[脆弱性]の検索結果


Googleが、一年前に開始したAndroid脆弱性報奨金プログラム(Android Security Rewards)で82に名に合計550,000ドル以上支払ったことを公表した。

平均金額は、1件あたり2,200ドル、調査員1人あたり6,700ドル。トップ調査員の@heisecodeには、脆弱性レポート26件に対して75,750ドルを支払い。15名の調査員に10,000ドル以上を支払ったという。

1周年を迎えた Android Security Rewards
Android Security Rewards
[2570] Posted by kagahiro at 2016/07/13 15:23:26
0 point | Link (1) | Trackback (0) | Comment (0)

ウェブアプリケーション開発者必読の資料です。セキュリティの問題は奥が深い。

「安全なウェブサイトの作り方」改訂第7版の内容 ・第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 ・第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関する対策等7つの項目を取り上げ、主に運用面からウェブサイト全体の安全性を向上させるための方策を示しています。 ・第3章では、「失敗例」として、第1章で取り上げた脆弱性の中から8種類を取り上げ、ウェブアプリケーションに脆弱性を作り込んでしまった際のソースコード、その解説、修正例を示しています。 ・巻末には、ウェブアプリケーションのセキュリティ実装の実施状況を確認するためのチェックリストも付属しています。

ブックマーク先へ 安全なウェブサイトの作り方:IPA 独立行政法人 情報処理推進機構

[2505] Posted by kagahiro at 2015/04/04 17:56:01
0 point | Link (1) | Trackback (0) | Comment (0)

オープンソース掲示板ソフト「CommentPP 1.3」をリリースしました。

1.2からの変更内容は不具合、脆弱性の修正とランキング表示の改善です。
1.2以前のバージョンには脆弱性があるので、1.3へのバージョンアップをお願いします。

データベース定義は変更ありません。1.2で使用していたデータをそのまま使用できます。

CommentPP 1.3 のダウンロード
日本語スレッド掲示板 - CommentPP

動作環境及びインストール手順


■動作環境

・PHPのバージョン PHP5.3.3以上
・MySQL MySQL5
・Smarty(テンプレートエンジン)


■インストールの手順

1.Smartyのインストール
CommentPP 1.3ではテンプレートエンジンとしてSmartyを使用しているためサーバーにSmartyをインストールする必要があります。
配布ファイルに含まれているsmartyフォルダをサーバーの非公開フォルダにアップロードします。

また、Smartyの最新のライブラリは http://www.smarty.net/download.php からダウロードすることができます。
最新のライブラリを使用する場合は、書庫ファイルをダウロードしたら解凍し、libsというフォルダがあることを確認し、以下の
ようにCommentPP 1.3のtemplatesフォルダ、templates_cフォルダをコピーします。

smarty/libs
smarty/commentpp/templates
smarty/commentpp/templates_c


2.MySQL(データベースサーバー)の設定
MySQLにユーザー及びデータベースを作成し、CommentPP 1.3で使用するのデータベースへのアクセス権限を設定します。
phpMyAdminなどからcommentpp.sqlを実行し、テーブルの作成と初期データの登録を行います。

3.設定ファイルの変更
・dnconnect.data
ホスト名、MySQLユーザーID、パスワード、データベース名の順番でコンマで区切って指定します。

・config.php
それぞれの設定値の意味は以下の通りです。

SESSION_NAME アプリケーションのセッション名
SMARTY_DIR Smartyライブラリのパス
TEMPLATE_DIR テンプレートファイルのパス
DB_CONNECT DB接続設定ファイルのパス
DEBUG_LOG デバッグログファイルのパス
SPAM_BLACKLIST ブラックリストファイルのパス
SITE_TITLE サイトのタイトル
SITE_DESCRIPTION サイトの記述
SITE_URL サイトのURL
LIST_TITLE コメント一覧のタイトル
RANKING_NUMBER ランキングに表示するスレッド数
ITEM_NUMBER コメント一覧に表示するコメント数
PAGE_NUMBER ページ数表示の指定
ANONYMOUS 匿名の投稿者の表示名
WEBMASTER_EMAIL 管理人のメールアドレス
MEMBERS_ONLY 会員制の指定 0:誰でも閲覧・投稿可能 1:会員制

以下の設定値についてはサーバーや運用サイトの状況に応じて変更する必要があります。

SMARTY_DIR サーバーの設定に応じて変更してください
TEMPLATE_DIR サーバーの設定に応じて変更してください
DB_CONNECT サーバーの設定に応じて変更してください
DEBUG_LOG サーバーの設定に応じて変更してください
SPAM_BLACKLIST サーバーの設定に応じて変更してください
SITE_TITLE 運用するサイトに応じて変更してください
SITE_DESCRIPTION 運用するサイトに応じて変更してください
SITE_URL 運用するサイトに応じて変更してください
WEBMASTER_EMAIL 運用するサイトに応じて変更してください


