2006-02-01から1ヶ月間の記事一覧

XSS の脅威

今さらな感もあるけど、備忘録ついでにメモ。 WebAppSec XSSにより発生しうる被害 − WebAppSec CSRF対策をちゃんとしていて、なおかつセッションCookieが取れない状況でも、スクリプトが動けばブログの更新とか勝手にできちゃうこともあるわけで。

〜 JVN オンラインアンケートご協力のお願い 〜 − JVN

より分かり易く充実した情報提供のため、JVN をご利用される皆様のご意見・ご要望を伺いたく、アンケートを実施いたします。 だそうです。

Microsoft Security Advisory (914457) Possible Vulnerability in Windows Service ACLs

サードパーティのアプリケーションサービスにて Windows XP SP1 および Windows Server 2003 にて特権の上昇が可能とのこと。

MSDN eye: 第 5 回「開発者セキュリティ」

devnullの中の人。

侵入傾向分析レポート Vol.5 − LAC

JSOC による2005年上半期の攻撃傾向のレポート。

MVP Insider: February 2006

connect24hの中の人。

メールアドレスの偽装

偽装 2.0 です。拡張子よりもっと簡単。こんなメールを送り、相手に「返信」を押させるだけ。 Subject: Phising From: cardinfo@bank.example.com Reply-To: cardinfo@bank.example.com <vuln@phising.example.com> 大至急、カード番号をご連絡ください。安易に「返信」を押さないこと</vuln@phising.example.com>…

■ブログサービスの XSS 脆弱性対策はいらない−のか? − hoshikuzu | star_dust の書斎

いろいろと考えさせられますね。XSS の脅威としては単純に Cookie の漏洩だけではないですし。以下、とあるブログサービスの XSS について IPA とやり取りした実例。(もちろん部分的に伏せたり書き換えたりしてます。)

一目で分かる ハードディスク故障確率 早見表

HDD 故障確率推定器

Internet Explorer Developer Toolbar − Microsoft Download Center

Beta 2 だそうです。あとでバージョンアップしておこう…。

あとで読むメモ。

■はてなダイアリー本体のXSS脆弱性 ■セッション管理をinput[type="hidden"]等で行うことについて mixi足あとちょうを、さらにバレにくくする

JVN#41550845 長崎県電子県庁システムにおける SQL インジェクションの脆弱性 − JVN

今度は SQL インジェクション。IPAによる解説。

ウェブアプリケーション開発者向けセキュリティ実装講座の開催について − IPA

2006年2月28日(火) 13:00〜16:00、東京、無料(80名) 最近、IPAが届出を受付けたウェブアプリケーションの脆弱性関連情報などを基に、影響度が大きい脆弱性を取り上げ、その解決策を紹介するセキュリティ実装講座を企画いたしました。

Security issue in IE7? − IE Blog

IE7 がクラッシュしリモートから任意のコードが実行できる可能性があるバグ(これのことかな)について、すでにコードレビューの段階で発見済みであり、次のパブリックリリースまでに修正されるとのことだそうです。

ファイル拡張子とそのファイルを開く事ができるアプリケーションの一覧 − Microsoft

ずきん日記より。 拡張子 txt の説明が ファイルの種類: テキスト ファイル 拡張子: txt アプリケーション名: EmEditor 説明文: このドキュメントは、EmEditor のテキスト ファイルです って。早い者勝ちですか? あと、せめてアルファベット順に並べて欲し…

鵜飼裕司のSecurity from USA − IT Pro

新しく始まるみたいですね。上記URLは建設予定地かな。 (追記) こっちみたいですね。

MSDN フォーラムの RSS をまとめた opml

頂きます。ありがとうございます。 [MSDN]MSDNフォーラム オープン! (aspxの日記(ASP++ブログ) by Moo) Re: 全フォーラムの RSS は存在しないのでしょうか? (MSDNフォーラム)

My TechNet 利用方法のご案内 − Microsoft

TechNet のカスタマイズサービス。新着記事や興味のある分野の記事、サポート技術情報など、登録した内容に応じて表示される項目をカスタマイズできます。