中国がDoDをクラックした、と話題ですがSecurityForcusの記事が詳しいのでメモとして。

私も何年も前からセミナーではサーバ、モジュールバージョンは隠すようにと言っています。何故こんな事で賛否両論になるのか全く理解できません。犯罪者がどのように攻撃するか？を考えればなぜ隠す必要があるのか理由は明白です。サーバのバージョン情報が詳しく公開されていれば、その情報を使うに決まっています。攻撃に使える情報は全て使わない訳がありません。 最新版を使っている…

また別のDNSキャッシュ汚染脆弱性が見つかったBIND8ですが、2007/8/27でメンテナンス終了と宣言しています。 ISC is announcing BIND 8 to be End of Life as of today, 27 August 2007. ISC strongly encourages users who depend on BIND…

Honeypotプロジェクトの調査の結果、興味深いというか、予想通りの結果になったようです。 Older versions of the three major browsers for Windows -- Microsoft's Internet Explorer 6 SP2, Mozilla's Firefox 1.5.0, and Opera's O…

「No spyware, adware, malware」としているSkypeですが Much to his horror he found that Skype kept asking to see all the details of his Firefox software and its plug-ins. とLinux版ではFirefoxとプラグイ…

Bugzillaに結構重要なセキュリティホールがレポートされています。 CVE-2007-4538 email_in.pl in Bugzilla 2.23.4 through 3.0.0 allows remote attackers to execute arbitrary commands via the -f (From address) optio…

右から左に書く機能を使ってファイルの拡張子をごまかす方法は有名です。タイトルのリンク先はUTF-8テキストをアドレスバーにコピー&ペーストするとURLでさえ逆向きに表示される、と言う話。私は知らなかったのですがその系に詳しい方には常識だったのかな？？ コメントに書いてありますがOSXのFirefoxでは逆向きにならないようです。今私もOSXで書いてい…

少し前にクライアントサイドでXSS対策（Failsafe対策）をする方法を紹介しましたが http://blog.ohgaki.net/index.php/yohgaki/2007/08/01/a_ma_ca_ca_ca_sa_a_ma_ca_a_sa_rxssamfcs こちらはサーバサイド（データをバインディングする方法）も使ってXSS対策する方法です。…

オープンソースのセキュリティツールで有名(?)なImmunityのDebuggerが結構話題になっている。他にもいろいろ紹介されているようですがeWeekの記事が分かりやすい。 http://www.eweek.com/article2/0,1895,2166829,00.asp Debuggerはヒープやスタックメモリを自動的に解析して脆弱性を検出し、ほぼ…

IPAのドキュメントでは大規模開発にはJava, .NETをお勧めしているようですがTomcatのページにはこのような記載も。 Apache Tomcat 3.x and 4.x, we strongly encourage users to use the latest stable version of Apache Tomcat whenever po…