脆弱性攻撃
Inside Android Security - 内部構造から探る Android への脆弱性攻撃とマルウェアの脅威
... 背景 : Android と脆弱性攻撃 • 一般的な OS においては対抗機能の整備が進んている (2003年~) • iOS の場合: JailbreakMe (2007年~) – ブラウザから iPhone などの端末の管理者権限を 取得し、場合によっては悪用できることを証明した ...
55
Webサーバの脆弱性を狙った攻撃
... IRC ボットではない別のマルウェア感染は? • Mayhem マルウェア(*) • CMS(WordPress や Joomla! 等)のログイン ブルート攻撃や再帰問合せ可能な DNS サーバ の探査など幅広い攻撃機能を持つ ...
31
WPA2 の脆弱性 KRACKs 公開 多数の Wi-Fi 機器に影響の恐れ Wi-Fi 認証の Wi-Fi Protected Access II (WPA2) に関する脆弱性の詳細な情報が 10 月 16 日 特設サイトで公開された 脆弱性は全部で 10 件あり この脆弱性には KRACKs (
... WPA2 の脆弱性「KRACKs」公開、多数の Wi-Fi 機器に影響の恐れ 器に影響が及ぶ可能性があり、WPA2 が正しく実装され た機器では影響を受ける可能性が高いという。 初期調査では、Android や Linux、Apple、Windows、 OpenBSD、MediaTek、Linksys などの製品で攻撃の 影響を受けることが判明した。Vanhoef ...
8
MySQL Connector/J における SQL インジェクションの脆弱性
... 攻撃コードが実行された際の処理 ②PreparedStatement::setStringで第2引数のエスケープ public class PreparedStatement extends ・・・・・・・ { public void setString (int parameterIndex, String x ) throws SQLException ...
36
「脆弱性対策の標準仕様SCAPの仕組み」
... 2011/3 韓国で大規模ハッカー攻撃 大統領府や銀行など40機関 (朝日新聞等) 2011/3 仏財務省にサイバー攻撃、G20情報盗まれる (読売新聞等) 2011/4-5 A社にサイバー攻撃、個人情報流出1億件超 (朝日新聞等) 2011/6 米B社:中国からサイバー攻撃 米韓政府関係者ら被害 (毎日新聞等) ...
106
脆弱性診断士(プラットフォーム)スキルマップ&シラバスについて
... 脆弱性診断士(プラットフォーム) スキルマップ&シラバスについて はじめに 近年、IT システムのさらなる普及に伴い、様々なシステムに対する攻撃に起因する情報漏えいや経済 的損失などの被害が発生していることを受け、システムのリリース前に脆弱性の有無を調査する脆弱 ...
6
内容 ( 演習 1) 脆弱性の原理解説 基礎知識 脆弱性の発見方法 演習 1: 意図しない命令の実行 演習解説 2
... Step2:掲示板にアクセスし、設定変更を行うリンクを設置する ・ 設定変更(公開設定)を行うリンクを掲示板に投稿する ※分からない場合は、ヒントを参照してください。 Step3:攻撃を確認してみる ...
33
Blojsom におけるクロスサイトスクリプティングの脆弱性
... クロスサイトスクリプティング攻撃例 ⑥セッションIDが奪われる ⑥ 攻撃コードが実行され、セッションIDが奪われる。 ⑦ 攻撃者は奪ったセッションIDを利用して、ユーザーになりすまして攻撃対 象サイトにアクセスする。 ...
28
ソフトウエアの脆弱性データベースとSAMAC辞書
... 脆弱性対策情報サイトとは 脆弱性対策情報データベース、脆弱性データベースと呼ばれて いる。脆弱性そのもの特性、影響を受ける製品、攻撃コード、 対策情報などを調べたいときの情報源となる。 ...
44
IPA テクニカルウォッチ クライアントソフトウェアの脆脆弱性対対策 に関するレポート ~ クライアントソフトウェアの脆弱性対策策の必要性の理解と促進進 ~
... また、脆弱性への対応は、パッチを当てるだけではなく、様々な回避策が存在する。ユー ザーにおいては、攻撃による被害回避を念頭に置き、対策検討を行うことをお勧めする。本 レポートで紹介した通り、セキュリティ対策には一長一短が存在する為、自身の環境に即した 対策を取ることが重要である。それらを理解したうえで適切な脆弱性対策をとってもらいた い。 ...
18
JBoss Application Server におけるディレクトリトラバーサルの脆弱性
... その後は正常処理と同様の処理が実行され、下記の場所にファイルが作成され てしまう。本来は ./deploy/management 配下にフォルダ、ファイルが作成さ れるはずが、攻撃コードでパスを操作することで任意のパスにファイルを作成 することが可能となる。 ...
