敵国の通信ネットワークに侵入して敵軍のセンサーが見ているものを見ることができるほか、システム管理者を偽装してシステムを乗っ取り、センサーを操作して、接近する航空機の姿を見られないようにすることができるという。 敵側の送信機の位置を正確に突き止め、偽ターゲットや、虚偽のメッセージ・アルゴリズムをシステムに流し込んで、システム制御をはじめとするさまざまな活動を可…

yohgaki's blog - サーバシグニチャは隠すのが当たり前 http://blog.ohgaki.net/index.php/yohgaki/2007/09/04/a_ma_fa_a_ma_da_a_a_pa_me_na_a_ra_af_a_a に対するコメントを見つけました。このブログに対するご意見は探したことがないので、たまたま見つけたこのブロ…

私が知らなかっただけかもしれませんが、これにはかなり驚きました。いろんな所で問題が指摘されていますが、ECMAScriptにXML機能を追加したのはどうなんでしょうね.... 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。 <script> 123[''+<_>ev</_&…

  追記：新しくより安全なバージョンはこちらです。 hoshikuzuさんのページに書いてあるJavaScript文字列のエスケープ方法です。（元ネタのメールアーカイブは文字が欠落） http://d.hatena.ne.jp/hoshikuzu/20071011#p1 1. 「¥」を「¥¥」に置換する 2. 「"」を「¥"」に置換する 3. 「'…

リンク先のフォーラムによるとページ改竄が可能なWebサイトのAdSenseを自分のIDに改竄してしまう、という直接的な攻撃が行われ始めたようです。 小規模なサイトなら「自分の広告が表示されている、と思っていたら他人の広告だった」と気がつくまでには1カ月くらいは必要かもしれないので多数のWebサイトに仕掛ければ小銭稼ぎくらいはできるかも知れません。実際、実験用…

書かない日記なので書きませんがJava（JRE,JDK,SDK）の脆弱性が多数CVEとして公開されています。数日前のアップデートで更新されていると思いますが、WindowsUpdateのついでにJavaもアップデートの確認をした方が良いです。 アプレットを使ったリモートからの任意ファイルの読み取り、DNS Rebinding攻撃に対する防御などいろいろアップ…

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3893 Unspecified vulnerability in Microsoft Internet Explorer 5.01 through 7 allows remote attackers to execute arbitrary cod…

JSPWikiの脆弱性がCVEに書いてあったので見てみました。 JSPWiki: http://jspwiki.org/ http://nvd.nist.gov/nvd.cfm?cvename=CVE-2007-5121 Cross-site scripting (XSS) vulnerability in JSPWiki 2.5.139-beta allo…

WebカメラのなどのデバイスはWebサーバ機能を持っています。脆弱性がありそうだな、と思っていましたが調べてみるとかなり危険な状態のようです。 * Cross-browser XSS phishing * Replacing the legitimate video stream with our own * Adding a Backdoor Root A…

GnuCitizenとばしてますね。先日はPDFによるコード実行脆弱性を公開（ただし、詳細不明）していました。その前はQuickTimeでした。今度はGmailの脆弱性だそうです。 The technique used in this example is known as Cross-site request forgery, or simply put …