[B! security] IMAKADOのブックマーク

IMAKADO id:IMAKADO

securityに関するIMAKADOのブックマーク (89)

id-manager.el - 技術日記＠kiwanami
いい加減ちゃんとIDの管理をしようと思って、Emacsで動くID/Password管理ツールを作ってみました。gpgが入っていて、EasyPGやalpacaなどで自動的にファイルが暗号化される仕組みを前提にしています。UbuntuのEmacs23.1でしか試していませんが、ちょっと直せばMacやWindowsのEmacsでも動くと思います。 svn: http://svn.codecheck.in/lang/elisp/id-manager/trunk/id-manager.el 上のelispを適当なところにおいて、 (require 'id-manager) します。例によってanything前提で、 (global-set-key (kbd "M-7") 'id-manager) としておけば、M-7などで起動します。anythingで絞り込んでパスワードをコピーしたり、参照したり、
IMAKADO 2009/09/15
emacs

elisp

kiwanami

security
リンク
SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ - hideden.hatenablog.com
2009-08-02 15:10:00 iPhone使わない方法を追記 iPhoneを色々いじってる過程でやってみたら出来たのでメモ。さほど悪い事は出来ないと思うけど、色々自己責任で。 iPhoneとSBMガラケーでは全く別のネットワークを使用しているため、通常iPhoneからは公式サイトやIPでアクセス制限をかけてる勝手サイトは見る事が出来ない。特に見る必要も無いのだが、実験としてやってみた。 iPhoneは通常 "smile.world" というAPNに接続している。一方、ガラケーはググって見たところ "mailwebservice.softbank.ne.jp" というAPNに接続しているらしい。っと言うことは、iPhoneの接続先をこれに変えてしまえばiPhoneもSBMガラケー側のネットワークに入れる・・・はず。用意するモノ香港版orSIMUnlock済みの iPhone
IMAKADO 2009/08/03
mobile

security

5

softbank
リンク
ウェブ健康診断 - 財団法人地方自治情報センター（LASDEC）
地方公共団体が運営するホームぺージの改ざん防止等を図り、安定的な電子行政に資するため、ウェブアプリケーションの脆弱性の有無を診断し、その対処方法をお知らせします。ハッカーからの攻撃等による個人情報漏えいの危険性がある脆弱性についても診断できます。 ※診断実施希望団体︵平成20年度︶の募集は終了しました。ウェブ健康診断とは？﹁ウェブ健康診断﹂とは、地方公共団体が運営するWebアプリケーションについて、インターネットを介して脆弱性の有無を診断するものです。地方公共団体であれば、無償で診断を受けることができます。本事業は、人間に例えるなら、その名のとおり﹁健康診断﹂にあたるような位置づけの診断です。人間ドックに比べたら精密ではありませんが、昨年度事業での診断結果傾向等を考慮しながら重要な診断項目を網羅してあります。基本的な対策が出来ているかどうかを診断するものとお捉えください。We
IMAKADO 2009/07/29
security

xss

cheatsheet

5
リンク
文字コードとセキュリティ
Loading...
IMAKADO 2009/04/03
encode

security

hasegawa

4
リンク
高木浩光＠自宅の日記 - 携帯電話向けWebアプリの脆弱性事情はどうなっているのか
■ 携帯電話向けWebアプリの脆弱性事情はどうなっているのか WEB+DB PRESS誌のVol.37に「携帯サイト開発実践テクニック 2007」という記事が掲載されているのだが、そこにこんな記述があった。端末認証登録が必要なサイトの場合，利用する際にはログインが必要です．ID/パスワードを毎回入力するのでは，携帯の場合では特に面倒です．そこで携帯ならではの認証方法として，現在の端末では取得が容易にできる端末自体の情報（端末ID）を利用します．（略）セッション PCサイトでセッションを使う場合は，通常セッションIDをCookieに保存しますが，携帯ブラウザではCookieにデータを保存することができません．そこで携帯サイトでCookieを使う場合はURLにセッションIDを埋め込むことになります．セッションIDをGETで渡すセッションIDをGETで渡す場合は，PHPの設定ファ
IMAKADO 2009/03/23
mobile

