前回に引き続きWeb関係のセキュリティ脆弱性がどのように攻撃されるのか解説した記事がThinkITに掲載されています。 今回はRuby on Railsの脆弱性が対象です。Ruby on Railsにもいくつかのセキュリティ脆弱性が報告されていますが、URLベースのセッションがいかに脆弱であるか解説しています。 解説対象の脆弱性 http://cve.mit…

先日Apache httpdサーバにセキュリティ脆弱性を修正したリリースが公開されました。 例えばSecuniaのApache httpd 2.2の脆弱性ページをみると先日リリースされた2.2.8で修正された脆弱性のセキュリティリスクは低く評価されています。 http://secunia.com/advisories/28046/ ここにはmod_negot…

前回のエントリでFirefoxの利用をお勧めしているので未パッチのFirefoxの脆弱性を紹介しておきます。 Firefox chrome: URL Handling Directory Traversalにchromeがディレクトリ遷移攻撃に脆弱だとレポートされています。 この脆弱性を用いるとシステム内のファイルを盗まれる可能性があります。（追記に書きまし…

Hack Attack Hits 10,000 Web Sitesによると自動化された攻撃で10000以上のサイトがブラウザやブラウザプラグインの脆弱性を攻撃するコードをホスティングさせられているそうです。 この攻撃はFTPとCPanelのパスワードをブルートフォース方式で解析、ログインできたサイトに自動的に攻撃コードを埋め込むようになっているそうです。攻撃…

少し前のエントリ、宛先を個人のメールアドレスに設定しているメルマガは迷惑メールに！の続きです。DM業者はどのようにメールを送信すべきか考えました。 これから書く考えはDM送信側ではなく、DM受信側の視点から考えています。 メールの種類 まず簡単にメールを分類します。受信者から見ると 自分のアクションが必要な個人宛メール - 問い合わせ、確認等。 経緯などを知…

PHPのSQLインジェクションを実体験 http://www.thinkit.co.jp/free/article/0801/5/2/ を書かせて頂きました。この文字エンコーディングを利用した攻撃は古い脆弱性です。知っている方なら2年以上前からよくご存知とは思います。 記事のタイトル通り、文字エンコーディングを利用したSQLインジェクションを実体験できます。…

GNUCITIZENは重要なセキュリティ問題を次々に公開しているのでセキュリティに興味がある方はチェックしているのでご存知とは思いますが、 Hacking The Interwebs http://www.gnucitizen.org/blog/hacking-the-interwebs に非常には深刻なセキュリティ問題が解説してあります。具体的な攻撃方法な…

追記： いろいろ異論がある事は分かっていながら書きましたが、ぼんやりと考えていた事は正確には伝わっていないと思います。このエントリの続きとして責任あるDM送信者はどのようにメールを送信すべきかを書きました。こちらの方が分かりやすいと思います。要はスパマーでないDM送信側は受信側にもっと配慮すべきだと考えています。その方が両方にとって利益になると考えています。…

http://people.freebsd.org/~kris/scaling/7.0%20Preview.pdf にFreeBSD7上でのPostgreSQLとMySQLのベンチマークが載っています。 PostgreSQL 8.2.4 - 11ページ ピーク性能でおよそ5400transactions/secほど。 MySQL 5.0.45 - 15ページ…

QuickTime関連の脆弱性多さは非常に目につきます。また見つかったようです。 http://www.milw0rm.com/exploits/4885 During my tests I have been able to fully overwrite the return address anyway note that the visible ef…