メイン コンテンツにスキップ false 検索検索をクリア検索を終了Google アプリメインメニュー
メイン コンテンツにスキップ false 検索検索をクリア検索を終了Google アプリメインメニュー
先日、スマートフォン関連のサイバーニュースとして、以下の記事を書きました。 micro-keyword.hatenablog.com 当該記事はAndroidに係る攻撃ケースでしたが、今度はSIMカードに係る脆弱性についての記事です。 立て続けにスマートフォン関連のサイバートピックが出てくると知識もどんどんシフトしていかなければ!と思いますね。 脆弱性の発表について 今回の脆弱性はほとんどのSIMカードにプリインストールされているS@T browserというソフトウェアに起因するものです。 simjacker.com AdaptiveMobile Security社が公開したもので、発表者はこの脆弱性をSIMjackerと名付けています。 本発表はVirusBulletinという、世界的なセキュリティカンファレンスでも紹介されるとのことです。 発表時刻は、現地時間の10月3日9時からですね
概要 ある朝自宅に神奈川県警が乗り込んできた。 (なお自宅は神奈川県ではない) どうやら俺はTwitterにモロ画像を投稿していたらしい。 「間違いなくこの家から投稿されていた。プロバイダにも確認済みだ。」 「(ハンドルネーム)というアカウント使ってるでしょ」 「心当たりあるでしょ?」 「(ブランド名)のTシャツ持ってるでしょ?」 おやっ、何かがおかしいです。 想定される経緯 自宅サーバーではTwiGaTen( https://twigaten.204504byse.info/ )というWebサイトが稼動している。 そしてこいつはTwitterアカウントでログインしたアカウントのタイムラインを24時間365日収集し続けている。Twitterの仕様上、これは時々ログイン履歴として記録される。 そして警察はモロ画像をうpしたアカウントのログイン履歴を見て… 「固定回線からうpか。バカめ。」 「
キョードー東京チケットオンライン サービス停止のお詫びとご報告 2019/3/21 3月16日(土) 明方頃より弊社チケット販売サイト「キョードー東京チケットオンライン」( https://ticket.kyodotokyo.com ) において、 一部のお客様の情報が別のお客様に誤って表示される事故が発生いたしました。 発生件数、誤って表示されたお客様の状況把握、原因については現在調査中です。 皆様には、大変なご迷惑とご心配をおかけしておりますことを、心よりお詫び申し上げます。
どうも、証明書ハンターです。最近、個人的におもしろい証明書の話題がポンポン出てきたので、何回かに分けてご紹介したいと思います。 山賀さんのFacebookのフィードを見ていたら、 韓国政府PKIでまずい証明書を発行したというニュース(Google翻訳で読んでくださいw)を教えていただきまして、ハンターとしてはゲットしてコレクションに加えておきたいところ。 その問題というのは、韓国政府PKIが慶尚南道教育庁に不適切なワイルドカードSSLサーバー証明書を発行してしまったというもの。 慶尚南道は韓国の南東、釜山のすぐ北にあるのだそうです。 韓国のサイトは日本と同じでセカンドレベルを組織種別とする属性型ドメイン名を採用していて、政府系ドメインは「go.kr」のようになっていますが、以下のドメインに対してワイルドカードSSLサーバー証明書を発行してしまいました。 *.hs.kr - 高校 *.ms.
