「楽天市場」を偽装したサイトを確認しているとして、「個人情報を悪用されたり、詐欺被害につながる恐れもある」と楽天がユーザーに注意を呼び掛けている。同社が確認した偽サイトのURLとして2500件以上をリストアップし、楽天市場利用の際には、URLが正規のものか確認するよう求めている。 偽サイトは、楽天市場のロゴやバナーを掲示するなど正規の楽天市場や出店ショップにそっくりな見た目だが、URLは本物と異なっている。商品を注文しようとすると、楽天市場の登録フォームにそっくりなページに誘導し、氏名や住所、クレジットカード番号などを盗み取ろうとする。 クレジットカード番号登録時にセキュリティコードを入力させたり、認証サービスのID・パスワードを求めるなど、正規の楽天市場では求めることのない情報を入力させることも。また、検索エンジンで検索すると「○○(商品名) 激安 楽天」と表示されるなど、「楽天」の文言
GHOST脆弱性について、コード実行の影響を受けるソフトウェアとしてEximが知られていますが、PHPにもgethostbynameという関数があり、libcのgethostbyname関数をパラメータ未チェックのまま呼んでいます。そこで、PHPのgethostbynameを用いることでPHPをクラッシュできる場合があるのではないかと考えました。 試行錯誤的に調べた結果、以下のスクリプトでPHPをクラッシュできることを確認しています。CentOS6(32bit/64bitとも)、Ubuntu12.04LTS(32bit/64bitとも)のパッケージとして導入したPHPにて確認しましたが、phpallで確認した限りPHP 4.0.2以降のすべてのバージョンのPHPで再現するようです。なぜかPHP 4.0.0と4.0.1では再現しませんでした。 <?php gethostbyname(str_
強制アップデートとは? 多くのアプリを利用されている方でしたら、何度か下記の画像のようなアラートでアップデートを促されたことがあるかと思います。このアラートは閉じるボタンが存在せず、「AppStoreへ」のボタンしか存在しないため、ユーザーにはアプリを操作するためにはアプリをアップデートする以外に選択肢がありません。この記事では、この様なアラートをアプリ起動時に表示する機能を強制アップデート機能と呼び、なぜそれが必要なのかと、たった3行でこの機能を導入できるライブラリについて記述します。 なぜ強制アップデートが必要なのか? iOS7以降、自動アップデート機能は追加されたもののもちろん全てのユーザーがそれを利用しているわけではありません。中には、リリースから半年以上経過しても初期バージョンを利用し続けるユーザーの方もいます。では、この様に古いバージョンを利用しているユーザーも多くいる状態で、
自分用メモ。ごちゃごちゃすると忘れるので、なるべくシンプルにまとめたい。 誤り、不備などあれば、随時追加修正します(ご指摘ありがとうございます)。 クロスサイトスクリプティング(cross site scripting、XSS) 概要 訪問者に目的のサイトとは別の罠サイトを踏ませて不正な処理を実行させる行為。 原因 フォームから受け取った値を、エスケープせずに画面に出力するために発生 (偽のフォームを作成する手法も有るので、JavaScriptの対策だけでは不足) HTMLの実体参照を用い、& を & に、< を < に、> を > に、" を " に、それぞれ置換する。 PHPではhtmlspecialchars関数を用いれば、一括で対策できる (ただしENT_QUOTESを設定しないとシングルクォーテーションはエスケープされない)
あらすじ PHP と呼ばれる言語では、かつて register_globals という機能が猛威を奮っていました。簡単に言うと、リクエストパラメータが自動的にグローバル変数にセットされるというものです。 // http://example.com/?foo=123&bar=baz var_dump($_GET['foo'], $_GET['bar']); // string(3) "123" // string(3) "baz" var_dump($foo, $bar); // string(3) "123" // string(3) "baz" この機能が全盛期だった頃、残念ながら私は PHP を書いていませんでしが、おそらくこの機能が ON になっていることで「うわ、何も考えなくても勝手に変数として使える!便利だ!!」みたいな、 よしなにやってくれる という PHP 特有の機能でもダン
長文ですが、よかったら読んでください。 就職面接でプログラムの解読を求められました。そして、就職が決まりました。 皆さん、こんにちは。新しいブログを開設したので、私は今とても張り切っています。週に何度か記事を投稿するつもりです。 タイトルを見れば大体の話の内容は分かると思いますが、これから書くのは、トルコのアンカラで受けた就職面接の話です。 私が応募した職は「ソフトウェアセキュリティエンジニア」でした。面接中、面接官たちは非常に専門性が低い質問をしてきましたが、分かることもあれば分からないこともありました。 その後、その企業からメールが届き、保護および暗号化されたバイナリファイルが添付されていました(「解読してみろ」ということでしょう)。 帰宅後にファイルをダウンロードすると、ファイルを開くために聞かれたのはパスワードだけでした。面接官が私に課した課題は、そのパスワードを探すことでした。
Twitterにログインするパスワードをブラウザに覚えさせているが、肝心のパスワードが一体何だったのかわからず、別のパソコンからログインできないとか、スマートフォンから利用するときに困った、というときに役立つのがこのフリーソフト「TwitterPasswordDecryptor」です。 原理的には非常にシンプルで、ブラウザが保存しているパスワードを解析して抜き出し、表示してくれるというそれだけのものです。 ダウンロードと使い方は以下から。 ※パスワードを抜き出すというソフトウェアの特性上、常駐させて使用しているアンチウイルスソフトやセキュリティソフトによってはスパイウェアやマルウェアとして反応することがありますが、誤検知なので問題ありません。 TwitterPasswordDecryptor: Twitter Password Recovery Software | www.Passwor
