数日前に思い切ってThunderbird 1.0から1.5にアップグレードしました。フィッシング対策ツールが付いてくるのは知っていましたがどの様な場合に知りませんでした。 調べて見ると - URLがIPアドレスの場合 - URLのリンク先として表示されたアドレスと実際にリンク先が異なる場合 にフィッシングメールと判定されるようです。 シンプルな機能ですが役に…

XSTとはCross Site Tracingの事で2003年にその危険性が指摘されました。 簡単に言うとクロスサイトスクリプティングに脆弱なWebサイトはTRACEメソッドでBasic認証のクレデンシャル（ユーザ名とパスワード）を盗まれてしまう、と言う問題です。当時、XmlHttpRequestが他のサイトにもリクエストを送信できたので非常に大きな問題でし…

Codeblogというプロジェクトに協力させていただく事になりました。 こちらの個人用ブログも更新しますがあまり更新されてない場合などはcodeblogの方もご覧ください。

full-disclosureから。 少し前にeBayでセキュリティホールをオークションに出ていとブログに書きました。 今度は自分のWebサイトだけでなくMLに広告まで出しています。iDefense等は購入しなかったようです。企業としては正しい判断だと思います。基本的には無視が一番だと思いますが、この様な場合どう対処するべきなんでしょうね。 -----BEG…

webappsecでこんなメールを見かけました。 For the most part I ignore the dozens of daily attacks against my system but this one caught my eye. Looks like some defacing groups are writing/implementi…

年末の時点でのawstatsとXMLRPC脆弱性への攻撃のサマリ。

RFID防止財布は財布に入っているタグ付きカード等をRFIDリーダから保護するものですが、こちらはRFIDを壊して使えなくすることを目的としています。 The RFID-Zapper is a gadget to deactivate (i.e. destroy) passive RFID-Tags permanently. とあるように完全に壊すことを目的…

備考：かなり古いブログですが公開し忘れしていた分です。 セキュリティ対策の基本とセーフガードを セキュリティ対策の基本は -外部システム（人間を含む。DNS、メールのデータ等も）は信用しない -信用できないデータは確実に確認する -外部システムに出力する場合は外部システムの仕様に従った形式で出力する ですがセーフガードの話をしているのに「本来セキュリティは.…

少し前に「やはり、まだある単純リモートスクリプト実行バグ..」と書いていますが、まだあるどころか「まだまだ出てくる」という感じですです。 まず、phpDocumentator、これのテスト用スクリプトにはリモートファイルを実行できるバグがあります。それから、onBoardこれも全く同じくリモートコードを実行できるバグがあります。 onBoardはよく知りませ…

アンオフィシャルなWMF Hotfixがありますが、ダイアログ、メッセージなどが一切出ずにインストールできるHotfixもあるそうです。ログオンスクリプトでインストールする事も可能になります。 私はこのHotfixをインストールしていません。とりあえずMSサイトに記載されていたdllの登録を解除しただけです。 http://blog.ohgaki.net/i…