なぜ出力時のHTMLエスケープを省略してはならないのか - Qiita
メリークリスマス! 週末もPHPを楽しんでますか? ところでWebセキュリティはWebアプリケーションを公開する上で基礎中の基礎ですよね! メジャーな脆弱性を作り込まないことはWeb開発においては専門技術ではなく、プロとしての基本です。 中でもXSS (Cross-Site Scriptingクロスサイトスクリプティング)やインジェクションについての考慮は常に絶対に欠いてはならないものです。 現実にはプログラミングには自動車のような運転免許制度がないため、自動車学校に通わず独学で公道に出ることができてしまいます。つまりは基礎知識がないままにWebプログラマとして就職したり、フリーランスとして案件を請けることも現実には罷り通っています。それは一時停止標識も赤信号も知らずにタクシー営業しているようなものです。 このような事情により、体系的な理解のないWeb開発初心者は (時にはn年のキャリアを
クレジットカード番号等取扱業者に対する行政処分を行いました (METI/経済産業省)
経済産業省は、本日、割賦販売法に基づくクレジットカード番号等取扱業者である株式会社メタップスペイメント(法人番号9011101027550)に対し、同法第35条の17の規定に基づく改善命令を発出しました。 1.事業者の概要 (1)名称:株式会社メタップスペイメント(以下「同社」という。) (2)代表者:代表取締役 和田 洋一 (3)所在地:東京都港区港南二丁目16番1号 品川イーストワンタワー7階 (4)事業内容:決済代行業等 2.処分内容 割賦販売法(昭和36年法律第159号。以下「法」という。)第35条の17に基づく改善命令 法第35条の16に規定するクレジットカード番号等の漏えい、滅失又は毀損の防止その他のクレジットカード番号等の適切な管理のために必要な措置として、以下の措置を講じること。 同社が同社とクレジットカード決済に係る契約を締結しているクレジットカード等購入あっせん関係販売
全市民46万人余の個人情報入ったUSBを紛失 兵庫 尼崎市が発表 | NHK
兵庫県尼崎市は、すべての市民46万人余りの個人情報が入ったUSBメモリーを紛失したと発表しました。住民税や生活保護の受給に関する情報などが含まれているということです。 尼崎市によりますとUSBメモリーは新型コロナの影響で生活に困窮した世帯に支給する給付金に関する給付業務を委託していた業者が、21日、紛失したということです。 USBメモリーには、46万人余りのすべての市民の、氏名や住所、生年月日などのほか、住民税を納めているかどうかや、生活保護の受給に関する情報などが含まれていました。 業者が市の許可を得ず、USBメモリーで個人情報を持ち運び、大阪・吹田市にあるコールセンターでのデータ移管作業を行ったということです。 作業の終了後もデータを消去せず、USBメモリーを持ったまま飲食店で酒を飲んだ際に、USBメモリーが入ったかばんを紛失したということです。 業者が22日、警察に届け出るとともに市
不正アクセスによる情報流出に関するご報告とお詫び | 株式会社メタップスペイメント
2022年2月28日 各位 株式会社メタップスペイメント 代表取締役社長 和田洋一 不正アクセスによる情報流出に関するご報告とお詫び 2022年1月25日「不正アクセスに関するご報告とお詫び」にて、中間のご報告と共にトークン方式のクレジットカード決済サービスの停止をお知らせしました。 今般、第三者専門調査機関によるフォレンジック最終報告書を受領し、社内調査も完了いたしましたので、下記の通り事態の概要および当面の対処、今後の対応についてお知らせいたします。 関係する皆様方に多大なご迷惑をおかけしましたことを、心よりお詫び申し上げます。 1. 本件の概要 弊社決済データセンターサーバー内に配置された一部のアプリケーションの脆弱性を利用され、不正アクセスが行われました。攻撃は、2021年8月2日から2022年1月25日にわたって以下の事項が複合的に行われ、決済情報等が格納されているデータベースに
Yahoo! JAPAN IDで個人情報漏えい 氏名や勤務先など他人のIDに上書き 最大約39万件
