と思います! ブログで稼ぐ方法といえば…! やっぱり、まっさきに思いつくのは、 他人のアフィリエイト書き換えですよね! だから、この日記を見たひとは 「はてなアフィリエイト設定」なんて絶対確認しないでね! 絶対だよ!!! (追記) 22:36 あれ? できなくなったかも? (追記) 00:25 わああ → http://www.hatena.ne.jp/maintenance#m598 (追記) まちがえて ID を「こんにちはこんにちは!!」に書き換えてたから 1円も稼げませんでした><
セミナー申し込みフォームがスパムの踏み台? 星野君のWebアプリほのぼの改造計画(1) 念願のWeb担当に異動した星野君。最初の仕事はセミナーのWeb申し込みフォームを3日で作ることだった(2005/10/15) ・セミナー申し込みフォームを3日で作れ! ・Webサーバはどこだろう? ・Web申し込みフォームなんて簡単ですよ ・スパムの踏み台は想定外!? 誰でもWeb管理画面に入れる気前のいい会社 星野君のWebアプリほのぼの改造計画(2) 星野君に与えられた次なる指令は……仕事がなかった。しかたなく「Web管理ツール」を調べてみると……(2005/11/19) ・仕事がない! ・サーバ上にある「admin」フォルダの謎 ・「admin」フォルダを封鎖せよ ・SQLインジェクション、発見! ・助けて! まこと先輩 ・Webアプリ改造計画発動-SQLインジェクション編 Webアプリ、入力チェ
嵐を越えて 米Google検索で「weather」と入力すると、最初に表示される結果はウェザーチャンネルのサイトである。同社でネットワークアーキテクチャを担当するディレクター、ジョン・ペンロッド氏は、マーケティングという観点では、同社のサイト(www.weather.com)が最上位にランクされるのを喜ばしく思っている。しかしセキュリティという面では、同サイトに対する悪意のあるクエリーがもたらす危険性の大きさを同氏は認識している。 ペンロッド氏によると、同氏が率いるグループはこれまで、ハッカーの攻撃をことごとくはねのけてきたという。これは、効率的なQA(品質保証)プロセスに加え、ウェザーチャンネルでのWeb開発に対して適用している厳格なセキュリティ/コード審査によるところが大きい。専門家によると、これらはGoogleハッキングに対する企業の防衛策として最善の手段だという。 「われわれにとっ
SPI Dynamicsの研究者によると、未熟なプログラマによるAjaxの実装が深刻な脆弱性を作り出す可能性がある。Black Hatからのレポート。 ラスベガス発――オンライン企業間におけるAjax(Asynchronous JavaScript and XML)技術の普及が急速に進み、Webサイトのインタラクティブ性の向上に一役買うようになった。一方で、経験の浅いプログラマが製作したサイトに潜む数多くの脆弱性が、Web 2.0技術の今後のセキュリティに影を落としているという。 7月31日から8月3日にかけて開催されたセキュリティカンファレンス「Black Hat」で講演を行ったビリー・ホフマン氏は、アトランタに拠点を置くセキュリティソフトウェアメーカー、SPI Dynamicsの研究施設で、主任リサーチエンジニアを務めている人物である。同氏は講演の中で、ごく一般的なAjaxアプリケーシ
KDDIは8月2日、同社のインターネット接続サービス「DION」の顧客情報約400万人分が流出した事件を受けて、全社的な情報セキュリティの再点検を実施したと発表した。 同社は、今回の顧客情報流出の事実を重く見て、再点検の実施とともに、再発防止に向け、1)情報流出およびデータ抽出防止、2)証跡確保、3)情報セキュリティ対策の有効性測定、客観性確保、4)社員および業務委託先等社員に対する教育の徹底--の4つの視点から、物理的セキュリティ、技術的セキュリティ、管理的/人的セキュリティからなる情報セキュリティのより一層の強化対策を実施するとしている。 具体的には、顧客情報を取り扱うシステムルームに加え、執務室においても監視カメラおよび生体認証による入退室管理を行い、全国の事業所においても、監視カメラやICカードによる執務室への入退室管理を実施する。また、PCのセキュリティ強化のため、社内の全業務用
こんにちはこんにちは!! クロスサイトスクリプティングの時間です! XSSというと…! まっさきに思いつくのが、入力データ送信 → 確認表示の部分での無害化漏れですよね! たとえばこんな感じのフォームから受け取ったパラメータを、 確認として表示するページとか! (入力) <form action="register.cgi" method="post"> タイトル:<input type="text" name="title"> ← 「ぼくはまちちゃん!」を入力 本文:<input type="text" name="body"> ← 「こんにちはこんにちは!!<script>alert(1)</script>」を入力 </form> (確認) <p>この内容で登録していい?</p> <p> タイトル: ぼくはまちちゃん!<br> 本文: こんにちはこんにちは!!<script>alert