45
CWEを用いた脆弱性分類の検討
... (3) WASC WASC(Web Application Security Consortium)の Web Security Threat Classification[4]は,ウェブサイ トのセキュリティに対する脅威を明らかにし,体 系化するために,攻撃手法を基準として脆弱性を 分類している.分類は,6 つの大分類と 24 つの細 分類に分けられる.現状の攻撃手法を基準とした ...
6
序章 2016 年度の情報セキュリティの概況 2016 年度に起きた情報セキュリティに関する主なインシデントや実施された政策 制度について概況を述べる インシデントについては 標的型攻撃 Web 改ざん等 2015 年度からの攻撃が継続するとともに ランサムウェアや IoT 機器の脆弱性を悪用した
... 政府は、2016 年 1月22日に閣議決定された第 5 期「科 学技術基本計画 ※ 1 」において、物理空間(現実社会)と サイバー空間を一体化した超スマート社会の実現に向け た取り組みである「Society 5.0」を推進すると明記した。 一体化の促進により国民生活や経済活動において、より 利便性・生産性が高まることが期待される。一方で、 国境を越えたセキュリティ脅威の高まりや被害の深刻さに ...
5
Shellshock 脆弱性 (CVE ) とは? Linux などで使用されるオープンソースプログラム bash に存在する脆弱性 bash は Linux BSD Mac OS X などの OS で使われる シェル と呼ばれるコマンドシェルの 1 つ 脆弱性が悪用されると ba
... Trend Micro Deep Security 仮想パッチ(侵入防御機能)による脆弱性の保護 9/26/2014 Copyright © 2013 Trend Micro Incorporated. All rights reserved. 12 カーネルモードドライバ(Layer2/データリンク層にバインドされる)を利用してパ ...
20
HULFT Series 製品における Javaの脆弱性(CVE )に対する報告
... Java において、脆弱性が公表されました (CVE-2017-3512)。攻撃者に悪用されると、任意のコード (命令)が実行され、コンピュータを制御される可能性があります。 < Java の脆弱性に関する情報> ▼Oracle Java の脆弱性対策について(CVE-2017-3512 等) ...
7
【意見招請番号:4】情報システムの脆弱性診断業務
... 2.3.3 標的型攻撃マルウェア侵入検査 機構内のコンピュータがマルウェアに感染しているか、または検査期間内に新 たにマルウェアが機構のネットワークに侵入していないかを検査する。検査につ いては、動的解析機能を有した実績のある製品を使用すること。動的解析は、exe、 pdf、マイクロソフトオフィス形式のすべてを対象とすること。動的解析は、機構 内で実施すること(クラウド等への送信は禁止する) 。検査パケットの取りこぼし ...
10
JPCERT/CC 脆弱性関連情報取扱いガイドライン ver6.0
... 公表日一致の原則 一般公表前の脆弱性関連情報をハンドリングする場合、脆弱性への対策方法が整わない時点 で、脆弱性関連情報が一般に公表される、または悪意のある第三者に漏洩すると、悪意のあ るコード(攻撃コード)が開発され、流通し、脆弱性の影響を受けるシステムに対する攻撃 ...
30
Oracle Java 標準ライブラリ AtomicReferenceArray クラスにおけるデシリアライズに関する脆弱性
... どうしてこのような攻撃が可能になったのか? Unsafe クラスは信頼できるクラスからしか使えない想定 (呼び出 し元がブートローダ由来のクラスであることをチェックするように なっている). ...
39
脆弱性の種類を分類するための「CWE」
... 機密性・完全性・可溶性に対する影響について 攻撃を受ける可能性 高いか低いか 脆弱なコード例 どのようにすると脆弱なコードになってしまうか 被害の緩和策 どのようにすれば、当該脆弱性を回避できるか、対策ができるか 関係性 ...
25
Contents. 概要 ぜいじゃくせい 1. 脆弱性とは 脆弱性という言葉の意味などを説明しています 2. IPA における脆弱性対策に関する取組みについて IPA で取組んでいる脆弱性対策を コンテンツの性質をもとに大きく 4 種に分け それぞれを説明しています 推奨コンテンツのご紹介 3. 開
... 安全な SQLの 呼び出し方 SQLインジェクション攻撃への具体的 な対策書として、ウェブアプリケーショ ンの安全な実装方法を解説した資料で す。ウェブサイトを狙った SQLインジェ クション 攻撃が継続し深刻な被害が発 生している実態を踏まえ、 SQLインジェ クション対策が安全なものであるため の要件を掘り下げて検討し、どの製品 をどのように使えば安全な SQL呼び出 しを実現できるのか、その考え方を整 ...
20