Naomi Suzuki @NaomiSuzuki_ 03/27 Bingの検索結果に、サポート詐欺に誘導する偽アマゾンの広告出現(図1-2)。中継サイト(hxxps://hotcarsinjp.shop/bing/)経由でWindowsをサポート詐欺サイトに(図3)、他は公式サイトに(図4)転送。騙されないようお気を付けください。 pic.twitter.com/TYTRxFPb6K 2024-03-27 13:32:07
インターネット上の通販サイトに不正なプログラムを仕掛け、サイトを利用した購入客のクレジットカード情報を抜き取ったとして、京都府警が20代の男性を不正指令電磁的記録供用と割賦販売法違反の疑いで逮捕した。捜査関係者への取材で判明した。本物のサイトを悪用してカード情報を盗み取る「ウェブスキミング」と呼ばれる新たな手口で、摘発は全国初とみられる。 【図でわかる】あなたのクレカも危ない?「ウェブスキミング」とは スキミングは、特殊な機械をクレジットカードに接触させて情報を盗み取る行為。ネット上でのウェブスキミングは、商品の不正購入などに悪用される恐れがある。この通販サイトでは数件の被害が確認されており、府警は実態解明を進める。 捜査関係者によると、男性は2022年、音楽コンサートのチケットやグッズを販売する通販サイトに何らかの方法で侵入。特殊なプログラムを仕掛け、利用客数人のカード情報を不正に抜き取
岡山県は10月17日、県が過去に使っていた5つのドメインが、オークションなどを通じて第三者に再取得されたと公表した。各ドメインを使ったサイトについて「県とは無関係」と注意を呼び掛けている。 各ドメインにリンクを張っている管理者に対して、Webサイトへのリンクの削除を依頼しているという。また、庁内へドメイン管理の注意点を周知徹底したとしている。 再取得されたのは、「みんなで晴れの国 コロナ情報サイト」(fight-okayama.jp)、「もんげー部」(8092fun.jp)、「岡山県飲食店感染防止対策第三者認証事業」(okayama-ninsho.jp)、「おかやまプレミアム付食事券発行事業」(okayama-eat.com)の4ドメイン。また、「留学促進バーチャルフェア OKAYAMA2021」(ryugaku-sokushin.jp)のドメインは現在、オークションサイトで入札が受け付け
サマリ CookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google Chrome等のブラウザでクリックジャッキングの影響がある。また、ブラウザの設定を変更した場合の影響についても説明する。 クリックジャッキングとは クリックジャッキングとは、一言で説明すると「ウェブサイト利用者に意図しないクリック(タップ)をさせる」攻撃です。ウェブサイト上で意図しないクリックを勝手にさせられると、重大な結果になる場合があります。例えば、このURLを閲覧すると、以下のようにTwitter
警告 本記事に記載している内容はCORSだけでなく、ブラウザの様々なセキュリティ機能を無効化する危険な行為です。 今すぐにセキュリティを無効化しないといけない事情がある場合を除いて安易に実施しないでください。セキュリティを無効化した状態でのインターネット接続など言語道断です。 上記内容、そして本記事に記載している行為を理解している方のみ自己責任でお願いします。 Google Chrome 以下のコマンドでChromeを起動する。--user-data-dirを指定しないと既存の設定でChromeが起動し、セキュリティは有効のままだった。 不要になったらここで作成したデータディレクトリは消せばよい。 <Chrome実行ファイル> --disable-web-security --user-data-dir=<データディレクトリ>
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
動機 おそらくCMSがクラッキングされて、私のブログの文章を断片的にコピーしたサイトがフィッシングサイトへの誘導に使用されているのを見つけたので、コンテンツをホスティングしている会社に片っ端から不正利用を報告しました。各社の窓口と対応スピードをまとめておけば、今後の自分の役に立ちそうだったのでまとめておきます。 なお、他人のブログをコピーしたものをつなぎ合わせたり、キーワードがひたすら埋め込まれたページを追加してフィッシングサイト等に誘導する手口はジブリッシュハックと呼ぶそうです。 意味不明な内容によるハッキングを解決する | Web Fundamentals | Google Developers 被害を受けるとこういう感じのページが量産されます。 今回の報告はすべてジブリッシュハックに対するものです。 なお、今回の報告対象は脆弱性ではないのでIPAには報告していませんが、脆弱性