漫画喫茶やインターネットカフェなどから、読書やオンラインゲームをしながらmixiに入ることもあるだろう。 だが、家にいるときと同じようにしていないだろうか? もしそうなら危険すぎるので止めたほうがいい。 少なくともわたしはネットカフェからmixiするとき、以下をするようにしている。 キーロガー対策 キーロガーとは、パソコンのキーボードからのキーストローク情報を記録するソフトウェア、またはハードウェアのことだ。 近年、インターネットカフェなど不特定多数のユーザが使うPCにインストールされ、口座の暗証番号やパスワードなどが盗まれて現金を引き出されるといった被害が発生している。 mixiに入るときはメールとパスワードを聞かれるわけだが、そのまま入力しているとキーロガーなどが仕掛けられている場合アウトだ。 それでログインされると成りすまされ何をされるか分からない。 もし、プロフィールに個人情報を
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
このページについての説明・注意など PHP は、Apache モジュールや、CGI、コマンドラインとして使用できるスクリプト言語です。このページでは、主に PHP における、Web アプリケーションのセキュリティ問題についてまとめています。 Web アプリケーションのセキュリティ問題としては、以下の問題についてよく取り挙げられていると思いますが、これらのセキュリティ問題について調べたことや、これら以外でも、PHP に関連しているセキュリティ問題について知っていることについてメモしておきます。 クロスサイトスクリプティング SQL インジェクション パス・トラバーサル(ディレクトリ・トラバーサル) セッションハイジャック コマンドインジェクション また、PHP マニュアル : セキュリティや、PHP Security Guide (PHP Security Consortium) には、PH
■携帯機種変更してきた。 18:39 前回の機種変から約1年半。前回の模様はこの辺。 http://d.hatena.ne.jp/matsunaga/20040719#p2 http://d.hatena.ne.jp/matsunaga/20040720#p2 http://d.hatena.ne.jp/matsunaga/20040721 前回はカメラなし→カメラ付きが最大のポイントだったが、今回は、movaからfomaへ。 結局、ポイントを使ってFOMA P901isの赤色を購入。 先代と新規購入機を並べて記念写真撮ってみた。 あっ、何か似たような色の子たちが乱入してきたぞ! 右が旧型機P505i。左が新型機P901is。 開いてみた。さりげなくNAMAANストラップ。 ところで、パケホーダイに入ったんですけど、パケホタイムは何時から何時までですか?(´ー`)y-~~ ■楽天のお年
■ [Security] 文字コードとXSS (書きかけ) 例によってセキュリティホールmemoより。厄介ですねぇ……。 キチンと全文書に文字コード指定をしておく マイナーな文字コードで送信するときは、対応環境と影響を考えておく。 不安なら ASCII 完全上位互換の文字コード (ASCII の有効バイトは常に ASCII と同じ意味を持つ EUC-JP、UTF-8 など) を使う。 cross-site injection で META が埋め込めるとかは論外。 位は比較的簡単だし、やっておかないといけないかな。 で、ちょっと気になっているのとしては、とりあえず、UTF-7 はやばやばなのは明らかとして、 ISO-2022-* への派生している議論はちょっとずれている気がしている。 とりあえず、 Bugzilla.jp の 4868: ASCIIと互換性のない文字コードはユーザーの指定で
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
用語「CSRF」についてCSRF (しーえすあーるえふ)話題 : セキュリティ CSRF は Cross Site Request Forgeries の略です。"forgery" は偽造の意味で、サイトをまたがって捏造された攻撃リクエストを送信する、という程度の意味になります。 ※ちなみに、CSRF は「シーサーフ」と発音するのだという説もありますが、少なくとも日本では「しーえすあーるえふ」と呼ぶ方が主流のようです。 たとえば、blog などは Web 上の管理画面で記事の削除ができるようになっています。削除を実行するには、削除を行うような HTTP のリクエストをサーバに送れば良いのですが、この画面は Cookie なり、Basic 認証なりでアクセス制御がされています。そのため、正規のユーザ以外が削除のリクエストを送っても何も起きません。ログイン済みの正規のユーザが「削除」のリクエス
mixiに登録済みのメールアドレスのみを使って新規アカウントを取得する方法。 ただし複数アカウントを持つのは規約違反だから、この方法を使うのは パソコンが苦手なバアチャンとかを招待したい時だけにしようね! まずはmixi新規登録手順のおさらいだ。 招待するひと:Aさん 招待されるひと:Bさん 1. Aさんがmixiの画面から招待 2. AさんからBさん宛に招待メールとどく 3. Bさんが仮登録 4. mixiからBさん宛に確認メールとどく 5. Bさんが確認メールのURLにアクセス 6. 完了 この流れをAさんのメールアドレスのみを使ってやる。 -------- [前準備] ・友人を招待のページ http://mixi.jp/invite.pl へいく ・適当なメールアドレスを入力 ※ブラックリスト入りしてるアドレスだとマズイので、 なるだけ「ありえないアドレス(ありえないドメイン)」を入
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く