クロスサイトスクリプティングについての質問です。 http://hamachiya.com/junk/xss.html xssが実行されているらしいのですが、何が行われているのか、よく分かりません。情報処理推進機構の「講演会受付」という画面が表示されるだけです。詳しく解説していただけないでしょうか。xssに関してはあまり詳しくないです。
Date: Tue, 30 Jan 2007 10:37:05 +0900 From: "IPA/vuln/Info" To: root@hamachiya.com はまちや2様 ウェブアプリケーションの脆弱性関連情報を届出いただき、ありが とうございます。 本件につきまして、ガイドラインの以下の項目に記載がありますよ うに、届出の際には発見者様の氏名をご記入頂いております。 これは、責任ある届出を促すためであり、匿名やハンドルネームの 届出は受理できませんので、実名での届出にご協力をお願い致します。 ----------------------------------------------------------- 「情報セキュリティ早期警戒パートナーシップガイドライン」P.17 V.ウェブアプリケーションに係る脆弱性関連情報取扱 2. 発見者の対応 4) 届け出る情報の内容 ・発見者
by Gina Trapani Click to viewNeed to look up a phone number on your home computer from the office? Or control the headless media server you set up at your buddy's place across town? Or help Mom figure out how to use Flickr? You already know that Virtual Network Computing (VNC) remote controls computers over the internet. But VNC is not a secure protocol - and it won't work if the remote machine is
http://d.hatena.ne.jp/Hamachiya2/20070114/ha_url_janaiyo_poem_dayo_hi_konnnichiha URLって住所みたいなものでしょ。で、URLを作成するっていうのはいわば自分が大家でマンション名をつけるみたいなものだと思うんだ。「メゾン山の彼方の空遠く」とか「幸い住むと人のいうハイツ」とかマンションに名前をつけて、地図会社に「このマンション名は自分の作ったポエムで著作権は自分にある。勝手に地図に載せるな」といって通るのかなということ。 あるいは、図書館戦争という本があって、私は読んだことがないんだけど、これは確か各章の題をつなげるとひとつの宣言文になるんだよね。仮にこの本が章ごとに一冊ずつ出ていたとして、「題をつなげた宣言文は私の著作物である。それを勝手に転載してはいけない」といっても、タイトルに関しては著作権は限定的にしか
ポエムその1: http://d.hatena.ne.jp/Hamachiya2/20070114/ha_url_janaiyo_poem_dayo_hi_konnnichiha ポエムその2: http://d.hatena.ne.jp:80/Hamachiya2/20070114/ha_url_janaiyo_poem_dayo_hi_konnnichiha ポエムその3: http://221.186.146.29/Hamachiya2/20070114/ha_url_janaiyo_poem_dayo_hi_konnnichiha ポエムその4: http://0xdd.0xba.0x92.0x1d/Hamachiya2/20070114/ha_url_janaiyo_poem_dayo_hi_konnnichiha ポエムその5: http://0335.0272.0222.00
1月10日の集計結果につきまして 一部のユーザー様におきまして、1月10日分のブラウザ、言語等の集計結果が正しく集計されていない状態となっておりました。再集計を行いましたので、現在は正しく表示されるようになっています。 ご利用の皆様には大変ご迷惑をおかけしてしまい、申し訳ございませんでした。
本日20時頃、特定のタグを貼り付けたページを閲覧するだけで、はてなにご登録いただいているアフィリエイトIDが書き換わってしまう脆弱性が存在する事が判明しました。 この脆弱性について、先ほど修正を行いました。現在、この脆弱性は修正されております。 脆弱性の内容 特定の引数を指定した画像タグを使用する事で、ページの閲覧者がアフィリエイトページで設定を変更した操作と同等の操作が可能となっておりました。 今後の対応について 現在被害状況を調査中ですが、アフィリエイトIDの書き換えが行われた方が現在200名程度確認されています。 今後さらに詳細な調査を行い、被害者の方には随時個別に今回の状況説明と、アフィリエイトID再設定のご連絡を行わせていただきます。 また、同様の脆弱性が存在しないか、改めて他のページについても確認を行います。 このたびははてなシステムの不備により、ユーザーの皆様にご迷惑をおかけ
はいこんにちは! エントリー書いた直後って、やっぱり反応が気になりませんか! アクセスあるかな…!と思って、 管理ページやエントリーの下にでてくる「アクセス元」を見ても、 なんだか1時間おきくらいにしか反映されません>< これってちょっと、にらにらしちゃいますよね! だけど、有料オプション(はてなカウンター?)を 申し込みたいってほどでもないし…! さて、そんなきみに楽しいお知らせです! お金をかけずにアクセス解析、しちゃいましょうか…! (やりかた) (1) BlogPet に登録 いきなりてまえみそでごめんなさい>< 「そんなの貼りたくないよ!」ってきみも、 「ペットはダメ」ってママに怒られたきみも、 とりあえず今回は騙されて登録だけしちゃおうね! 変なペットとか貼り付けなくてもいいから大丈夫だよ! → BlogPet: 新規登録 (2) きみのダイアリーに BlogPet を設置 う
