X

Security

Ruby on Rials – Session Fixation脆弱性の攻撃方法

前回に引き続きWeb関係のセキュリティ脆弱性がどのように攻撃されるのか解説した記事がThinkITに掲載されています。 今回はRuby on Railsの脆弱性が対象です。Ruby on Railsにもいくつかのセキュリティ脆弱性が報告されていますが、URLベースのセッションがいかに脆弱であるか解説しています。 解説対象の脆弱性 http://cve.mit…

Apache httpd脆弱性のリスク評価は不十分

先日Apache httpdサーバにセキュリティ脆弱性を修正したリリースが公開されました。 例えばSecuniaのApache httpd 2.2の脆弱性ページをみると先日リリースされた2.2.8で修正された脆弱性のセキュリティリスクは低く評価されています。 http://secunia.com/advisories/28046/ ここにはmod_negot…

Firefox chrome: URL Handling Directory Traversal

前回のエントリでFirefoxの利用をお勧めしているので未パッチのFirefoxの脆弱性を紹介しておきます。 Firefox chrome: URL Handling Directory Traversalにchromeがディレクトリ遷移攻撃に脆弱だとレポートされています。 この脆弱性を用いるとシステム内のファイルを盗まれる可能性があります。(追記に書きまし…

FTPとCPanelユーザはクラッキングに注意が必要

Hack Attack Hits 10,000 Web Sitesによると自動化された攻撃で10000以上のサイトがブラウザやブラウザプラグインの脆弱性を攻撃するコードをホスティングさせられているそうです。 この攻撃はFTPとCPanelのパスワードをブルートフォース方式で解析、ログインできたサイトに自動的に攻撃コードを埋め込むようになっているそうです。攻撃…

文字エンコーディングを利用したSQLインジェクション

PHPのSQLインジェクションを実体験 http://www.thinkit.co.jp/free/article/0801/5/2/ を書かせて頂きました。この文字エンコーディングを利用した攻撃は古い脆弱性です。知っている方なら2年以上前からよくご存知とは思います。 記事のタイトル通り、文字エンコーディングを利用したSQLインジェクションを実体験できます。…

UPnPルータ+Flash=深刻なセキュリティ問題

GNUCITIZENは重要なセキュリティ問題を次々に公開しているのでセキュリティに興味がある方はチェックしているのでご存知とは思いますが、 Hacking The Interwebs http://www.gnucitizen.org/blog/hacking-the-interwebs に非常には深刻なセキュリティ問題が解説してあります。具体的な攻撃方法な…

またQuickTime…

QuickTime関連の脆弱性多さは非常に目につきます。また見つかったようです。 http://www.milw0rm.com/exploits/4885 During my tests I have been able to fully overwrite the return address anyway note that the visible ef…

Cross Site Printing

クロスサイトスクリプティングと同じ要領でネットワークプリンタに接続して印刷してしまう「Cross Site Printing」と呼ばれている手法が公開されています。 <img src="myprinter:9100/Print_from_the_web"> ポート9100でネットワークプリンタが印刷できる状態で待機しているので印刷できてしまいます…

安全にInternet(ブラウザ)を利用する為のTips

一般的なユーザはインターネットを利用する場合のリスクを十分理解していない場合が多いと思います。コンピュータに詳しくない方が、より安全に利用する為のTipsを考えてみました。 常に最新バージョンのブラウザを利用する 常に最新バージョンのブラグインを利用する JavaScript/プラグインを無効にする ブラウザにインストールする拡張機能(プラグイン)は最小限に…

Flash Playerは即刻アップデート!

Flash Playerに深刻な脆弱性(簡単に他所のサイトのアカウントが乗っ取れる脆弱性と他の脆弱性)がありアップデートがリリースされています。 悪意のあるSWFファイルを読み込ませることによって脆弱性を悪用することができ、攻撃が成功すればシステムを乗っ取ることも可能だという。 http://internet.watch.impress.co.jp/cda/…