4.ファイルのアップロード
以下のファイル、フォルダをFTPクライアントを使用してサーバーにアップロードします。
スクリプトファイル(*.php)、スタイルシートファイル(*.css)、jsフォルダは公開フォルダ(public_html、wwwなど)に、
confフォルダはWebからアクセス出来ない非公開フォルダにアップロードしてください。

config.php index.php thread.php user.php sitemap.php util.php access.php tag.php comment.php request.php rss.php
style.css
jsフォルダ
confフォルダ

5..htaccess
「.htaccess」が無い場合は作成してindex.phpが最初に実行されるように以下の1行を追加します。

DirectoryIndex index.php index.html
[2437] Posted by kagahiro at 2014/11/21 12:58:22
0 point | Link (1) | Trackback (0) | Comment (0)

マイクロソフトは、2014年4月9日(日本時間)をもって、Windows XP、Microsoft Office 2003、Internet EXPlorer 6 のサポートを終了。これ以降セキュリティ更新が行われないためそのまま利用し続けることは、脆弱性を...
[2383] Posted by kagahiro at 2014/04/09 16:58:42
0 point | Link (2) | Trackback (0) | Comment (0)

2013年9月30日から2014年3月31日までの期間で実施されている、ミクシィならびにその子会社がリリースしたWebアプリケーションやクライアントアプリケーション、スマホアプリなどの未知の脆弱性を対象にした脆弱性報告...
[2360] Posted by kagahiro at 2014/01/24 00:16:41
0 point | Link (2) | Trackback (0) | Comment (0)

フジテレビの対決バラエティ番組「ほこたて」で放映された「どんなパソコンにも侵入する世界最強ハッカーVS絶対に情報を守るネットワークセキュリティー」にIT業界関係者らが大きな衝撃を受けている。番組ではセキュ...
[2309] Posted by kagahiro at 2013/06/10 11:11:08
0 point | Link (1) | Trackback (0) | Comment (0)

「iCodeChecker」は、C言語で作成されたソースコードに脆弱性が存在しないかどうかを検査することができるソースコードセキュリティ検査ツール。VMイメージ、パッケージ形式、ソースコード形式の3つの配布形式でダウ...
[2181] Posted by kagahiro at 2012/05/08 16:36:13
0 point | Link (0) | Trackback (0) | Comment (0)

CGI環境でPHPを動作させているサイトには、リモートからスクリプト実行を許してしまう脆弱性があります。PHP.netから提供されている修正リリース(PHP 5.3.12 / PHP 5.4.2)は不完全なため、該当するサイトは至急回避策...
[2178] Posted by kagahiro at 2012/05/07 10:34:30
0 point | Link (0) | Trackback (0) | Comment (0)

SQLインジェクション(SQL Injection)とは、Webアプリケーション開発者の意図しない悪意のあるSQL文やその一部を入力して、不正にデータベースを操作することを目的とした攻撃のことで、多くの場合データベースを不...
[1942] Posted by kagahiro at 2010/06/26 10:11:53
0 point | Link (1) | Trackback (0) | Comment (0)

自分では対応したつもりのXSS脆弱性でしたが、まだまだ残っているという指摘を受けたので再度見直して修正しました。使用する場合は最新版での使用をお願いします。メールフォームCGIQ&A CGIブックマークCGI59Tracke...
[1893] Posted by kagahiro at 2010/05/25 09:49:41
0 point | Link (1) | Trackback (0) | Comment (0)

  1 2 3  次へ >


アクセスランキング

今日のアクセスランキング TOP 10

  1. FC2動画 - 映画、ドラマ、アニメなどが無料で見られる動画共有サイト (1 PV)
  2. SQLのSELECT文で先頭から上位(TOP)10件のレコードを取得する方法(SQL Server、Oracle、MySQL、PostgreSQL) (1 PV)
  3. [将棋]第42期棋王戦第5局で、渡辺明棋王が急戦矢倉の千田翔太六段に勝ちタイトル防衛 #棋王戦 (1 PV)

今月のアクセスランキング TOP 10

  1. SQLのSELECT文で先頭から上位(TOP)10件のレコードを取得する方法(SQL Server、Oracle、MySQL、PostgreSQL) (3843 PV)
  2. [将棋]NHKトーナメントで佐藤康光九段がなめプ角頭歩戦法で佐藤天彦名人を撃破 (540 PV)
  3. ウェブページを1回だけリロード(再表示)する方法 (318 PV)
  4. [将棋]佐藤和俊六段がまさかの陽動居飛車で橋本崇載八段に勝ち決勝進出 #NHK杯 (199 PV)
  5. [食べ物]七草粥(ななくさがゆ) (195 PV)
  6. FC2動画やYouTubeなどから無料動画(映画やドラマ、アニメ、音楽など)を探す方法 (182 PV)
  7. [C言語]UTF-8でエンコードされた文字列の部分文字列を取り出すコード (170 PV)
  8. フリーソフトウェア/オープンソースのタブー (167 PV)
  9. [将棋]佐藤康光九段が佐藤和俊六段を乱戦の末破り優勝、将棋界佐藤四天王最強であることを示す #NHK杯 (162 PV)
  10. [将棋]竜王戦第三局は居飛車振り飛車の対向型で丸山忠久九段が勝利 #竜王戦 (155 PV)

アクセス統計

ディレクトリ

関連サイト