GraphQL採用サービスに追加で脆弱性を報告した話 · GitHub
aini_graphql_vuln.md GraphQL採用サービスに追加で脆弱性を報告した話 前置き 個人の活動であり文責は全てmalaにあります。 網羅的に調べているわけではないので、自分が利用していたり、調査したサービスに他の脆弱性が無いことを保証するものではないです。 概要 ainiというサービス https://helloaini.com/ のGraphQLでの情報露出の脆弱性に関する記事を見て、追加で調べたところ、Webサイトやアプリ上から参照できない他のユーザーのフォロー/フォロワー関係をGraphQL経由で取得することが出来ることを発見した。 9月24日(金)の日付変わったころに報告したところ、迅速に修正された。修正されたようなので開示して良いか訪ねたところ、問題ないとの返信をもらった。 malaから問い合わせ 報告内容と、脆弱性が修正された旨をブログ、Twitter等で公
総当たり攻撃時のパスワード最大解読時間の表(by 上野宣)について分析した - Qiita
昨日、上野宣(@sen_u)さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。 総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。 何ですかね?パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃(ブルートフォースアタック)というと、以下の二通りが考えられます。 ウェブサイト等でパスワードを順番に試す
IBM調査:パンデミックに起因するデジタルへの依存により、 長引くセキュリティー上の副次的な影響が発生 - IBM Japan Newsroom - ニュースリリース
・調査から、パンデミック中に、ユーザー1人につき平均15アカウントが新たに作成され、82%がアカウント間でパスワードを使い回していることが判明 ・調査対象となったミレニアル世代の半数以上は、電話や店舗への直接訪問ではなく、安全性が低い可能性のあるアプリやWebサイトからの注文を選択 2021年6月23日 [米国マサチューセッツ州ケンブリッジ - 2021年6月15日(現地時間)発] – IBM® Securityは、パンデミック期間中の消費者のデジタル行動と、それらのサイバーセキュリティーへの潜在的な長期的影響に関するグローバルな調査結果を発表しました。調査結果から、デジタル・ファーストのやりとりが社会全体でますます一般的になってきている中、調査対象となった消費者は、セキュリティーやプライバシーに関する懸念よりも利便性を優先する傾向が強まってきており、パスワードやその他のサイバーセキュリテ
AES-256 GCMに渡すkeyに、パスワードそのものではなく、鍵導出関数(PBKDF2など)で生成したハッシュ値を指定する理由は?
以前書いた、「あるデータをパスフレーズで暗号化し、公開ストレージ(URLが判明すれば誰でも読み取り可能)に暗号化ファイルの形式で保存し(期間は無期限)、あとからパスフレーズで復号して読み取るためのコード」を改修するため、「AES-256 GCM、または、ChaCha20-Poly1305を用いて、データを1つのパスフレーズを用いて暗号化するライブラリ」をTypeScriptで書こうと考えています。 この場合の要件は: 暗号化したデータは、第三者が自由に読み取り可能であり、その場合でも安全性を保つ必要がある 暗号化したデータは、無期限で利用される場合がある。したがって、短期間のみ用いるものではない 暗号化したデータには、パスフレーズを除く、復号に必要な情報がすべて含まれる。暗号化と複合に必要な秘密情報はパスフレーズのみ になります。例えるなら、Gitリポジトリ内で特定のファイルを暗号化するよ
Facebook、5.33億人のユーザー情報公開問題について説明(謝罪はなし)
メディアに送った声明文と同様に、これらの個人情報は2019年9月以前に奪われたものであり、悪意ある攻撃者が悪用した機能は既に変更済みであると繰り返した。 同社は「このデータはFacebookのシステムをハッキングすることによってではなく、2019年9月以前にスクレイピングによって集められたことを理解するのが重要だ」としている。ユーザーにとって重要なのは、自分の個人情報も5.33億人に含まれているのか、含まれているとして、電話番号などもふくまれているのかのはずだが、Facebookは今のところ、流出したユーザーに通知してはいない。 スクレイピングとは一般には、Webサイトから情報を抽出する技術を指す。Facebookは、悪意ある攻撃者が同社が提供していた連絡リストを使って友達を見つける機能を悪用し、大量の電話番号データとFacebookユーザーのデータを照合することでFacebookプロフィ
Googleドキュメントがフィッシングサイトとして利用される|ozuma5119 / Yusuke Osumi
この2,3週間ほど、私のメールボックスにほぼ毎日bitFlyerのフィッシングメールが届くようになりました。 私はサイバーセキュリティ分野での調査研究をしており、このような詐欺メールはさして珍しいことではありません。しかしこのフィッシングメールが誘導する先のフィッシングサイトは、あまり他に見ない特徴を持っています。そして今後の脅威となる可能性が高いと感じ、この文章を書きました。 フィッシングメール 届いたフィッシングメール自体は、よくあるタイプのものでした。不正なログインがあったからすぐ確認しなさい、と人を慌てさせてリンクをクリックさせる、一般的な手口です。 しかしこのリンク先が、2週間ほど前からGoogleドキュメントへのリンクとなったのです。 リンク先はGoogleドキュメント Googleドキュメントで作られたフィッシングサイトがこちらです。 見て分かるように、厳密にはこれはフィッシ