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
エグゼクティブサマリ 聖教新聞社が運営する通販サイト「SOKAオンラインストア」から2,481件のクレジットカード情報が漏洩した。リリースによると、漏洩に使われた手口は従来とは異なるもので、改正割賦販売法の実務上のガイドラインである「クレジットカード情報非保持化」では対策できないものであった。 はじめに 今年の9月4日に聖教新聞社の通販サイトSOKAオンラインストアからクレジットカード情報漏洩の可能性がリリースされました。以下は聖教新聞社から運営委託されているトランスコスモス株式会社のリリースです。 「SOKAオンラインストア」の件 このたび、弊社が聖教新聞社様より運営を委託されている「SOKAオンラインストア」において、クレジットカード情報を入力して商品をご注文いただいた一部のお客さまのクレジットカード情報が、第三者によって不正に取得された可能性があることが発覚い たしました。 http
■ 緊急周知 Coinhive使用を不正指令電磁的記録供用の罪にしてはいけない Coinhiveを設置したことで警察の捜査を受けているとの情報提供が、複数寄せられています。 Librahack事件の再来です。 Coinhiveの使用は不正指令電磁的記録供用の罪に該当しないとするべきです。 警察庁は、Coinhive使用の不正指令電磁的記録供用罪該当性をよく吟味してください。 各都道府県の警察本部は、Coinhiveの使用を犯罪とすることが適正なのか、警察庁によく相談してください。 近日中*1に、なぜCoinhiveの使用を不正指令電磁的記録供用の罪としてはいけないのかについて、ここで論ずるつもりです。 同様の捜査の対象になった方は、私 blog@takagi-hiromitsu.jp まで情報をお寄せください*2。 *1 本務先の降って湧いた火の車業務の終了に目処がつき次第。 *2 なお、
お客様各位 スターバックス コーヒー ジャパン 株式会社 弊社ホームページにおけるセキュリティ強化に関する重要なお知らせ 平素より弊社をご愛顧賜り、厚く御礼申し上げます。 このたび、弊社では、お客様の情報保護を第一に考え、通信の安全性を確保するために、弊社ホームページにおける「TLS1.0/1.1」を無効化することといたしました。 これにより、一部の端末やブラウザ(インターネット閲覧ソフト)からは、サイトの閲覧およびサービスの利用ができなくなりますのでご確認ください。 ■影響がある主なご利用環境 ・スマートフォン iOS4以前、およびAndroid 4.4以前の端末における標準ブラウザ環境 ・パソコン Internet Explorer 10.0 以前のブラウザ環境 ■対象ページ 弊社公式ホームページ内の、「https」で始まるアドレスのWebページ(My Starbucksマイページ、ス
例えば `logout` みたいなユーザ名を取得されてしまうと,ユーザ側からすると不気味に見えるし,URL設計が終了している時などに脆弱性になり得る (とは言うものの,そもそもそういった脆弱性は根本的に防ぐべきだし,URL設計を終了させてはならない). ので,タイトルのようなことをpostしたら知見がモリモリ集まってきた.ありがとうございます. 取得させたくないアカウント名を集めてあるライブラリ欲しい気がする.authとかlogoutとかdataとか……— アドセンスクリックお願いします太郎 (@moznion) 2017年4月10日 @moznion 所得させたくないアカウント名リストならこういうレポジトリがあります https://t.co/uyYJxaFbrX— kosuge (@9m) 2017年4月10日 @moznion このリストに追加で日本向けに regist っていうアカ
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2) 備忘のため転載いたしますが、この記事は2008年7月22日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 なお、この記事を書いた後、WAFはこの記事の予言(願い?)通りに進展したように思います。そのあたりの歴史については、こちらのインタビュー記事を参照下さい。 補足終わり PCIデータセキュリティ基準(PCIDSS)がWAF(Web Application Firewall)について言及していることなどから、最近再びWAFへの関心が高まっている。一方、WAFは、一部のユーザや専門家に非常に評判が悪い。なぜ、そのようなことになるのか。本稿では、WAFの基本機能を説明した上で、その限界と運用上の問題を指摘し、今後のWAFの使い方
