先日あった、ケビンほにゃらら氏によるセミナー。いえセミナーがどうこう言うわけではないのですが。 申し込み用のWebがあってたわけですよ。まぁほぼ何も考えずに、とりあえず一端、「＜A href=""＞test＜/A＞(本当は全部半角ね)」とか入れてみるわけですよ…

大本のネタとしては オズ・インターナショナル、不正アクセスでカード情報大量流出の恐れ http://internet.watch.impress.co.jp/cda/news/2008/05/22/19656.html オズ・インターナショナルは20日、同社が運営するショッピングサイトがSQLインジェクション攻…

わんくまの中さんのBlogから素敵ネタ。 SQLインジェクションされるシステムとは発表しないでおきましょう。 http://blogs.wankuma.com/naka/archive/2008/05/05/136391.aspx [ SQL インジェクション:0030] SQL インジェクション攻撃を受けました。世間に公表…

SQLインジェクションが止まらない、50万ページ以上が改ざん http://itpro.nikkeibp.co.jp/article/NEWS/20080425/300160/ いやまぁSQL-Injection脆弱性持ってるサイトがそんなにもあるのかねとかいう突っ込みはおいといて。 改ざんされたサイトの種類はさま…

元ネタはここ。 日伊の研究者らが発案、ベンチャー企業を設立 「解読不能は数学的に証明済み」、RSAを超える新暗号方式とは http://www.atmarkit.co.jp/news/200804/11/cab.html とりあえず。 CAB方式では、その関数自体が無限個の中から利用者が自由に選べ…

via セキュリティホール memo ( http://www.st.ryukoku.ac.jp/~kjm/security/memo/2008/04.html#20080403__soundhouse )個人情報の流出について http://www.soundhouse.co.jp/shop/News.asp?NewsNo=1555 このたび、弊社が運営するインターネットショッピング…

直近にはyumとかがすげぇ怖いんですが。 ちと見つけてみました http://www.qloc.net/index.html プロセス的には qloc-httpd とかってのが見つかってからの調査で判明したですが。 なんていうのかなんでこぉ「自動化」したがるのかなぁと。 例えば「手元で検…

別名マッチポンプ。 ロシアのサイバー犯罪組織RBNが手がける「悪質なビジネス」 DDoS攻撃対策の対価として、月額2,000ドルの“みかじめ料”要求の疑い http://www.computerworld.jp/news/sec/98870.html 多数のマルウェアをインターネットに流し込んでいるとさ…

直近には、via http://takagi-hiromitsu.jp/diary/20080217.html#p01 で、例えばnwitterとかmixilaboとか。最近書いた http://d.hatena.ne.jp/gallu/20080201/p1 のあたりも間接的にはネタ元になってるなぁ。 なんていうのか…「ぼくはよかれと思ったけど」と…

http://d.hatena.ne.jp/gallu/20080215/p2 で話をしていた「疑似個人情報」なのですが。コメントにも疑問があがりまして、先方に質問をしてみたです。 「生成された住所や電話番号は実在しないものなのか？」という点になります。 たまたまであっても、実在…

本物そっくりの「疑似個人情報」を販売するサイト http://internet.watch.impress.co.jp/cda/news/2008/02/15/18473.html 一瞬何事かと思ったですが。 People to People Communications株式会社は15日、「疑似個人情報販売サイト」を開設し、システム開発な…

まてらゴルァといったタイトルを気にしちゃいけない(笑 英語でかくとauthentication と authorization で、ちゃんと違う。いやどっちも似てるんだけど。 ちなみに。 authenticationは「確証、証明」、authorizationは「委任、認可」とか訳されるようです。 …

そういえば。この記事が「釣りなのかもしれない」という記述を、見た。 うんもしかすると「わざと明らかにおかしいものをかいてみんなの反応を楽しんでいる」のかも、しれない。 ただ。ひとつは「これを真剣に受け取る人がいる可能性」を考えるのと、その場…

http://neta.ywcafe.net/000828.html 経由 http://anond.hatelabo.jp/20080130215148 とか http://d.hatena.ne.jp/Hamachiya2/20080131/security とか。 ついでに http://b.hatena.ne.jp/entry/http://anond.hatelabo.jp/20080130215148 なんていうか…個人的…

あるサイトにセキュリティホールがありました。 当然ではありますが、それを管理している会社さんにご連絡を差し上げます。とりあえず前提を「その会社さんで自分も今お仕事に関わっている」としましょう。 会社さんはこういいます。 「なるほどそれは非常に…