SMBC信託銀行と日興証券で不正アクセス、セールスフォース製品設定不備で
SMBC信託銀行とSMBC日興証券は2021年3月8日、それぞれが運営するクラウド型口座開設システムに、不正アクセスがあったと発表した。いずれもセールスフォース・ドットコムが手掛けるクラウドサービスの設定不備によるもので、現在は設定を変更して第三者からアクセスできないようにしたとしている。 SMBC信託銀行とSMBC日興証券はそれぞれ、2020年12月の金融庁の注意喚起を受けてシステムを点検した。その時点ではセールスフォース製品のアクセス権限は適切だと確認したものの、2021年2月に外部のセキュリティー専門家から指摘を受けてそれぞれ再度確認したところ、同製品が2020年7月にバージョンアップする以前に手続きをした顧客の情報がそれぞれ不正アクセスされる状態にあったことが判明した。 SMBC信託銀行では、クラウド型口座開設システムで2017年7月24日から2020年7月18日までに口座開設の手
レンタルサーバー運営会社に不正利用を通報したときの窓口と、各社の対応をまとめた。 - Qiita
動機 おそらくCMSがクラッキングされて、私のブログの文章を断片的にコピーしたサイトがフィッシングサイトへの誘導に使用されているのを見つけたので、コンテンツをホスティングしている会社に片っ端から不正利用を報告しました。各社の窓口と対応スピードをまとめておけば、今後の自分の役に立ちそうだったのでまとめておきます。 なお、他人のブログをコピーしたものをつなぎ合わせたり、キーワードがひたすら埋め込まれたページを追加してフィッシングサイト等に誘導する手口はジブリッシュハックと呼ぶそうです。 意味不明な内容によるハッキングを解決する | Web Fundamentals | Google Developers 被害を受けるとこういう感じのページが量産されます。 今回の報告はすべてジブリッシュハックに対するものです。 なお、今回の報告対象は脆弱性ではないのでIPAには報告していませんが、脆弱性
Engadget | Technology News & Reviews
Tesla is reportedly getting 'absolutely hard core' about more layoffs, according to Elon Musk
【続報】一晩でマルウェアに豹変したバーコードアプリ、攻撃の手口が明らかに
Malwarebytesは2月5日(米国時間)、これまで数年間にわたってバーコードスキャナとして機能していたアプリが、1度のアップデートでマルウェアへ豹変したと伝えた。該当するアプリはすでにGoogle Playストアから削除されているが、1000万人以上のユーザーが使用していると見られており、依然として注意が必要だ。Malwarebytesは、対象のスキャナをインストールしてしまったユーザーは自発的にアンインストールする必要があるとし、アプリを特定するために提供元、アプリ名、MD5、パッケージ名を公表していた。 Malwarebytesがこのサイバーインシデントを発表した段階では詳細はわかっていなかったが、新しい動きがあった。マルウェアをアップロードしたと考えられていた提供元から、マルウェアに豹変したバージョンのアップロードは行っていないという連絡があったという。マルウェアになってしまっ
キーボードをガチャガチャ連打した子どもが「Linux Mintのロック解除方法」を発見
「スクリーンセーバー時に画面をロックする」という設定のLinux Mintのロックを突破する方法が見つかりました。発見者は子ども2名で、キーボードを連打したことがきっかけでした。 Screensaver lock by-pass via the virtual keyboard · Issue #354 · linuxmint/cinnamon-screensaver · GitHub https://github.com/linuxmint/cinnamon-screensaver/issues/354 このロック解除方法について報告したrobo2bobo氏によると、問題のロック解除方法は同氏の子どもたちがキーボードを連打した際に見つかったとのこと。robo2bobo氏は子どもたちが「お父さんのパソコンをハッキングする」と言ってキーボードとマウスクリックを連打した際にその様子を眺めていま
当社管理サーバーのアクセス履歴について - PayPayからのお知らせ
追記: アクセスされた可能性のある最大件数については、詳細な調査分析により2,101件であったことが判明しております。 詳細は下記をご確認ください。 管理サーバーへのアクセス履歴の調査結果について(2021年5月7日) https://paypay.ne.jp/notice-merchant/20210507/01/ 2020年12月1日に外部からの連絡に基づき、当社管理サーバーにある、加盟店に関する営業情報のアクセス履歴について調査したところ、11月28日にブラジルからのアクセス履歴を1件確認、12月3日までに遮断する措置を実施しました。現時点で、これらの情報が利用された事実はありません。なお、ユーザー情報は別のサーバーで管理しているため、本事象における影響はありません。 <アクセスされた可能性のある情報> (1)加盟店の店名、住所、連絡先、代表者名、代表者生年月日、契約日、売上振込先、
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
Jeffrey Paul: Your Computer Isn't Yours (ja)
