3月1日に"Path Insecurity" と題するテクニカルノートが投稿されていますが、さっき試しに"Path Insecurity"をキーワードにググってみても日本語のページが一つも無いので要旨だけ書いておきます。 「クッキー、HTTP認証のPathは信頼できない」 setTimeoutを使って他のページ開くとPath設定されたクッキー（セッションID…

問題：まちがった自動ログイン処理の解答です。このブログエントリは最近作られたアプリケーションでは「問題」にしたような実装は行われていないはず、と期待していたのですがあっさり期待を破られたのでブログに書きました。このブログの方が詳しく書いていますけが「Webアプリセキュリティ対策入門」にも正しい自動ログイン処理を書いています。 参考：自動ログイン以外に2要素認…

A cross-site scripting (XSS) vulnerability in phpinfo (info.c) in PHP <= 5.1.2 allows remote attackers to inject arbitrary web script or HTML via long array variables, including…

A remote overflow exists in Winny. Winny fails to perform proper bounds checking of unspecified file transfer port commands resulting in a heap-based buffer overflow. With a specia…

Firefox 1.5.0.2以下のiframe.contentWindow.focus()に問題がありバッファがオーバーフローするようです。これ件フォローが無いので真偽は??です。 NoScript拡張を使って不用意にJavaScriptが実行されないように注意した方が良いかも知れません。 http://www.noscript.net/whats IEも…

このアドバイザリのメールの日付は何故か「2005/11/13」となっているのですが4/24のメールの様です。結論から言うとこのアドバイザリは通常は「無視してOK」です。 メールではメモリ消費のPoCとして以下のコードを例示しています。 i. wordwrap() ------ <? $a = str_repeat ("A",438013); $b = …

今日はサンポート高松で13時からPostgreSQL、インターネット、セキュリティ、オープンソースに関するセミナーがあります。 セミナーの詳細はこちら http://www.postgresql.jp/ug/shikoku/conf/20060422/index.html 懇親会の当日受付もしています。 ご都合の良い方は是非お越し下さい。

まだ全部見ていませんが 【セキュリティの脅威を知る レベル 100 シリーズ】 皆様からご要望の多かった開発者が考慮すべきセキュリティの問題点を1つ1つを解説した 全10回シリーズのオンラインセミナーの基礎コースで、毎週公開予定です。 開発を行う上でセキュリティの脅威やその対処について基本から学びたい技術者の方々を対象に セキュリティの脅威の原因と被害また、…

Thunderbirdのアップグレードが出たのでUS-CERTからアドバイザリが出てました。 Firefox： 1.5.0.2 Thunderbird: 1.5.0.2 SeaMonkey: 1.0.1 以外はリモートコード実行の脆弱性があります。重要なのは前にここにも書きましたがMozilla SuiteユーザはSeaMonkeyに移行しなければならないこ…

備考：かなり古いブログですが公開し忘れしていた分です。 次のようなメールが来ました。一瞬、Yahoo!のメールかと思いました。 From: (profile_page_mail)@yahoo.com <profile_page_mail@yahoo.com> To: (yohgaki)@ohgaki.net <yohgaki@ohgaki.…