DNSリバインディング攻撃: 悪意のあるWebサイトがプライベートネットワークを悪用する方法
By Zhanhao Chen August 31, 2021 at 6:00 AM Category: Unit 42 Tags: command and control, DNS, DNS rebinding, DNS security, threat prevention, WildFire This post is also available in: English (英語) 概要 Webベースのコンソールが管理用のソフトウェアやスマートデバイスに広く使われるようになったおかげで、データをインタラクティブに可視化したり、設定をユーザーフレンドリーに行えるようになりました。こうした流れは企業コンピュータシステムの複雑化や家庭用最新IoTデバイス(Internet of Things モノのインターネット)の利用数増加につれて勢いを増しています。こうしたWebアプリケーションはふつう
令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io
Intro CSRF という古の攻撃がある。この攻撃を「古(いにしえ)」のものにすることができたプラットフォームの進化の背景を、「Cookie が SameSite Lax by Default になったからだ」という解説を見ることがある。 確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。 今回は、「CSRF がどうして成立していたのか」を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。 結果として見えてくるのは、今サービスを実装する上での「ベース」(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件 例えば、攻撃者が用意した attack.examp
読売新聞記者が談話捏造 紅麹関連記事巡り:時事ドットコム
読売新聞記者が談話捏造 紅麹関連記事巡り 時事通信 社会部2024年04月17日18時34分配信 読売新聞大阪本社=大阪市北区 小林製薬の紅麹(べにこうじ)製品取引先の反応などを扱った記事で、原稿をまとめた読売新聞大阪本社社会部主任(48)が、談話を捏造(ねつぞう)していたことが17日、分かった。 朝日元カメラマンを略式起訴 長野発砲立てこもり現場に侵入―飯山区検 記事を取材・執筆した岡山支局の記者(53)も、取材先が発言していない内容と知りながら談話の修正や削除を求めなかったという。読売新聞社は同日付夕刊で「重大な記者倫理違反であり、関係者、読者の皆様におわび致します」とし、関係者を処分する方針を明らかにした。 同社によると、捏造があったのは6日付夕刊の「紅麹使用事業者 憤り」と題した記事。小林製薬の取引先企業の社長の発言として「突然『危険性がある』と言われて驚いた」「補償について小林製
富士通Japan、“コンビニ交付”でまたまた誤交付 同社は謝罪 「全力を挙げて再発防止」
富士通Japanは4月16日、住民票のコンビニ交付システムで証明書が誤交付されたと発表した。香川県高松市で申請者とは異なる住民の住民票が発行されたという。同社のコンビニ交付システムでは、2023年にも複数回の誤交付が発生していた。 高松市では1月4日から、富士通Japanのコンビニ交付システム「Fujitsu MICJET コンビニ交付」を導入していた。しかし、コンビニ交付サービスの項目でシステムの設定ミスがあり、4月4日に別人の住民票が誤交付される事象が発生した。 富士通Japanは誤交付の原因について「複数サーバでシステムを構成している高松市向けに、本来はその構成に応じたプログラムを適用すべきところを、誤って単一サーバ構成向けのプログラムを適用していたことによるもの」と説明。16日時点では既に正しいプログラムを適用し、正常に動作することを確認したという。また、同システムを利用する全ての
[合格体験記]Webセキュリティ基礎試験とWebセキュリティ実務試験を制覇したはなし
はじめに 昨今サイバー攻撃がニュースでもとりあげられているとおり多発する世の中になっており、ますますWebセキュリティについても重要事項となっています。 そんななか、セキュリティ本の名著「体系的に学ぶ 安全なWebアプリケーションの作り方 第2版」(いわゆる徳丸本)をもとにした資格試験があることを知りました。 基礎試験は、合格率7割越え、実務試験も合格率6割越えなので、資格試験的にみると取りやすい資格のではないかと思います! 自分のWebセキュリティの知見を深めるため、早速わたしもこの資格試験を受けて、無事両方合格しました!(ほっ) ということで、今回はこれから徳丸試験受けてみようって方向けに、わたしなりの勉強法を書いてご参考にしていただけたらと思います! 試験については下記をご参照ください Webセキュリティ基礎試験(徳丸基礎試験) Webセキュリティ実務知識試験(徳丸実務試験) 勉強法
マルカワみそで個人情報約9万人分が流出、原因は決済アプリの改ざん
老舗味噌メーカーのマルカワみそは2024年4月2日、自社が運営する「マルカワみそ公式サイト」に第三者の不正アクセスがあり、顧客のクレジットカード情報5447件分、個人情報8万9673人分が漏洩した可能性があると発表した。原因は第三者からの不正アクセスによるペイメントアプリケーションの改ざんだったという。 クレジットカード情報が漏洩した可能性があるのは、2023年3月11日~11月13日の間、公式サイトでクレジットカード決済した顧客およびサイトのマイページでクレジットカード情報を登録・変更した顧客4851人(5447件)。カード名義人名やクレジットカード番号、有効期限、セキュリティーコードの情報が漏洩した可能性があるという。また個人情報が漏洩した可能性があるのは、公式サイトの立ち上げから2023年11月13日までの間、同サイトで購入した顧客またはサイトのマイページに登録した顧客8万9673人
OWASP Data Breach Notification | OWASP Foundation