Jeffrey Paul Your Computer Isn't Yours (ja) ( 928 words, approximately 5 minutes reading time. ) View the original in English Translation provided courtesy of Hitoshi Nakashima. 2020-11-16 現在、この記事は何度か更新されている。ページの下の方を見て欲しい。 きたよ。ついに起こった。気がついたかい? もちろん、リチャード・ストールマンが 1997 年に予言した世界のことを言ってる。コリイ・ドクトロウが警告したものでもある。 最近のバージョンの macOS では、君はコンピューターの利用ログを記録されていて、ログデータを送信されることなしには、電源を入れてコンピューターを使うことも、テキストエディターや電子書
iOS 14対応で気をつけるべきこと
iOS 14は2020年9月17日 (日本時間) にリリースされました。 正式版のリリース日が9月16日 (日本時間) の #AppleEvent で突然発表されたため、多くのiOSエンジニアの阿鼻叫喚の様子がTLで流れてきて、祭り状態でした。 そんな慌ただしいiOS 14ですが、いくつかの対応を忘れると面倒なことになるバージョンでもありました。そこで自分がiOS 14対応をする中で気になったポイントをピックアップして共有したいと思います。 canOpenURLの使い方に注意 自由入力や外部入稿などによって渡されるURLを開く前に、開けるURLなのか検証するために canOpenURL を使うことはよくあると思います。 iOS 14ではデフォルトブラウザをSafari以外に設定することができるようになりましたが、Safari以外に設定すると canOpenURL が常に false になる
認証自作、 Rails 、 Devise - Diary
認証自作、 Rails 、 Devise https://ockeghem.pageful.app/post/item/uQFX4oRNbnax82V これを読んで思ったことなんですけど、 Ruby On Rails 界隈では「認証は自作すべきではない、デファクトスタンダードの Devise を使うべき」という考え方が一般にあるように思います。 ではその Devise なんですけど、ドキュメントに以下のようにあります。 Starting with Rails? If you are building your first Rails application, we recommend you do not use Devise. Devise requires a good understanding of the Rails Framework. In such cases, we ad
Apple端末のセキュリティを担う「Secure Enclave」チップにパッチ修復不可能な脆弱性が見つかる
Appleのセキュリティプロセッサ「Secure Enclave」は、iPhoneやiPad、Macといった端末の機密データを暗号化して保護する役割を担っています。このSecure Enclaveにパッチ修復が不可能な脆弱性が存在することが明らかになりました。 New ‘unpatchable’ exploit allegedly found on Apple’s Secure Enclave chip, here’s what it could mean - 9to5Mac https://9to5mac.com/2020/08/01/new-unpatchable-exploit-allegedly-found-on-apples-secure-enclave-chip-heres-what-it-could-mean/ セキュリティプロセッサの「Secure Enclave」は、ほぼ
安全なウェブサイトの作り方 - 1.11 アクセス制御や認可制御の欠落 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
安全なウェブサイトの作り方 - 1.11 アクセス制御や認可制御の欠落 概要 ウェブサイトの中には、運営者のセキュリティに対する認識のなさから、不適切な設計で作成されたウェブサイトが運用されていることがあります。本節では、脆弱性関連情報として届出を受けた「アクセス制御」や「認可制御」等の機能欠落に伴う脆弱性についての対策を紹介します。 1.11.1 アクセス制御の欠落 根本的解決 11-(i) アクセス制御機能による防御措置が必要とされるウェブサイトには、パスワード等の秘密情報の入力を必要とする認証機能を設ける。 ウェブサイトで非公開とされるべき情報を取り扱う場合や、利用者本人にのみデータの変更や編集を許可することを想定する場合等には、アクセス制御機能の実装が必要です。 しかし、たとえば、個人情報を閲覧する機能にアクセスするにあたり、メールアドレスのみでログインできてしまうウェブサイトが、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
[iPhone駆け込み寺] iOS 15では「iOS 15にアップデートしない」という選択肢も可能になる?![[iPhone駆け込み寺] iOS 15では「iOS 15にアップデートしない」という選択肢も可能になる?](https://cdn-ak-scissors.b.st-hatena.com/image/square/1e2e43bc40edc398f098ce6d1e49bfd05437a599/height=288;version=1;width=512/https%3A%2F%2Fk-tai.watch.impress.co.jp%2Fimg%2Fktw%2Flist%2F1352%2F311%2Fs01.jpg)
Not Found