さて、教えて貰ったのですが スマホを使ってる皆さんは、良くLINEを使いますよね。 かく言うワタスも隊員専用LINE@で使ってますが。 うーん。 そのLINEですが。 なんと気づかぬ間にトークルームの内容を提供する設定になってるようです。 ちょっと驚いたので張っときましょう。 最近のアップデートからのようですが。 LINEのトークルームってのは他の人とメッセージをやり取りする画面のことです。 皆様も自分の設定を確認して見ましょう。 LINEの設定画面を開くと プライバシー管理の項目がある。 そのプライバシー管理項目に「情報の提供」という欄がある。 おほぉ?! トークルーム情報の提供が許可されてる!? つぉぉぉお。 気づかない間に、あんな内容もこんな内容も。 トークルームの内容をLINE社に提供していたのかぁ。 以下は、どんな内容が筒抜けだったかの記事です。 LINEはユーザーのどんな情報を
Bugs Patterns The complete list of descriptions given when FindBugs identify potential weaknesses. 予測可能な擬似乱数生成器 Bug Pattern: PREDICTABLE_RANDOM セキュリティ上重要なコンテキストで,予測可能な乱数が使用されると脆弱性につながることがあります。たとえば,その乱数が次のように使用されたときです。 CSRF トークン:予測可能なトークンは,攻撃者がトークンの価値を知ることになるので,CSRF 攻撃につながる可能性がある パスワードリセットトークン(電子メールで送信):予測可能なパスワードトークンは,攻撃者が「パスワード変更」フォームのURLを推測するため,アカウントの乗っ取りにつながる可能性がある その他の秘密の値 手っ取り早い解決策は java.util
Apache Struts 2における脆弱性 (S2-045、CVE-2017-5638)の被害拡大について JSOC サイバー攻撃 脆弱性 3月6日(日本時間)に公開されたApache Struts 2における任意のコードが実行可能な脆弱性を悪用した攻撃が大規模に行われており、JSOCでも実害を伴う重要インシデント事例が複数のお客様の環境で継続して発生していることから、より一層緊急度を上げた対応の呼び掛けを行います。 JSOCアナリストチームの山坂・品川です。 既にIPAなどから広く注意喚起が呼びかけられているところでありますが、3月6日(日本時間)にApache Struts 2 の新たな脆弱性(S2-045、CVE-2017-5638)が発表されました。今回は、本脆弱性を悪用した攻撃の発生状況などについての情報を本ブログにてお知らせいたします。 JSOCでは3月7日頃より、この脆弱性
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として公開しました。 本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。 下記より「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」についてのレポート(PDF版)をダウンロードしてご利用いただけます。 1.被害事例および脆弱性検査ツールの活用 2.ウェブアプリケーション脆弱性検査ツールの概要 3.脆弱性検査ツールのタイプの定義とツールの紹介 4.脆弱性検査ツールの使用例 5.評価・まとめ 6.おわりに 7.参考
経緯 適当に別タブを開くリンクをjsxで書いたら eslint-plugin-react の jsx-no-target-blank で怒られいました。 ほんとに知らなかったし、気軽にできちゃうからやばいな。っと思ったのでメモしておきます。 import React from 'react'; import ReactDOM from 'react-dom'; class Index extends React.Component { render() { return ( <a href="http://example.com" target="_blank" > アンカーリンク </a> ); } } ReactDOM.render( <Index />, document.getElementById('root') );
サーバ: ユーザによる PDF のアップロードを許可する。アップロードされた PDF を同一オリジンに格納する。 クライアント: Adobe PDF Plugin を有効にした IE11 もしくは Firefox PDF には入力フォームを持つドキュメントを作成する機能がありますが、この機能を実現するための仕様として、PDF 1.5 以降、Adobe が策定した Adobe XML Forms Architecture (XFA) がサポートされています。さらに、フォームに入力された値を使って動的に演算等の処理を行うために、FormCalc と呼ばれるスクリプト言語が用意されており、これを用いることで PDF ドキュメントにプログラムを埋め込むことが可能です。 FormCalc の概要、言語の仕様は、Adobe が提供する FormCalc ユーザーリファレンスにまとめられています。 Fo
gistfile1.md CVE-2016-7401 https://www.djangoproject.com/weblog/2016/sep/26/security-releases/ https://hackerone.com/reports/26647 pythonのcookie parserが ; 以外もpairsの区切り文字として解釈するので、google analyticsのreferrer経由でsetされるcookieを使ってCSRF tokenを上書き可能だったという問題。 django側でcookie parser自前で実装、python本体は直ってないようだ https://github.com/django/django/commit/d1bc980db1c0fffd6d60677e62f70beadb9fe64a 多くのcookie parserは、pairsの区