んと。直近に発生してたのが １台のマシンでってつまりひとつのIPで 複数のサービスを、各々違うドメインで動かしてて それらにSSLを導入したい って話ざんした。 まぁ名前ベースのVirtualな設定にSSLの設定もぐりこませりゃいいや証明書はそれぞれ買うとし…

直近には、これ。 http://blog.livedoor.jp/dankogai/archives/50979976.html 入力を検証せよ(Validate input) - 信頼なきデータソースからの入力は、全て検証するようにしましょう。適切な入力検証は、大部分のソフトウェア脆弱性を取り除きます。外部デー…

ここ。 第12回 Webサイトからの顧客情報流出（後編） http://itpro.nikkeibp.co.jp/article/COLUMN/20071025/285475/ サニタイズ(ってか正確にはエスケープ)は 使う直前に 使う目的に合わせて と、何度言っても*1こ〜ゆ〜記事がはびこるのは何でなんだろう？…

http://illegal-site.org/about.html なお、文化庁の定義でも、当協会の定義でも、違法サイトは事前審査で認定できたとしても適法サイトは事前認定のしようがなく、適法サイトを認定するなどと主張する団体があれば、それは荒唐無稽な机上の空論であり、悪質…

先に注意： いつも以上に「わかる人」前提です。 カリカチュアとかが理解できない人は読まないようにしましょう。お互いの健康のためです。 本題。 最近 http://www.itmedia.co.jp/news/articles/0709/05/news073.html http://www.itmedia.co.jp/news/articl…

追記＆注意！！ hashについてある程度理解してから(具体的には「不可逆であること」「衝突の概念(強衝突性と弱衝突性、まではいわんが)」程度)以下をご覧ください。 以上追記。 1方向ハッシュ値からモトネタをリバース http://md5.rednoize.com/ ハッシュ計…

時々(或いはちょくちょく)拝見している、TOTOROさんの日記より。 http://d.hatena.ne.jp/magisystem/20071107#1194396622 昨日深夜に、go.jpなドメインから私宛にメールが。 メールの中には、PGPの鍵（Public Privateの両方）と、それに関わるパスワードが。…

発端は、ここ。 丸善、カード情報を含む顧客情報約65万件を紛失の恐れ http://internet.watch.impress.co.jp/cda/news/2007/10/29/17326.html 丸善は26日、顧客情報などを記録した磁気テープ媒体について、データのバックアップ作業を委託していたNTTコミュ…

脆弱性をオークションで取引 http://slashdot.jp/security/07/07/06/051205.shtml んっと……… 厚生労働省、電子申請システムの脆弱性を半年見過ごし http://slashdot.jp/security/07/07/05/148228.shtml まぁお役所ですし。 書籍 ウェブアプリケーションセキ…

先日の http://d.hatena.ne.jp/gallu/20070626/p2 にTBいただきました。 http://d.hatena.ne.jp/elf/20070628/1183004732 で………… $value = htmlspecialchars($value); $sql = 'INSERT ... '.$value.'...'; とかよくみかけます． …………………………すみませんびっく…

んと…知りうる限りではPHPでやたら多いのですが(それがPHPのシェアによるモノなのかは微妙に不明)。 XSS用の、HTMLのエスケープ処理。おとなしく素直に＜＞の２文字がまず妥当だと思うのですが。なんでか、＜＞は放置して”と’（と￥）に対して￥を付ける、っ…

安全なWebサイト利用の鉄則 http://www.rcis.aist.go.jp/special/websafety2007/ これを読むのは市民の義務です。 市民、あなたは幸福ですか？ …説明いらないよね？

http://blog.php-security.org/archives/61-Retired-from-securityphp.net.html うぉんげふんがふん。痛いよママン；； 苦手な英語にかわって、ITProさんの翻訳版を引用してみたり。 http://itpro.nikkeibp.co.jp/article/COLUMN/20070214/261900/ （辞任し…

http://www.ipa.go.jp/security/vuln/event/200612.html 伺ってきましたともさ。12/13に。 簡単にコメントとかしつつ資料紹介などを。 ご挨拶（IPA セキュリティセンター情報セキュリティ技術ラボラトリー長 小林 偉昭） http://www.ipa.go.jp/security/vuln…

via セキュリティホールmemo様 http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2006/12.html#20061219_FeliCa んっと…とりあえず調べてみて、引いたのはこのあたり。http://www.sony.co.jp/Products/felica/abt/dvs.html セキュリティ 相互認証と通信デ…