ヤフーは8月6日、「Yahoo! JAPAN ID」のシステムに不具合が発生し、一部ユーザーのIDに登録された氏名や住所などの個人情報が、最大約39万件の他のIDに上書きされたと発表した。誤って反映された情報は既に削除したという。 4日午後8時にユーザーからの問い合わせで発覚した。他人のIDに誤って上書きされた情報は、Yahoo! JAPAN IDに登録された氏名(読み仮名を含む)、自宅および勤務先または学校の住所、電話番号、ファクス番号、緊急連絡先(電話番号)、勤務先または学校名。 メールアドレスとクレジットカード情報、金融機関の口座情報は含まれていないという。 個人情報漏えいの経緯は次の通り。7月29日午後2時6分から8月4日午後11時50分までの間に、IDに登録された個人情報を編集しようとした一部のユーザーにおいて、修正内容が自身のIDに反映されず、他のIDに反映される不具合が発生。
NURO光はセキュリティ的にやばいって話 (安全に使うための方法) - Qiita
要約 NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能が 無効 または 未搭載 の可能性がある ので、そのまま使うと家庭内LANがインターネットから見えちゃうからちゃんと設定か対策して使おうぜって話。 このドキュメントの対象とする人たち 何も考えずに速度が速いだけでNURO光を使っている、「いんたぁねっとが何かよく分かっていない」人向けです。 ネットワークやセキュリティを理解していて、自分のルータでセキュリティを維持しつつ使える!って人には全く関係ない話なので気にしなくていいです。読まなくていいです。 IPv6 と IPv4 のセキュリティ ここでは IPv6 と IPv4 のアドレスが割り当てられたPCやスマホとかがインターネットからどう見えるのか?について説明します IPv4 の場合 一般的にIPv4アドレスは1契約につき1アドレスが付与され、それをルータ呼ばれる機器を
7pay終了へ 記者会見の一問一答まとめ
セブン&アイ・ホールディングスが8月1日に開いた、モバイル決済サービス「7pay」終了の会見内容を一問一答形式でまとめた。 セブン&アイ・ホールディングスは8月1日、不正ログインの被害が相次いだモバイル決済サービス「7pay」を9月末で終了すると発表した。同社は同日午後3時から、都内で記者会見を開催。会見内容を一問一答形式でまとめた。 記者会見には、セブン&アイ・ホールディングスの後藤克弘副社長(兼 セキュリティ対策プロジェクト総責任者)、清水健氏(セキュリティ対策プロジェクト リーダー)、セブン・ペイ奥田裕康取締役、セブン&アイネット・メディア 田口広人社長が登壇した。 左からセブン&アイ・ネットメディアの田口広人社長、セブン&アイHDの後藤克弘副社長、セブン&アイHDの清水健執行役員(デジタル戦略推進本部 デジタル戦略部 シニアオフィサー)、セブン・ペイの奥田裕康氏(取締役 営業部長)
【更新】7pay不正利用、被害試算は900人 総額5500万円。4日14時で「チャージ」完全停止、新規登録も停止へ
7月4日15:30更新: 不正利用の手法について、「10万円ぶんのタバコを買う」といったことを確認している 不正アクセスのほとんどは海外IPからと言及。国・地域の具体例としては中国の名を挙げた 本人認証などの不備が指摘されているが、同社としては「(サービスイン前の同社のセキュリティー審査では)脆弱性は指摘されていなかった。そこについてはきちんと確認した」という認識 同社は、本件に関して被害届を出す方針 デジタル事業全体への影響については「(キャンペーンなどの施策が)期待どおりに進まない可能性はある」 セブン&アイ・ホールディングスは7月4日14時に同社のキャッシュレス決済「7pay(セブンペイ)」の不正利用問題に関する緊急会見をおこなった。 当面の間、セブンペイの現金・クレジットカードを含めたすべてのチャージ機能および新規登録を停止すると発表した。なお、新規登録に関しては原稿執筆時点で停止
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
リンクを作る時の target="_blank" の危険性 - 隙あらば寝る