[これは Mozilla のセキュリティエンジニア Tanvi Vyas 氏のブログ記事 No More Passwords over HTTP, Please! を同氏の許可を得て翻訳したものです] Firefox 46 Developer Edition は、HTTP ページ上でログイン情報の入力を求められた場合、開発者に警告を行います。 ユーザ名とパスワードの組み合わせは、ユーザの個人データへのアクセスを管理する手段です。Web サイトはこうした情報を注意深く扱い、パスワードは HTTPS のような安全な (認証、暗号化された) 接続を通じてのみ要求すべきです。しかし残念なことに、HTTP のような安全でない接続でユーザのパスワードが扱われている例が 非常に多く 見られます。このプライバシーとセキュリティの脆弱性を開発者の皆さんに知らせるため、最新の Firefox Develope
ニセ基地局はこれまで主に、粋なスパムSMSメッセージ送信用に使われてましたが、最近フィッシングURLも多く送信されるようになりました。 今回の事例では、フィッシングサイトで個人銀行口座を窃取し、更に被害者にapk をダウンロードさせることで、SMSメッセージをインターセプト(窃取)するマルウェアを仕込ませるということがわかりました。 あるフリーランスのハッカーが、あまりにしつこい SMS スパムにイライラし、フィッシングサイトをハッキングし、更に落ちてきた apk を解析することによって、全貌を明らかにしてます。 ※ニセ基地局とは:詐欺集団が車のトランク等に強力な携帯電話電波発射器をセットアップし、人流が多いところに設置し、電波カバー範囲内のユーザに強制送信をすることで、無差別SMSスパムを送信する仕組み。 thalys.hatenablog.com ※サイト SSSフォーラム より転載引
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。 LINEヤフー Tech Blog saegusa2017-04-16Yoshihiro was a network engineer at LINE, responsible for all levels of LINE's infrastructure. Since being named Infra Platform Department manager, he is finding ways to apply LINE's technology and business goals to the platform. こんにちは。LINEでネットワークやデータセンターを担当している三枝です。2017年1月にJANOG39で登壇する機会を頂きましたので、今回
Flashを使った、ちょっと変わった情報奪取手法を紹介します。 この手法、以前から条件によっては攻撃が可能になる場合があるだろうと想像していたんですが、なかなか実例にぶつからず、2013年に開催されたサイボウズの脆弱性発見コンテスト「cybozu.com Security Challenge」で初めて本当に動作するものを発見しました。 実は既に「SECCON 2013 全国大会」でも一部詳細を発表しています。スライドの15ページの辺りから書いてある件です。 http://www.slideshare.net/masatokinugawa/cybozu-security-challenge/15 発表の時点ではサイボウズ側で修正されていなかったので、具体的な箇所を伏せていますが、今は修正されたので、具体的な箇所をあげながら説明したいと思います。 なお、この問題はFlash自体の脆弱性ではない
こんにちは、せーのです。 みなさんは数日前から軽く話題になっているクッキーについてご存知でしょうか。その名も「HSTS Super Cookies」と言います。このクッキーは通常のブラウザモードはもちろん、クッキーなどを残さない「プライバシーモード」果ては同一iCloudアカウントのiPhoneまで追跡できる、というではないですかなにそれこわい。 ということで今日はこの「HSTS Super Cookies」とは何者で、どういう仕組みでこうなっているのか、現時点での対応状況をご紹介します。 まずは見てください。 まずは百聞は一件に如かず、ということでこちらを御覧ください。 何か数字と文字が合わさったパスワード的なものが出てきていますでしょうか。これがいわゆる「HSTS Super Cookies」を使用した追跡のデモとなります。 この数字と文字の組み合わせはHSTSという機能を使用してブラ
この記事はPHPアドベントカレンダー2014の22日目の記事です 。 2002年3月に公開されたIPAの人気コンテンツ「セキュアプログラミング講座」が2007年6月に大幅に更新されました。そして、その一節がPHPerたちを激しく刺激することになります。 (1) プログラミング言語の選択 1) 例えば、PHPを避ける 短時日で素早くサイトを立ち上げることのみに着目するのであれば、PHPは悪い処理系ではない。しかし、これまで多くの脆弱性を生んできた経緯があり、改善が進んでいるとはいえまだ十分堅固とは言えない。 セキュアプログラミング講座(アーカイブ)より引用 「PHPを避ける」とまで言われてしまったわけで、当然ながらネット界隈では炎上を起こし、現在はもう少しマイルドな表現に変わっています(参照)。 本稿では、当時のPHPの状況を振り返る手段として、この後PHPのセキュリティ機能がどのように変化
tl;dr CSP Lv.2のnonceを使うと意外と簡単にCSPの恩恵を受けれるよ Firefoxはunsafe-inlineとの挙動がおかしいので注意 サンプル実装としてExpressで簡単にnonce対応できるconnectプラグインを書いた(デモあり) Violation Reportもブラウザによって細かい挙動の差異があるよ CSP Lv.2 nonceの登場と背景 CSPの特にunsafe-inlineはXSSに対して最終防衛線的に強力な効果がある。 しかし特にサーバーからの値の受け渡し部分などでどうしてもinline scriptを使いたくなるところがあり、unsafe-inlineを禁止するとDOM data等を使わざるを得ず、つらい感じだった。 @kazuho ですね。かといってDOM dataかー、、という感じではあるんですが、CSPでinline script禁止しち
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く