Internet Explorer/Firefox/Google Chrome/Operaに保存されている各サイトのパスワードを抜き出して表示してくれるのがこのフリーソフト「WebBrowserPassView」です。極めてシンプルな機能なのですが「あのサイトのパスワードってなんだったっけ?」という時に地味に役立ちます。 使い方などは以下から。 ※パスワードを抜き出すというソフトウェアの特性上、常駐させて使用しているアンチウイルスソフトやセキュリティソフトによってはスパイウェアやマルウェアとして反応することがありますが、誤検知なので問題ありません。 WebBrowserPassView - Recover lost passwords stored in your Web browser http://www.nirsoft.net/utils/web_browser_password.h
要約: EC サイト運営者が Google Groups を経由して個人情報を大公開する事例が多々あります 現在話題になっている以下のニュース Googleグループに残る「非公開のつもり」のメーリングリスト 公開範囲設定に注意を http://www.itmedia.co.jp/news/articles/1307/11/news045.html に関連して、いろいろと検索をして遊んでいたのですが、最初は 会議 go.jp 出演 交渉 とかそんな感じのワードで検索して組織に関する情報を探し出しては喜んでいました。しかし検索ワードをちょっと工夫すると(どのように工夫するかは伏せます)、一般人の個人情報が沢山出てくることに気付きました。 以下のような実態があります 「**** という商品を買いたいのだがこれに **** は付属しているか」という問い合わせが本名つきで晒されている オタクグッズを
ログインが必要なサイトの多くは、IDとパスワードを入力するフォームが設置されています。 通常、このようなフォーム内のパスワード部分に入力した文字は盗み見防止のため、「********」のようなアスタリスクになって文字が隠されるようになっていますが、しばしば、この入力したパスワードを確認したい状況になる場合も少なくありません。 このようなケースに役立つハックの紹介。 以下のJavaScriptをアドレスバーに入力すると、次のようなダイアログ内にパスワードが表示されます。 javascript:(function(){var s,F,j,f,i; s = ""; F = document.forms; for(j=0; j<F.length; ++j) { f = F[j]; for (i=0; i<f.length; ++i) { if (f[i].type.toLowerCase() ==
「愛の運命姓名判断やったらブラックメールだった!」という書き込みを見て、「ブラックメール」って何だ?と思い調べてみました。すると、「ブラックメール」と呼ばれる種類のWebサービスがあることを知りました。 ※2015年10月末現在、「アガスティアの葉 姓名判断」というサイトが広まっています。 ※2014年6月末現在、姓名判断相性占いというブラックメールが流行中です。詳しくはこちら→「姓名判断相性占い」はブラックメールなので要注意(現在拡散中) ブラックメール記事のアクセスが微妙に多い http://t.co/pz1eGcndia— did2 (@did2memo) 2014, 5月 10 ↑リツイート用ツイートを用意しました。 目次 1. ロンハー?→違う2. 1.URLを作る3. 2.URLを紹介する4. 3.紹介された人が占いをする4.1. 4.占い結果の表示4.2. 5.好きな人がばれ
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
これちょっとマズいんじゃないかなあ。 Kampa! の人である佐田さんが見つけて教えてくれたんだけど、 Facebook のメッセージは割と簡単に他人になりすまして送れるみたい。 以下、すべて送信者と受信者の自発的な協力を得て試してみた結果です。 起きること Facebook ではユーザーに @facebook.com のメールアドレスが与えられています。 個人ページが www.facebook.com/namaewo の人なら namaewo@facebook.com という具合に。 そのアドレス宛にメールを送ると、 アドレスの所有者に Facebook 上のメッセージとして届きますね。 この時、そのメールの送信元メールアドレスが 別の Facebook ユーザーによって登録されているアドレスであった場合 Facebook では、そのユーザーから送られたメッセージとして扱われます。 電子
GizmodeのライターがiCloudのアカウントを乗っ取られ、iCloud消滅、iPad, iPhone, Macのデータワイプ、Gmail, Twitterの乗っ取りを食らった件について、ハッキングを本人が語ってらっしゃる。 手口としては典型的なソーシャルエンジニアリングによる、複数サイトから得た情報のギャザリングを用いたハック。 だがこのハッキングのプロセスが鮮やかすぎてヤバイ。ツールを一切つかわず電話だけでハッキングしてる。 Twitterアカウントに目をつける 元々クラッカーは、Gizライターの持っていた「3文字のTwitterアカウント」が欲しくてアタックをかけたらしい。 Twitterプロフィールから、本人のウェブサイトへ 本人のウェブサイトからGmailのアドレスを発見 Gmailで「パスワードがわからない」から再発行 再発行メール用のアドレスが画面に表示される。この m*
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く