security

takagi
リンク
SQLのバインド機構は「エスケープ処理された値」をはめ込むのか - ockeghem's blog
以前このブログでも取り上げたことのある神戸デジタル・ラボの近藤伸明氏がThink IT上で﹁SQLインジェクション大全﹂という連載を執筆しておられる。その第三回﹁SQLインジェクションの対策﹂を読んで以下の部分が引っかかった。バインド機構とは、あらかじめSQL文のひな型を用意し、後から変動個所︵プレースホルダ︶に実際の値︵バインド値︶を割り当ててSQL文を生成するデータベースの機能だ。バインド値はエスケープ処理した後にプレースホルダにはめ込むので、悪意あるSQL文が挿入されても、その実行を阻止することができる︵図1-2︶。 http://thinkit.jp/article/847/1/ たしかにエスケープ処理を使ってバインド機構を実装する場合もある。JavaとMySQLの組み合わせでUnicodeのU+00A5を用いたSQLインジェクションの可能性 | 徳丸浩の日記から派生して、MyS
IMAKADO 2009/02/23
sql

security
リンク
Rauru Blog » Blog Archive » WordPress のコードとしての問題
IMAKADO 2008/08/04
word

security
リンク
Wordpress Security Tips and Hacks - noupe
We all agree that having a secure wordpress weblog should be our first priorities when keeping a successful blog. In this post we’d like you to share your knowledge and help us create the Wordpress Security guide to keep the bad guys out. Below are 10 security tips that you can easily implement on your WordPress blog. Please share one or more life-savers you use permanently to help protect yoursel
IMAKADO 2008/08/04
wordpress

security

tip

via

akimoto
リンク
JVNVU#395473: Adobe Flash Player に任意のコード実行の脆弱性
Adobe Flash Player には、任意のコードを実行される脆弱性が存在します。また、本脆弱性をついた活動が既に行われていると報告されています。 Adobe Flash Player は、Flash メディアフォーマットやフレームベースのアニメーションなどをウェブブラウザで見るためのソフトウェアです。 Adobe Flash Player には、細工された SWF ファイルを処理する際にオーバーフローを起こし、任意のコードを実行される脆弱性が存在します。この細工された SWF ファイルは、ウェブページに埋め込むことができます。したがって、信頼されたサイトであっても攻撃者が細工されたコンテンツをアップロードできる場合、本脆弱性を用いた攻撃に使われる可能性があります。アップデートする Adobe が提供した最新バージョンへアップデートしてください。また、回避策としては、以下の方法
IMAKADO 2008/05/28
security

flash
リンク
John Resig - Re-Securing JSON
Back in March/April of this year there was a lot of hub-bub concerning the discovery of a JSON data leak, or sorts. What it boils down to is “JavaScript is incredibly flexible, even to the degree of letting you redefine basic objects, like Array or Object itself.” For example, here’s an exploit that works in Firefox 2, Opera 9, and Safari 3. It goes about redefining the global Array object then ma
IMAKADO 2008/05/26
security

json

javascript

john
リンク
proto.jp blog » Tumblrの複数アカウント管理Greasemonkeyスクリプト『TumblrLoginS』
某所から依頼があったのでとりあえず作りました。Greasemonkeyスクリプトです。最新版はこちらです →ココからDLしてください。簡単な説明 Greasemonkeyにインストールしたらとりあえずリロードしてください。初回起動時にコンフィグ画面がポップアップします。10個のTumblrアカウントを管理することが出来ます。コンフィグ画面でTumblrのE-mailとpassを入力してください。名前はオプションです。入力した行をクリックするとそのアカウントにログインします。ウィンドウ左上に現在ログイン中のTumblrアカウント名が常時表示されます。アカウント名をクリックすることでコンフィグ画面が出ます。(GMのユーザースクリプトコマンドからも出ます) アカウント名の透明度はコンフィグから変えられます。(0～100まで) Dashboard上で切り替えるとその場でログインしま
IMAKADO 2008/05/24
ログインポップアップソース読む

greasemonkey

tumblr

security

tmp
リンク
XP SP3適用でエンドレス再起動の原因判明、マイクロソフトが公表
Windows SQL Server 2005サポート終了の4月12日が迫る、報告済み脆弱性の深刻度も高く、早急な移行を
IMAKADO 2008/05/24
bug

security

windows
リンク
Bugtraq
IMAKADO 2008/05/21
apache

security

tmp
リンク
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
﹁Hacking Intranet Websites from the Outside﹂という講演が2006年にありました。 Black Hatでの講演です。以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。詳細はプレゼン資料をご覧下さい。概要ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
IMAKADO 2008/05/18
javascript

