Welcome to Pixy! The Problem: Finding XSS and SQLI vulnerabilities Cross-site scripting (XSS) and SQL injection (SQLI) vulnerabilities are present in many modern web applications, and are reported continuously on pages such as BugTraq. In the past, finding such vulnerabilities usually involved manual source code audits. Unfortunately, this manual vulnerability search is a very tiresome and error-
セキュリティ研究者らは米国時間6月19日、PHPによって記述され、GIFファイルに埋め込まれた攻撃コードを大手の画像ホスティングサイトで発見した。SANS Internet Storm Centerへの投稿によると、この攻撃コードはファイルの先頭に正規の画像を配置することで監視の目をすり抜けたという。 同社のセキュリティブログでは「これは、ネットワークセキュリティツールを迂回し、警報を鳴らしたり注意を引いたりすることなく攻撃コードを他者に引き渡す狡猾な方法だ」と説明されている。 悪意のある攻撃者によってPHPで記述された攻撃スクリプトは画像ファイルに埋め込まれる。PHPは動的なウェブサイトを作成するプログラミング言語としてよく用いられている。 SANS Instituteの最高調査責任者(Chief Research Officer)であるJohannes Ullrich氏は、この手の悪質
「(PHPで書かれたアプリケーションには)アバウトなコードが多い」。エレクトロニック・サービス・イニシアチブの大垣靖男社長は,2006年8月19日に開催されたPHP関連イベント「PHPカンファレンス2006」の講演「危険なコード」で,PHPで書かれたアプリケーションに存在する危険なコードを指摘した。講演の中では,実際に存在するアプリケーションの名前を出し,そのソースコードからセキュリティ上危険な個所を挙げていった。「安全なコードを書くには悪い例も知っておかなければならない」というのが同氏の主張である。 大垣氏はまず,「セキュリティのリスクはサブシステムとの境界の部分で発生する」と指摘した。サブシステムとは,データベース,メール・システム,ユーザーのWebブラウザといった外部のシステムのこと。「境界で入力時にきちんとバリデーション,出力時にきちんとエスケープ処理(フィルタリング)を行えば,か
passclicks Passclicks is a new way to login to websites without users having to remember thir old style textual password. 画像による認証のサンプルが公開されているサイトを発見。 まずこの写真から5つのポイントをクリックして覚えておきます。 5つクリックすることでパスワードを生成します。 5クリックすると画面が遷移するので、ログインページに移動して試してみましょう。 ログインには10回のクリックが許されていて、生成時にクリックした5つの位置をまんべんなくクリックしてあげましょう。 ログインが成功するはずです。 ビジュアルパスワードを使うことで、テキストによるものよりも人間が覚えやすい仕組みを実現できますね。 仕組みとしても斬新で、ちょっと感動しました。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く