ウェブサイトに潜む脆弱性と聞いて何を思い浮かべるだろうか。近年特にその危険性が指摘されているのが、クロスサイトスクリプティングに代表される、Webアプリケーションの脆弱性を突いた攻撃である。これらの手法は残念なことに、PC向けサイトにおいては一般的に定着
サイバーディフェンス社からの情報によると、複数のベンダが実装しているGNU ProjectのMailmanメーリングリスト管理プログラムで、リモートから攻撃可能な脆弱性が見つかった。これにより、XSS攻撃が実行される可能性がある。この脆弱性はscripts/driverファイルに存在
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━ ▽ MercuryBoard─────────────────────────── MercuryBoardは、index.phpスクリプトが原因でクロスサイトスクリプティングを実行されるセキュリティホールが存在
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━ ▽ JShop────────────────────────────── JShopは、product.phpスクリプトがユーザ入力を適切にチェックしていないことが原因でクロスサイトスクリプティング
<プラットフォーム共通> ━━━━━━━━━━━━━━━━━━━━━━ ▽ Bitshifters Bitboard─────────────────────── Bitshifters Bitboardは、悪意あるメッセージによってクロスサイトスクリプティングを実行されるセキュリティホール
セキュリティ情報誌を発行している情報安全社のWebサイトで、クロスサイトスクリプティングの脆弱性が確認された。今回発見されたのは、セミナー申し込みページで使用されているCGI。先日発見された総務省のWebサイトの問題と同様の物である。
6月5日に配信されたメールマガジン『Scan Tech Report』創刊号にて、サイボウズ社グループウェアのクロスサイトスクリプティング脆弱性に関するレポートが掲載された。このレポートは、ネットワークセキュリティの研究、啓蒙を行っている office 氏が執筆したもの。
SecuriTeamによると、TRUSTeサービスにクロスサイトスクリプティング脆弱性と、それがフィッシングに利用される可能性が確認された。TRUSTeサービスは、ユーザが個人情報を扱うWebサイトに対する信用度・信頼度を客観的視点で判断できるように生まれた、第三者機関による
SecuriTeamによると、TRUSTeサービスにクロスサイトスクリプティング脆弱性と、それがフィッシングに利用される可能性が確認された。TRUSTeサービスは、ユーザが個人情報を扱うWebサイトに対する信用度・信頼度を客観的視点で判断できるように生まれた、第三者機関によ
──────────────────────────────〔Info〕─ セ┃キ┃ュ┃リ┃テ┃ィ┃ゲ┃ー┃ト┃ウ┃ェ┃イ┃が┃ ━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛━┛ ●「FortiGate」シリーズ発売 破┃格┃で┃導┃入┃で┃き┃る┃!┃
三菱電機株式会社は、Webサイトの脆弱性自動検査機能などを新たに搭載した、統合セキュリティ診断ツール「ISAT」の最新バージョンを発表した。最新版では、掲示板などで悪意のあるコードが生成されるクロスサイトスクリプティングや、データベースが改竄されるSQLイン
【News−3件】 ●Domino Server に細工した電子メールによる DoS の脆弱性 ●Netegrity IdentityMinder にクロスサイト・スクリプティング(XSS)の脆弱性 ●UnrealIRCd IP クローキングの迂回
──────────────────────────────〔Info〕─ Scan Monthly Report Best Worst http://www.vagabond.co.jp/c2/shop/books/p-sbw01.html
【News−6件】 ●BEA WebLogic InteractiveQuery.jsp サンプル・アプリケーションの XSS問題 ●Mac OS X Panther にスクリーン・ロックの迂回 ●ISAKMPd に複数のペイロード処理の不具合 ●OS Xの Initスクリプト のクラッシュが rootコンソールの取得に繋がる
【News−5件】 ●MPlayer にバッファ・オーバーフロー (asf_streaming) ●Null httpd にリモートから悪用可能なリソース消費の脆弱性(攻略コード) ●TCLHttpd に二つの脆弱性(ディレクトリ閲覧、XSS) ●IBM DB2 LOAD コマンドにスタック・オーバーフローの脆
──────────────────────────────〔Info〕─ 《豪華特典キャンペーン情報》━━━━8月5日〜9月30日まで期間限定━━━ セキュリティ情報誌【Scan Security Management】を購読すると、 「ネットワークセキュリティ・インシデント年鑑2003
国内プロバイダ大手の@niftyのフォーラムにクロスサイトスクリプティングの脆弱性が発見された。クロスサイトスクリプティングを簡単に言うなら、他人のWebページでスクリプトを勝手に実行できてしまう、ということ。@niftyには多くのフォーラムが存在し、それぞれに
──────────────────────────────〔Info〕── 【co.jpドメイン サーバ実態データベース 2003年上半期】 / 国内 co.jp ドメイン、ホスト 約23万件の網羅的なデータベースを公開 / _____________________________
──────────────────────────────〔Info〕── セキュリティメルマガ 春の [85%] オフキャンペーン
告知 ──────────────────────────────── 最新セキュリティホール、改竄、ウィルス、SecuriTeam情報を毎日お届け! Scan Daily EXpress 法人購読 3月末まで期間限定の割引サービス中 通常 16万円(全セット) を 9万8千
アイ・ディフェンス・ジャパンからの情報によると、ベンダー各社が、Mailmanで報告されているクロスサイトスクリプティング脆弱性とその他いくつかの欠陥を修正したアップデートをリリースした。Mailmanは、一般に普及しているメーリングリストマネージャソフトウェア
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)