GitHub、Mass Assignment利用の脆弱性を突かれる

トピック: ASP.NET MVC,; Ruby,; ASP.NET,; 動的言語,; 言語,; .NET,; プログラミング,; Vulnerabilities,; Ruby on Rails

先日、GitHubはRuby on Railsのmass assignment機能の脆弱性を突かれた。この脆弱性は数多くのRubyベースのサイトだけではなく、ASP.NET MVCや他のORMフレームワークを使用したサイトにも影響を及ぼす可能性がある。

作者 Jonathan Allen 翻訳者 渡嘉敷満理子 投稿日 2012年3月16日午前1時59分,
ディスカッション

ほとんどのWebサーバーに影響するメジャーなサービス拒否脆弱性

トピック: Glassfish,; Ruby,; アプリケーションサーバ,; ASP.NET,; Java,; 動的言語,; 言語,; .NET,; プログラミング,; PHP,; Tomcat,; Vulnerabilities

セキュリティ研究者のAlexander Klink氏とJulian Wälde氏は、つい先日まで大部分のWebサーバーに影響を与える可能性のあった深刻な脆弱性を明らかにした。攻撃は、ハッシュコードの衝突を作り出すように設計されたPOSTフォームデータを送る、単一のHTTPリクエストだけである。最初にこの攻撃が発見されたとき、Python、Ruby、PHP、Java、ASP.NETが影響を受けたが、ベンダーはパッチの開発を行った。

作者 Jonathan Allen 翻訳者 尾崎義尚 投稿日 2012年1月5日午後7時55分,
ディスカッション

JSF，Ruby on Rails，ASP.NET に影響する「パディングオラクル」

トピック: Ruby,; Java,; 動的言語,; .NET,; 言語,; プログラミング,; セキュリティ,; Vulnerabilities,; Web Server

パディングオラクル (Padding Oracle，PO) 攻撃の使用によって，悪意のあるユーザがクッキー，ステート情報，会員パスワードなどの暗号化データをアクセス可能になる。Juliano Rizzo，Thai Duong 両氏はによれば，このセキュリティ上の脆弱性は Java Server Faces(JSF)，Ruby on Rails，ASP.NET その他の技術とプラットフォームに影響するものだという。

作者 Abel Avram 翻訳者 吉田英人 投稿日 2010年10月7日午後8時39分,
ディスカッション

IBM X-Force レポート: 拡大する企業のセキュリティリスク

トピック: JavaScript,; 動的言語,; 言語,; IBM,; Architecture,; セキュリティ,; Vulnerabilities,; プログラミング,; PDF

IBM は IBM X-Force® 2010 中期トレンド・リスクレポート 2010年8月(全112ページ，無料登録が必要) を刊行した。そこでは JavaScript と PDF の難読化，企業における現在のセキュリティ脅威の傾向と将来予想といった，2010 年のセキュリティ脆弱性とエクスプロイト(脆弱性を悪用するコード)に関する詳細な情報が紹介されている。

作者 Abel Avram 翻訳者 吉田英人 投稿日 2010年9月26日午後8時25分,
ディスカッション

GoogleのJarlsbergをハッキングして、セキュリティ上の脆弱性について学ぶ

トピック: Ruby,; Java,; 動的言語,; 言語,; .NET,; Google,; プログラミング,; Architecture,; セキュリティ,; Vulnerabilities

他のシステムをハックするというのがどういうことかを知りたい人々のために、GoogleはJarlsbergという特別なラボを作成した。JarlsbergにはセキュリティホールでいっぱいのWebアプリケーションが含まれており、どんなものが脆弱性を持つ可能性があるか、悪意のあるユーザがどうやってそれらを利用するか、そのような弱点をどのように抑えるかをハンズオン形式で学びたいと思っている開発者が、そのアプリケーションを攻撃することができる。