バグトラッキングソフトをホスティングしているサーバが攻撃を受け、JIRA、Bugzilla、Confluenceのユーザーのパスワードが流出した恐れがあるという。 Apache Software Foundationは4月13日、バグトラッキングソフト「JIRA」をホスティングしているサーバが攻撃を受けたとブログで発表した。この攻撃により、ApacheでホスティングしているJIRA、Bugzilla、Confluenceのユーザーのハッシュ化されたパスワードが流出した恐れがあると警告した。 Apacheによれば、攻撃には短縮URLサービスのTinyURLを使ってクロスサイトスクリプティング(XSS)攻撃コードを仕込んだURLへリダイレクトする手口が使われたという。Apacheの管理者数人がこのリンクをクリックしてしまい、JIRA管理権限を含むセッションに侵入された。 さらにXSS攻撃と並行
どのような脆弱性か 先日書いた「Rails 2系のXSS脆弱性がRuby 1.9では影響なしとされる理由」という記事に、奥さん(id:kazuhooku)より、下記のブックマークコメントをいただきました。 たとえばブログの場合、誰かに壊れたUTF-8を含むコメントを書き込まれちゃうと、そのブログ全体にアクセスできなくなる(最新コメント一覧に出るから)んじゃないか。XSSが発生しないだけで脆弱性があることは変わらない はてなブックマーク - kazuhookuのブックマーク / 2009年9月26日 まったくおっしゃる通りです。アプリケーションの構成によっては、サービス自体が提供できなくなる可能性があります。 このような脆弱性を何とよぶのでしょうか。すでに統一的な呼称があるのかどうか、私は知りません。サービス不能という観点からは広義のDoS脆弱性といえるのかもしれません。 追記(2009-0
あらあら予告inがXSSやられちゃったらしいですね! 使い古された手法? いまどきエスケープ処理すらしてなくてダサい? 関連の記事に対して、はてなブックマークでも色々言われていたり、 http://b.hatena.ne.jp/t/%E4%BA%88%E5%91%8A.in?threshold=1 ニュースサイトでも、こんな煽り記事を書かれていたりするけれど… 今回の件についてIT企業に勤めるエンジニアに聞いてみると、 「これは初歩中の初歩。XSSコード書いた方も10分も掛かってないよ。それを事前に対策してなかった予告inにはもっとビックリだけど、、、素人なの?」 と語る。 予告inセキュリティ脆弱性を狙ったコード!? 「予告in開発者は素人」 http://news.livedoor.com/article/detail/3759632/ それってどうだろうね。 GoogleやAmazo
02/18 08:27 夏目漱石 / 02/18 08:27 **** / 02/18 08:27 こんにちは。****殺す / 02/17 10:46 ****殺す 千葉県松戸市*** / 02/17 10:46 ****殺す 千葉県松戸市*** / 02/17 10:46 千葉県松戸市**** / 02/17 10:46 **さん殺すぞ 千葉県松戸市** / 02/17 08:42 ****殺す / 02/17 08:42 もう一発 コーラン燃やしつつム / 02/16 09:56 じゃあ****殺す / 02/15 12:10 これは確実にセーフだろwwwwwwww / 02/14 08:01 wwwwwwwwwwwwwww / 02/13 08:14 ****殺す / 02/13 08:13 >>375 **** / 02/11 15:07 今夜ぶたくんを殺しに行く / 02/11
1 名前:IPアドレス[age] 投稿日:2008/08/03(日) 03:12:44.88 ID:hJGa0Jwk0 嘘です 3 以下、名無しにかわりましてVIPがお送りします2008/08/03(日) 03:14:58.95 ID:W5TaIWE+P なんでフシアナしてんの? 3 以下、名無しにかわりましてVIPがお送りします2008/08/03(日) 03:24:59.09 ID:igRc3Zgc0 ウイルスだとしたら可哀想過ぎる 8 以下、名無しにかわりましてVIPがお送りします2008/08/03(日) 03:26:32.85 ID:Hfvg/Mq/0 何踏んだんだか 5 以下、名無しにかわりましてVIPがお送りします2008/08/03(日) 03:25:40.16 ID:p6EtL+QM0 予告inにクロスサイトスクリプティング攻撃だってよ!! 62 以下、名無しにかわりまし
Googleは米国時間7月1日、ウェブ開発者がクロスサイト脆弱性を発見し、修正するためのツールをリリースした。 Googleによると、「RatProxy」と呼ばれるこの無料ツールは、半自動化された大部分が受動型のウェブアプリケーションセキュリティ監視ツールで、複雑なWeb 2.0環境における既存のユーザー主導型トラフィックの監視に基づく潜在的問題およびセキュリティ関連の設計パターンを正確かつ高感度に検出し、自動的に注釈を付けるように最適化されているという。 同ツールはまた、幅広く脆弱性を検知し、ランク付けする。クロスサイトリクエストフォージェリ(XSRF)やクロスサイトスクリプティング(XSS)のほか、スクリプトインジェクションなども検知する。 RatProxyは、Linux、FreeBSD、MacOS X、Windows(Cygwin)の4種類のオペレーティングシステム(OS)に対応して
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JPCERT/CCは12月12日、掲示板ソフトウェア「Rainboard」にXSS(クロスサイトスクリプティング)の脆弱性が確認されたとして関連情報を公開した。この脆弱性は、Rainboardのバージョン2.02とそれ以前が影響を受ける。 Rainboardは、UDONが提供する掲示板ソフトウェア。該当するバージョンでは、任意のスクリプトが埋めこめてしまうクロスサイト・スクリプティングの問題が存在する。この問題が悪用されると、悪意あるサイトからRainboardへのリンクなど通じて Cookie の内容を盗み見られるなど、任意のJavascriptコードなどを実行される可能性がある。 なお、Rainboardにはこの脆弱性が修正されたバ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます JPCERT/CCはこのほど、サイボウズ製品に4件のセキュリティ脆弱性が確認されたとして、注意を呼びかけた。対象となる製品は、「サイボウズ Office」や「サイボウズ ガルーン」など複数の製品で、クロスサイトスクリプティング(XSS)やHTTPインジェクションなどを実行されたり、DoS攻撃を受ける可能性がある。 影響を受けるバージョンは、サイボウズ Office 6.6とそれ以前 、サイボウズ ガルーン 1.5、「サイボウズ ガルーン ワークフロー 1.0」とそれ以前、「サイボウズ ガルーン ファイル管理サーバー 1.0」とそれ以前、「サイボウズ ガルーン 掲示板サーバー 1.0」とそれ以前、「サイボウズ ガルーン 施設予約サーバー
(Last Updated On: 2007年10月12日)私が知らなかっただけかもしれませんが、これにはかなり驚きました。いろんな所で問題が指摘されていますが、ECMAScriptにXML機能を追加したのはどうなんでしょうね…. 確かにかなり便利なのですが以下のコードでスクリプトが実行されることはほとんど知られていないでしょうね。 <script> 123[”+<_>ev</_>+<_>al</_>](”+<_>aler</_>+<_>t</_>+<_>(1)</_>); </script> 好むと好まざる関係なくFirefox 1.5から使えるのでWeb開発者は知っておかなればならないです。 日本語訳 http://www.ne.jp/asahi/nanto/moon/specs/ecma-357.html 原文 http://www.ecma-international.org/pu
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く