soumu.go.jp とか>< なので、 .htaccess (とか httpd.conf) で RewriteEngine on RewriteCond %{REMOTE_HOST} \.go\.jp$ [NC] RewriteCond %{REQUEST_URI} !^/404.html RewriteRule .* http://hamachiya.com/404.html [L,R] ってしてみたよ! [NC] は、大文字小文字区別しないって印で [R] は、リダイレクトでとばすよーって印で ( R=301 みたいにステータスコードも書けるよ! ) [L] は最終行だよっていう印だよ! 他のドメインも制限したいなら、たとえば co.jp なら RewriteCond %{REMOTE_HOST} \.co\.jp$ [NC,OR] RewriteCond %{REMOTE_HOS
国立情報学研究所助手で、SNSに詳しい大向一輝さんは、チェーン日記を「口コミの一種」とし、口コミの伝播力は「情報の伝達経路とトピックの誘因力――ユーザについ日記を書かせてしまう力――に依存する」と指摘する。 今回の伝達経路は、マイミクという知人経由。「知人の発言は、赤の他人の発言よりも信頼しやすい」(大向さん)ため、信じ込ませる力は強い。 チェーン日記の最後に掲載されていたURLも、“信頼性”を補強した。URLをクリックした先は、mixi日記で「はまちちゃん」を検索した結果で、ピーク時にはチェーン日記を信じ込んだ人の日記が並んだ。「情報は複数のソースから同時に入ってくると信頼しやすい」(大向さん)といい、他人の日記を見て「やはり本当だった」と信じ込むユーザーも多かったようだ。 日記の数だけでなく、その内容も自己増殖していった。「実際に被害が出ているようです」といった根拠のない文章や、昨年4
昨年4月の騒ぎの後にも、はまちちゃんはmixiのCSRF脆弱性を少なくとも4回は見つけています。新着日記が「ぼくはまちちゃん!」で埋まり、誰もが狂ったように「こんにちはこんにちは!」「こんにちはこんにちは!」と挨拶しまくる風景は、はまちちゃんのマイミクにとっては日常的なものです。 彼女は別にセキュリティの専門家ではなく、ごく普通のニート系女子です。そのたった一人にこれだけの脆弱性が見つけられてしまうmixiは、まぁ、あんまり堅牢な作りではないだろうと思われます。 現時点で1つの脆弱性も残されていないとは思えないのです。 日記が勝手に書かれるだけなら実害はありませんが、もし、強い悪意を持つ人が脆弱性を見つけたら、例えば次のような攻撃を行うかもしれません。 日記の設定を「友人まで公開」から「全体に公開」に変更する 自己紹介欄に攻撃コードを埋め込む(見た目は変わらない) プロフィールページを見た
mixiは、特定のURLをクリックするだけでウイルスに感染したり個人情報が漏えいする、とのデマに対して注意を呼びかけている。 このデマは、特定のURLをクリックするとタイトルが「ぼくはまちちゃん!」となった日記が作成されてしまう現象が6月18日に発生したことが発端。この現象だが、すぐに原因が特定され1時間後に対応を完了した。 しかし、この現象について、ワームやウイルスである、その日記にコメントすると自分の日記にも同じ内容が投稿される、個人情報が漏えいする、1日のタイムラグを持って発病する、mixiの管理者でも対応できないほどのスピードで広がっている、などのデマが日記やメッセージで流れている。さらに、緊急であるためほかの人にもこの情報を伝えてほしい、との内容になっている。 mixiでは、「憶測によるチェーンメール化した情報が見られますが、ウイルスによる影響や個人情報の漏洩などは一切ございませ
すぐに思いつく修正方法は、mixiトップの「障害のご報告」のところに 「〜〜という内容の日記がでまわっておりますが、日記が追加される問題点は修正済みであり、情報などが漏洩されることはございません」のような内容を公式アナウンスとして掲載しちゃうことで、そうすれば「なんだガセか!」って情報がチェーンメールを駆逐する、とは思うんだけど、 それって、 「ぼくはまちちゃん脆弱性については、障害情報には一切のせない」というmixi運営ポリシーに反するからできない。 から修正不能なのかな! さすがいぬビーム…! さすがはまちちゃん! 昨日の話の続き。 まず、チェーンメールを書いたのははまちちゃん当人なのでした。 さらに、日記が書かれたのは19日なんですが、その前日には(いつもの)勝手に日記が投稿されちゃう攻撃が実施されてたのでした。なのでチェンメの半分くらいは実話。 ここまでだけなら「なんて手の混んだ自
SNS(ソーシャルネットワーキングサービス)「mixi」上で6月19日夜から、「mixiの日記を介してウイルスが広まっている、個人情報が漏えいする恐れもある」などという内容の日記が、チェーンメールのような形で急速に広まっている。運営元のミクシィは、「ウイルスによる影響や個人情報の漏えいなどは一切ない」とし、この日記を広めたり、メッセージで友人に注意を促したりしないよう注意を呼びかけている。 問題の日記は、「『ぼくはまちちゃん!』というタイトルの日記にコメントすると、自分の日記にも自動的に同じ内容の記事が投稿され、メールや本名などの個人情報が漏えいする。これはワームという名のウイルスで、mixi管理者でも対応できないほどのスピードで繁殖を繰り返している。友人にぜひ伝えてほしい」という内容。ミクシィは「ウイルスによる影響や個人情報の漏えいなどは一切ない。日記やメッセージなどでの注意喚起は遠慮し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く