2007/06/19(火)火曜日ー。(あくぷる? あくぷらない?(ちがうw))
[占い] * 脳内メーカー : yamagataの脳内イメージ
経由。 私の脳内は、「恋愛」と「友情」の間で悩んでいるようです。(ぇw[セキュリティ] * Open Vulnerability Search beta
(* kikuz0uさん
経由。)Milw0rm、FrSIRT、Secunia などから縦断的に脆弱性を検索出来るサイト。 とりあえず、メモ。[雑談] * (ISC)2 Japan 公式サイト
サイトをリニューアルしたそうです。 CISSP は、世界で 49,818人、日本で 813人らしい。[出来事] * 【会見詳報】ANA障害の原因判明、「世界4例のスイッチ故障がきっかけ」 (ITPro)
発生の翌日から言われていた、5月のシステム更新時の設定の誤りで 6台中3台が不正なデータの棄却が出来なくなっていて処理能力が低下&ダウンした、という話以外に、今回、Cisco のスイッチ(Catalyst)の故障も原因の一端だったという話になっているようです。関連: * 5月27日システム障害の原因と再発防止について (全日空)
[セキュリティ] * イタリアで大規模な攻撃、多数の有名サイトに罠が仕掛けられる (ITPro)
イタリアで、多数のWebサイトが改ざんされ、display:none が指定されている 見えない<iframe>タグによって攻撃用ファイルが呼ばれるよう仕込まれてしまっているそうです。 これは、Windows や Internet Explorer だけに留まらず、QuickTime や WinZip の脆弱性まで悪用する仕組みになっていて、未パッチの状態の場合、Webページを閲覧するだけでウィルスに感染させられてしまうとのことです。関連: * Italy Under Attack: Mpack Gang Strikes Again! (Symantec)
[セキュリティ] * Excess - webmail XSS tester (scanit)
経由。 Webメールに XSS が存在しないかどうかをチェックするツール。 -t で宛先、-f で差出人、-s で SMTPサーバを指定して実行するとメールが送信されるので、それを Webメールシステムで表示し、ダイアログが出現するかを確認する。 葉っぱさんなら、expression の全角とか、data:スキーマとか、色々足りないところが目に付くんだろうなぁw[セキュリティ] * Webサイトのセキュリティ診断:傾向分析レポート2007 (NRIセキュア)
2006年度に 146 の Webサイトに対してセキュリティ診断を行った結果の統計情報が出ています。 最近の傾向としては、例えば、クロスサイトスクリプティングのような有名な問題については、「まったく対策されていない」サイトは少なくなったものの、一部の画面に対策漏れがあるようなケースは依然として多く、相変わらず 50%以上のサイトで問題が発見されているとのことです。[雑談] いま、会いにゆ・・・やっぱ寝ます。
後日談: * いい結婚式だったね(マジで!) (不活性で怠惰なアタシの肉体の神秘)
- ずきんさん
経由。 私の脳内は、「恋愛」と「友情」の間で悩んでいるようです。(ぇw[セキュリティ] * Open Vulnerability Search beta
(* kikuz0uさん
経由。)Milw0rm、FrSIRT、Secunia などから縦断的に脆弱性を検索出来るサイト。 とりあえず、メモ。[雑談] * (ISC)2 Japan 公式サイト
サイトをリニューアルしたそうです。 CISSP は、世界で 49,818人、日本で 813人らしい。[出来事] * 【会見詳報】ANA障害の原因判明、「世界4例のスイッチ故障がきっかけ」 (ITPro)
発生の翌日から言われていた、5月のシステム更新時の設定の誤りで 6台中3台が不正なデータの棄却が出来なくなっていて処理能力が低下&ダウンした、という話以外に、今回、Cisco のスイッチ(Catalyst)の故障も原因の一端だったという話になっているようです。関連: * 5月27日システム障害の原因と再発防止について (全日空)
[セキュリティ] * イタリアで大規模な攻撃、多数の有名サイトに罠が仕掛けられる (ITPro)
イタリアで、多数のWebサイトが改ざんされ、display:none が指定されている 見えない<iframe>タグによって攻撃用ファイルが呼ばれるよう仕込まれてしまっているそうです。 これは、Windows や Internet Explorer だけに留まらず、QuickTime や WinZip の脆弱性まで悪用する仕組みになっていて、未パッチの状態の場合、Webページを閲覧するだけでウィルスに感染させられてしまうとのことです。関連: * Italy Under Attack: Mpack Gang Strikes Again! (Symantec)
[セキュリティ] * Excess - webmail XSS tester (scanit)
- tessyさん
経由。 Webメールに XSS が存在しないかどうかをチェックするツール。 -t で宛先、-f で差出人、-s で SMTPサーバを指定して実行するとメールが送信されるので、それを Webメールシステムで表示し、ダイアログが出現するかを確認する。 葉っぱさんなら、expression の全角とか、data:スキーマとか、色々足りないところが目に付くんだろうなぁw[セキュリティ] * Webサイトのセキュリティ診断:傾向分析レポート2007 (NRIセキュア)
2006年度に 146 の Webサイトに対してセキュリティ診断を行った結果の統計情報が出ています。 最近の傾向としては、例えば、クロスサイトスクリプティングのような有名な問題については、「まったく対策されていない」サイトは少なくなったものの、一部の画面に対策漏れがあるようなケースは依然として多く、相変わらず 50%以上のサイトで問題が発見されているとのことです。[雑談] いま、会いにゆ・・・やっぱ寝ます。
- いま、会いにゆ・・・やっぱ寝ます。 (不活性で怠惰なアタシの肉体の神秘)
後日談: * いい結婚式だったね(マジで!) (不活性で怠惰なアタシの肉体の神秘)