security

crack

snippet
リンク
はてなブログ | 無料ブログを作成しよう
週報 2024/04/28 川はただ流れている 4/20︵土︶初期値依存性さいきん土曜日は寝てばかり。平日で何か消耗しているらしい。やったことと言えば庭いじりと読書くらい。ベランダの大改造をした。サンドイッチ一年前に引っ越してからこんな配置だったのだけど、さいきん鉢を増やしたら洗濯担当大臣の妻氏…
IMAKADO 2008/05/15
greasemonkey

security

javascript

firefox

4

snippet
リンク
GreasemonkeyからUIを作ってアカウント情報を入れたりするのは安全でない - ロックスターになりたい
proto.jp blog » Tumblrの複数アカウント管理Greasemonkeyスクリプト﹃TumblrLoginS﹄のUIみたいなの、みためもいいし便利だから、自分もAutoPagerizeとかにあったらいいなと思って考えたことがあるんだけど、現状だとGMからページにUIを入れ込むのは安全に作ることができない。 Greasemonkeyでいま見てるページの上にUIを作ってそこにデータを入れるようにすると、そのいま見てたページがTumblrLoginSをターゲットにしてTumblrLoginSのパスワードを監視するような悪意あるこんな window.setInterval( function () { var passwd = document.getElementById('tumbID_0').getElementsByTagName("input")[1]; passwd.v
IMAKADO 2008/05/09
greasemonkey

security

ku

4
リンク
Dynamic DNS を使って SSH アクセスを制限する方法 - kazuhoのメモ置き場
いつでもどこからでもサーバにログインしたくなるときってありますよね。かといって、サーバの sshd への接続を全世界から可能にしておくというのは、たとえパスワード認証を無効化していても避けたいところ。今までは自宅が事実上固定アドレスだったので、クライアントのIPアドレスによるフィルタリングで問題なかったんだけど、引越後はIPアドレスがコロコロ変わるようになるので、そのままだと対応できない。なのでちょっと頭をひねってみた。こんな感じ。 SSH ポートについては、 iptables 等パケットフィルタによるアクセス制限を行わない sshd も対応している hosts_access を使って、ホスト名の﹁正引き﹂による制限を行うモバイル環境に Dynamic DNS のクライアントをインストールして、正引きのマッピングを自動更新具体的には、以下のような感じで設定した。 % cron
IMAKADO 2008/05/03
kazuhooku

ssh

security

iptables

dynamicDns

emobile
リンク
OpenIDとセキュリティ――経路の安全性をどう担保するか
OpenIDについて少しづつ理解してきたつもりなのですが、OpenIDを使うに当たってセキュリティ上の課題や問題などについてまだ理解が十分でなく、少し心配です。OpenIDのセキュリティについてその仕組みのほか、推奨される対策などがあれば教えてください。この話題はなかなか難しい話で、少し説明が長くなりそうなので複数回にわたって取り扱いたいと思います。多少難しい解説でも構わない方は、わたしが以前＠ITで書いたOpenID のセキュリティに関する記事も参考にして参照ください。 OpenIDのセキュリティを語る上で最も重要な点まずOpenID認証プロトコルで定義されているセキュリティに関連する登場人物をあらためて復習しましょう。それぞれの用語の理解が十分でないとお感じの場合は、過去の﹁ZIGOROuのOpenID Short Clinic﹂をさっと読んでおくとよいでしょう。 End User
IMAKADO 2008/05/02
openid

security

zigorou

newssite

3
リンク
Bugtraq
IMAKADO 2008/05/02
bug

security

mozilla

firefox3
リンク
XSSとかSQLインジェクションとかをチェックするためのGreaseMonkey - ( ꒪⌓꒪) ゆるよろ日記
XSSとかSQLインジェクションとかをチェックするために、フォームの入力項目にスクリプトとかを入力するのが面倒だったので。こんなん作りました。 Xss Check Helper http://yuroyoro.com/greasemonkey/xsscheckhelper.user.js 機能ページ内のフォームコントロール(input[text,checkbox,radio],textfield,select)のvalueを指定した値に強制的に書き換えるスクリプトです。たとえば、以下のようなcheckboxがあったとして、 <input type="checkbox" name="test_check" value="1"/>このスクリプトをかますと <input type="checkbox" name="test_check" value="<b>TestValue</b>"/>
IMAKADO 2008/05/01
greasemonkey

security

xss

3
リンク
1 2 3 4 5 次のページ