2006-02-01から1ヶ月間の記事一覧
今さらな感もあるけど、備忘録ついでにメモ。 WebAppSec XSSにより発生しうる被害 − WebAppSec CSRF対策をちゃんとしていて、なおかつセッションCookieが取れない状況でも、スクリプトが動けばブログの更新とか勝手にできちゃうこともあるわけで。
より分かり易く充実した情報提供のため、JVN をご利用される皆様のご意見・ご要望を伺いたく、アンケートを実施いたします。 だそうです。
サードパーティのアプリケーションサービスにて Windows XP SP1 および Windows Server 2003 にて特権の上昇が可能とのこと。
devnullの中の人。
JSOC による2005年上半期の攻撃傾向のレポート。
connect24hの中の人。
偽装 2.0 です。拡張子よりもっと簡単。こんなメールを送り、相手に「返信」を押させるだけ。 Subject: Phising From: cardinfo@bank.example.com Reply-To: cardinfo@bank.example.com <vuln@phising.example.com> 大至急、カード番号をご連絡ください。安易に「返信」を押さないこと</vuln@phising.example.com>…
いろいろと考えさせられますね。XSS の脅威としては単純に Cookie の漏洩だけではないですし。以下、とあるブログサービスの XSS について IPA とやり取りした実例。(もちろん部分的に伏せたり書き換えたりしてます。)
HDD 故障確率推定器
Beta 2 だそうです。あとでバージョンアップしておこう…。
■はてなダイアリー本体のXSS脆弱性 ■セッション管理をinput[type="hidden"]等で行うことについて mixi足あとちょうを、さらにバレにくくする
今度は SQL インジェクション。IPAによる解説。
2006年2月28日(火) 13:00〜16:00、東京、無料(80名) 最近、IPAが届出を受付けたウェブアプリケーションの脆弱性関連情報などを基に、影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画いたしました。
IE7 がクラッシュしリモートから任意のコードが実行できる可能性があるバグ(これのことかな)について、すでにコードレビューの段階で発見済みであり、次のパブリックリリースまでに修正されるとのことだそうです。
ずきん日記より。 拡張子 txt の説明が ファイルの種類: テキスト ファイル 拡張子: txt アプリケーション名: EmEditor 説明文: このドキュメントは、EmEditor のテキスト ファイルです って。早い者勝ちですか? あと、せめてアルファベット順に並べて欲し…
新しく始まるみたいですね。上記URLは建設予定地かな。 (追記) こっちみたいですね。
頂きます。ありがとうございます。 [MSDN]MSDNフォーラム オープン! (aspxの日記(ASP++ブログ) by Moo) Re: 全フォーラムの RSS は存在しないのでしょうか? (MSDNフォーラム)
TechNet のカスタマイズサービス。新着記事や興味のある分野の記事、サポート技術情報など、登録した内容に応じて表示される項目をカスタマイズできます。