クレジットカード決済の実装 、一番いいのは Amazon Payment Paypal みたいに完全に外部のサービスとして構築されていてそこにリダイレクトして処理が行われるものを使うことだろう。 ただ Amazon アカウントもってないだとか Paypal アカウント持ってないだとかいう人は結構多いし、 B2B 系だとさらにいろいろ面倒は増すと思う。国内だと GMO ペイメントがアカウントなしで GMO 側のドメインで決済できるものを提供していたと思うが使ったことないのでよく知らない。こういうタイプは最も望ましい、と思う。 まあ他にもそういうリンク型みたいのいろいろあるだろ。専門じゃないからよく知らん。 非通過型決済とでもいうのか、クライアントサイドで決済を行なって決済事業者としかクレカ情報をやり取りしないタイプの決済サービスが最近は出てきている。 Stripe がそういうのだと代表的なの
■ 「都税クレジットカードお支払サイト」流出事件の責任は誰がとるのか 残念なニュースが入ってきた。 都税のサイトに不正アクセス 67万件余の個人情報流出か, NHKニュース, 2017年3月10日 このサイトについては、今年の正月早々に以下の件で話題になっていた。 「国税クレジットカードお支払サイト」は誰が運営するサイトなのか, togetterまとめ, 2017年1月5日 このとき、タイトルには「国税……」とあるが、「国税クレジットカードお支払サイト」と「都税クレジットカードお支払サイト」の両方を話題にしていた。 これは、GMOペイメントゲートウェイ株式会社とトヨタファイナンス株式会社が組んで、東京都への都税の納税代行と、国税庁への国税の納税代行をする「クレジットカードお支払いサイト」を運営している*1のだが、サイトの画面構成からして、誰が運営主体なのか不明だということが問題となっていた
■ 治外法権のeLTAX、マルウェア幇助を繰り返す無能業者は責任追及されて廃業に追い込まれよ ここ数年、不正送金の被害がインターネットバンキングの法人口座で急増しているという*1。その原因は今更言うまでもなく、Java実行環境(JRE)やAdobe製品の古いバージョンの脆弱性を突いてくるマルウェアである。しかしそれにしても、法人口座を扱うパソコンがなぜ、Java実行環境やAdobe製品をインストールしているのだろうか。インストールしなければ被害も起きないのに……。 その謎を解く鍵が、eLTAX(地方税ポータルシステム)にあるようだ。eLTAXでは、インターネットバンキングの口座を用いた納税ができることから、インターネットバンキング用のパソコンでeLTAXの利用環境も整えるということが普通になっていると思われる。そのeLTAXが、昨日までは、Java実行環境のインストールを強要していた。eL
先日以下の記事が公開されました。決済代行会社を使っていたのにカード情報が漏洩したというものです。 同社は、薬局への医薬品の卸売りのほか、運営するショッピングサイト「eキレイネット」でコラーゲンやヒアルロン酸などの美容関連製品を販売している。流出した疑いがあるのは、平成26年10月8日~27年11月5日、サイトでカードを使って商品を購入した顧客の氏名や住所、クレジットカードなどの情報だった。この間、1955人が利用していた。 名の売れた大企業ではない。従業員わずか10人の小さな会社がサイバー攻撃の標的になったのだ。 問題が発覚したのは昨年11月。決済代行会社からカード情報が流出した疑いがあると指摘があった。 従業員10人なのに「標的」に サイバー攻撃、中小企業が狙われる理由より引用 これに対して、以下のブックマークコメントがつきました。 そもそも、決済代行会社を使っているのになぜカード情報が
はじめに スマートフォンアプリ開発でAPIを介しWeb/APIサーバーとやりとりをする場合、「httpsを使っていれば通信はユーザーにバレない」なんてことはなく、Webアプリでツールを使ってできるのと同じようにユーザーには通信内容の確認や改竄などができます。 そのため、そのことを前提にアプリやサーバーAPIの設計と実装を行わない場合、アプリ利用者によるゲームスコア結果送信の改竄や、ソーシャルゲームにおけるレイドボスなどへのダメージ操作、ECサイトアプリでの購入操作なども可能になってしまいます。 また、最近自分は「無料で音楽聴き放題!! - ネットラジオ」というアプリをリリースしたのですが、このアプリに導入するスタティックリンクライブラリが不明な外部サーバーへ通信していないか、SSLを使用しているつもりがそうでない通信をしてしまっていないかのチェックをするため、自分はmitmproxyという
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く