This website uses cookies to analyze our traffic and only share that information with our analytics partners. Accept Andrew van der Stock Friday, March 29, 2024 In late February 2024, after receiving a few support requests, the OWASP Foundation became aware of a misconfiguration of OWASP’s old Wiki web server, leading to a data breach involving decade+-old member resumes. Who is affected? If you w
免許センターで一時障害 徳島全域、誤入力が原因
徳島県警で2日午前、運転者管理システムに障害が発生し、県内全ての免許センターで運転免許証の更新や交付が一時できなくなったが、間もなく復旧した。同県警によると、140人に影響が出た。1日の業務終了後に、新しい担当者をシステムに登録する際、誤ったコードを入力したことが障害の原因という。 業務を開始した午前8時半から、県内3カ所のセンターで障害が発生したが、午前9時50分に復旧した。1日には19都府県警で回線の容量超過によるシステム障害が発生したが、徳島県警によると同県の場合は容量超過ではないとみられるという。
Tesla共同創業者 元CTO、「LeanとDevOpsの科学」の著者来日! 開発生産性Conference 2024
ファインディ株式会社が主催する開発生産性Conference 2024の特設サイトです。開発生産性Conferenceは、開発生産性に関する最新の知見が集まる場になっています。
「はじめて学ぶ最新サイバーセキュリティ講義」の監訳を担当しました
日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。 本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and Misconceptions」で、米国Amazonのレビューでは4.6の高評価を得ています。また、「インターネットの父」ことヴィントン・サーフ氏が本書に前書きを寄せています(後述)。 はじめにサイバーセキュリティは、その短い歴史にも関わらず、神話や都市伝説に満ちています。古典的なものとして、本書の冒頭では、「ウイルス対策企業が自社製品を売るためにマルウェアを作って拡散した」が紹介されています。 本書は、このようなセキュリティの都市伝説や神話をとりあげ
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
xzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094) - SIOS SECURITY BLOG
03/29/2024にxzの脆弱性(バックドア埋め込み: Critical: CVE-2024-3094)が公開されました。Fedora Linux 40beta, Fedora rawhide, Debian unstable等の一部のOpenSSHにも使われており、バックドアを利用してログインが出来る状態だったという話も出ています。ソフトウェアサプライチェーン攻撃の一つとも捉えられており、いずれSBOMと関係する話として取り上げられると思います。 (SBOMの話、VEXの話はこちら)。 今回はこちらの脆弱性の概要と、各ディストリビューションの対応について纏めます。 【04/01/2024 09:45更新】情報が纏まっているサイトを更新しました。また、piyologさんからリンクを貼っていただいていたので、こちらも載せています。その他、「xz –version」を実行するのもだめという話
徳島県立高タブレット故障 高温下で保管が原因か 納入業者調査 | 毎日新聞
徳島県立高校などに配備されたタブレット端末に電池膨張などの故障が大量発生している問題で、端末納入業者の「四電工」(高松市)は29日までに、第三者機関に依頼した電池調査の結果などを踏まえた見解をまとめ、県教育委員会に提出した。同社が公表した資料によると、電池の不良は認められなかった。同社が学校現場を調べたところ、空調を切った放課後の教室や風通しの悪い場所など、温度が高くなる環境下で端末を保管していたことが電池膨張の原因として考えられると結論付けた。 四電工は2023年11月、電子部品の故障の分析などを手がける「沖エンジニアリング」(東京都)に調査を依頼し、同社が故障機の電池を内部分解した。その結果、高温の環境下で加速する電解液の「ガス化」が生じており、電池膨張につながったと判断した。端末は充電可能なリチウムイオン電池を採用している。電池メーカーなどでつくる一般社団法人「電池工業会」(東京都)
弊社サービスをご利用いただいているお客様への重要なご報告とお詫び - Workstyle Tech
2024年3月29日 お客様各位 ワークスタイルテック株式会社 弊社サービスをご利用いただいているお客様への重要なご報告とお詫び このたび、弊社のサービス「WelcomeHR」におきまして、弊社のお客様の個人データが、限定された特定の条件下において外部から閲覧可能な状態にあり、これにより個人データが漏えいしていたことが判明いたしました(以下「本件」といいます。)。その内容と現在の状況について、下記のとおり、お知らせいたします。 お客様には大変ご心配をおかけする事態となりましたことを深くお詫び申し上げます。 1. 本件の概要 本来、お客様がストレージサーバーに保存するファイルの一覧は外部からアクセスできない仕様とすべきところ、当該サーバーのアクセス権限の誤設定により、閲覧可能な状態となっておりました。 当該誤設定により、ファイルの一覧の情報をもとに各ファイルをダウンロードすることも可能となっ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
厚生労働省コロナ情報サイトのドメイン名、投資関連に転用か - 日本経済新聞
「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を
徳丸さんがサプライズでご登場「セキュリティワークショップ~徳丸さんのBad Todo Listで脆弱性について学ぼう~」 | ラテラル・シンキング株式会社
はじめに:『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』
気付かぬ間に家庭のWi-Fiルーターを狙う「ボットネット」の対策を広めたい! 総務省がセキュリティ冊子を更新 
北朝鮮、サイバー攻撃が「外貨収入の半分」 国連報告書 - 日本経済新聞
