2004/12/25(土)土曜日ー。(ひきこもり♪ クリスマスなのに・・・。)
[便利] * zphoto: Flashベースのフォトアルバムを作るツール
で使われてるのを見て、かんどーしました。格好良いですね、これ。(世の中には Flash キライな人も多いかも知れないけどー。(^-^;)[雑談] * ♪さきっちょ&はあちゅう♪の悪あが記
『クリスマスまでに彼氏を作るblog「* 悪あが記
」』がいよいよ佳境に!? 他人事だとは思えないから、ぜひ頑張って欲しいです。(^-^;[雑談] * エスカレーター:地下鉄駅で歩行禁止 名古屋市議会で論議 (毎日新聞)
```textile韓国俳優ペ・ヨンジュン(32)の公式ホームページ(
)に23日から不正なアクセスが殺到し、同夜にHPが閉鎖される事態に陥った。セキュリティー対策などに時間がかかるため、再開は早くても年明け以降になるという。…犯人は、サーバー内から登録者のID、パスワードなどの個人情報を盗んだり改ざんしたほか、登録者になりすまして個人情報を掲示板に書き込んだりしていたという。```『* ペ/ゆうこりん祭りまとめ
』に経緯がまとめられているようです。
』によれば、
**[PDF]**
☆『安全なWebアプリ開発の鉄則 2004年版』はどこかで公開されないんですかね〜♪[セキュリティ] NGSSoftware から大量のアドバイザリが・・・
今まで見つかった複数の手法を組み合わせることで、ページを閲覧するだけで Windows XP SP2 のシステムを侵害することができる exploit ができたようです。(汗
textilezphoto は Flash ベースのフォトアルバムを作るツールです。デジカメ写真から Flash を用いたフォトアルバム (オンラインアルバム) を簡単に作成できます。
- ともちゃさんの日記
で使われてるのを見て、かんどーしました。格好良いですね、これ。(世の中には Flash キライな人も多いかも知れないけどー。(^-^;)[雑談] * ♪さきっちょ&はあちゅう♪の悪あが記
『クリスマスまでに彼氏を作るblog「* 悪あが記
」』がいよいよ佳境に!? 他人事だとは思えないから、ぜひ頑張って欲しいです。(^-^;[雑談] * エスカレーター:地下鉄駅で歩行禁止 名古屋市議会で論議 (毎日新聞)
textile名古屋市議会本会議でこのほど、今年夏から市営地下鉄の駅のエスカレーター上での歩行が禁止され、2列で立ち止まって利用するようになった問題が取り上げられた。質問したのは稲本和仁市議。「右側1列を空けるのが慣例なのに、なぜ突然歩行を禁止したのか」とただした。…稲本市議は「耳に届く声の8割は、右空け通行がなぜいけないのかという内容だ」と指摘。お。私も必ず歩く派なので、なぜいけないの?って思いますね。ってゆーか、そんなの市側が明示的に禁止するものでもあるまいに。[セキュリティ] * ヨン様狙われた!公式HPにハッカー侵入 (日刊スポーツ)
```textile韓国俳優ペ・ヨンジュン(32)の公式ホームページ(
)に23日から不正なアクセスが殺到し、同夜にHPが閉鎖される事態に陥った。セキュリティー対策などに時間がかかるため、再開は早くても年明け以降になるという。…犯人は、サーバー内から登録者のID、パスワードなどの個人情報を盗んだり改ざんしたほか、登録者になりすまして個人情報を掲示板に書き込んだりしていたという。```『* ペ/ゆうこりん祭りまとめ
』に経緯がまとめられているようです。
textile**2004年12月23日午後6時ごろ:**ペ公式のセキュリティーホールを発見。誰にでもわかる簡単なCookieで個人情報が垂れ流しにされていることが発覚。↓2ちゃんねらがペヲタの個人情報を公開(ZIPファイルなどになって出回る)。IDを乗っ取って投稿などする。『
』によれば、
textile23 :オレオレ!オレだよ、名無しだよ!! :04/12/25 02:27:01#!/usr/bin/perl…$userid = '';#ユーザーID$request = HTTP::Request->new('GET' => 'http://www.yongjoon.jp/mypage/member1.asp');…$request -> header('Cookie' => "myid=$userid; cfyuid=$userid;");…これで見れたんだと。今はアクセス不可になってるとのことなので、どうやら Cookie に ユーザID がそのまま入っていて、それを 他人のID に改ざんしてアクセスすると、他人の登録情報が見えた、という内容のようですね。[セキュリティ] Webアプリの怖さを知らない開発者**# まー (2004/12/25(Sat) 13:44) **このソースから見ると・・・作り手がWebアプリの怖さを知らなかったとしかまったくですね。(^-^; 昔作ったアプリに残ってるというならまだ話は分かるんですが、このサイトは結構最近に作ったんでしょうから、当然、対応していて欲しいところですよね、、、Webアプリ開発者ならば、下記の内容くらいは抑えておいて欲しいところです:
- 秘密情報を含まないCOOKIEに頼ったアクセス制御方式の脆弱性 (SecurIT)
- 安全なWebアプリ開発40箇条の鉄則 (高木先生)
**[PDF]**
- セキュア・プログラミング講座 (IPA ISEC)
☆『安全なWebアプリ開発の鉄則 2004年版』はどこかで公開されないんですかね〜♪[セキュリティ] NGSSoftware から大量のアドバイザリが・・・
textile『Severity: High risk』がたくさん。。。(パッチ出てますので適用・確認を。)[セキュリティ] * Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise (Greyhats Security)Oracle ISQLPlus file access vulnerability (#NISR2122004E) Oracle Trigger Abuse (#NISR2122004I) Oracle Character Conversion Bugs (#NISR2122004G) Oracle extproc buffer overflow (#NISR23122004A) Oracle extproc directory traversal (#NISR23122004B) Oracle extproc local command execution (#NISR23122004C) Oracle clear text passwords (#NISR2122004D) Oracle TNS Listener DoS (#NISR2122004F) Oracle multiple PL/SQL injection vulnerabilities (#NISR2122004H) Oracle wrapped procedure overflow (#NISR2122004J) IBM DB2 rec2xml buffer overflow vulnerability (#NISR2122004J) IBM DB2 generate_distfile buffer overflow vulnerability (#NISR2122004L)
今まで見つかった複数の手法を組み合わせることで、ページを閲覧するだけで Windows XP SP2 のシステムを侵害することができる exploit ができたようです。(汗