X

Security

クロスサイトスクリプティングを防ぐための10のTips

クロスサイトスクリプティングを防ぐための10のTipsをgihyo.jpのブログに載せました。 Webサーバの設定になるので書いてませんがApacheなどでも明示的に文字エンコーディングを指定した方が、誤って違った文字エンコーディングで静的コンテンツを書いてしまった場合でも分かるのでよいと思います。 AddDefaultCharset utf-8 などとht…

SquirrelMailのコードが改竄される

追記: 攻撃が目的の改竄だった模様です。 http://blog.ohgaki.net/index.php/yohgaki/2007/12/16/squirrelmail-1 ---- http://squirrelmail.org/index.php によると、12/8にSquirrelMail 1.4.12のコードが改竄されていたようです。 While …

WordPress Charset SQL Injection Vulnerability

http://www.securiteam.com/unixfocus/6N00D0AKKM.html に解説されている脆弱性は基本中の基本です。 Most database query in WordPress uses escape() method to sanitize SQL string, which is essentially filteri…

安全性について知っておくべき事

パスワードの解読にも『PS3』が活躍 http://wiredvision.jp/news/200711/2007113023.html PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 http://slashdot.jp/security/07/12/02/1931233.shtml PS3は演算処理性能が高くFoldings@H…

PHPで実装されたベイズフィルタ

PHPで実装されたベイズフィルタを見かけました。 http://www.atomicmpc.com.au/forums.asp?s=2&c=10&t=4466 ライセンスはGPLライセンスです。 ソースコードを見ると当然ですが半角スペースでトークンに分解しているので日本語では使えません。しかし、mecabなどを使用して使えるようにするのはそう…

Webアプリスキャナの性能

NTOSpider, AppScan, WebInspectとメジャーなWebアプリスキャナの性能を比較した方がいるようです。結果のPDFは以下のURLです。 http://ha.ckers.org/files/CoverageOfWebAppScanners.pdf Forty Tracerを使ってスキャン中のコード実行カバレッジを利用してアプリケーション…

Thuderbird 2.0.0.8は何時リリースされる?

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5340 http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5339 によるとThunderbird 2.0.0.8でDoS脆弱性が修正される、とされています。もうリリースされているのかな? と思って http://www.moz…

RoR CVE

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5380 Session fixation vulnerability in Rails before 1.2.4, as used for Ruby on Rails, allows remote attackers to hijack web sessions vi…

Adobe Reader/Acrobatのパッチ公開

PCを乗っ取れる脆弱性がある、とされていたAdobe Reader/Acrobatですがパッチがリリースされた模様です。 Adobe Acrobat http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Windows Adobe Reader http://www…

フォームの2重送信の防止…

ちょっと気になったので... 記事はコラム形式だったので書いていないだけだと思いますが2つ問題があります。 1. 識別可能なフォームの数に限りがある セッション変数を利用しているため変数名でフォームを識別する必要があり、ユーザが複数のフォームを利用した場合、正しく動作しない。この制限をなくす事もできますが、その場合セッション変数が大きくなりすぎた状態に対処す…