。 追記：ブラックリストとホワイトリストの違いが解らない方は、恐らくホワイトリストの基本中の基本は”デフォルトで全て拒否する”であることを理解していないのだと思われます。全て拒否した上で、許可するモノ、を指定しない…

「ホワイトリスト方式の優位は神話」と題するエントリに私のブログホワイトリストはどう作る?　が引用されている事を教えていただきました。 誤解されないように書こうとすると、どうしても長文になります。暇な方だけお付き合いください。

たまたま目に止まったブログがあるので紹介します。 PHP:session_set_save_handlerリファレンスマニュアルのサンプルにパス・トラバーサル脆弱性 http://www.tokumaru.org/d/20080818.html#p01 [php]session_set_save_handlerのパストラバーサルで任意コマンドの実行が可能 h…

Googleがクラウドコンピューティングの言語としてPythonを採用したのでセキュリティ研究家が脆弱性を調査し、今年はPythonの脆弱性が多く報告されるはず、とこのブログで予想しています。また新たな脆弱性が報告されているので書いておきます。 今回は整数オーバーフローが多いので、整数オーバーフローを中心に調査したのだと思われます。 Python 2.5.3…