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶
宅ふぁいる便 @takufailebin ファイル転送サービス「宅ふぁいる便」におきまして、一部サーバーに対する不正アクセスにより、お客さま情報のデータが外部に漏洩したことを確認いたしました。詳しくはこちらをご参照ください。 filesend.to 2019-01-26 03:08:26
480万件流出の「宅ふぁいる便」不正アクセス、郵便番号など漏えい情報を新たに追加
480万件流出の「宅ふぁいる便」不正アクセス、郵便番号など漏えい情報を新たに追加:フィッシングなどの偽装メールにも注意を 「宅ふぁいる便」の不正アクセスについて、オージス総研が第3報を発表。新たに居住地や勤務先の郵便番号や、配偶者や子供の有無といった情報についても、漏えいが確認されたという。 大容量ファイル送信サービス「宅ふぁいる便」の一部サーバが不正アクセスを受け、約480万件の顧客情報が流出したインシデントで、オージス総研は1月28日に第3報を公表。漏えいしたデータについて、新たに郵便番号などの情報が含まれていたと発表した。 同社が第2報までで流出したと発表していたのは、ログイン用のメールアドレスとパスワード、氏名、生年月日、性別、業種・職種、居住地(都道府県のみ)。第3報ではこれに加え、ログイン用とは別のメールアドレスのデータ(ダウンロードやファイル開封の通知先として、任意で登録)や
高木浩光@自宅の日記 - 個人情報保護委員会ゥァア゛ーッ ドガシャア
しかも、取得主体が個人情報保護委員会であるなら、.go.jp(政府ドメイン名)に置かないと、「政府機関の情報セキュリティ対策のための統一基準」の遵守事項(6.3.2(1))違反だよ。何回言ったらわかるの? たかがドメイン名(笑)とバカにしてるんだろうが、政府ドメイン名の使用については、どういう風の吹き回しか知らない*3が、国会でも質問主意書が出る(「政府ドメインの統一に関する質問主意書」2018年1月25日提出, 衆議院質問答弁経過情報)くらい国会議員に注目されてる*4んだぞ。「閲覧者が偽サイトを政府の真正サイトと誤信し個人情報をだまし取られる「フィッシング詐欺」などの被害について早急な対応が必要と考えるが」とか言われてるんだぞ。 国会で吊し上げられることになってももう知らんぞ。 大事な原稿も落としたことだしもうぶっちゃけて言っちゃえば、事務局長に嫌われると「あいつらの話を聞くな」とか言わ
あのパスワード規則、実は失敗作だった - WSJ
パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
CDN切り替え作業における、Web版メルカリの個人情報流出の原因につきまして - Mercari Engineering Blog
本日コーポレートサイトでお知らせした通り、Web版のメルカリにおいて一部のお客さまの個人情報が他者から閲覧できる状態になっていたことが判明しました。原因はすでに判明して修正が完了しております。また、個人情報を閲覧された可能性のあるお客さまには、メルカリ事務局より、メルカリ内の個別メッセージにてご連絡させていただきました。 お客さまの大切な個人情報をお預かりしているにも関わらず、このような事態に至り、深くお詫びを申し上げます。 本エントリでは技術的観点から詳細をお伝えさせていただきます。 2017年6月27日 CDNのキャッシュの動作について、CDNプロバイダと仕様について確認し検証を行いました。その結果一部記述に実際と異なる箇所があり、加筆修正いたしました。 概要 メルカリWeb版のコンテンツキャッシュをしているCDNのプロバイダ切り替えを行いました。 その際本来キャッシュされるべきでない
世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog
2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、WindowsXPなどのサポートが切れたOSを対象とした緊急の更新プログラムも公開しました。 ここではこの世界中で発生したランサムウェア WannaCry の感染被害などについてまとめます。 インシデントタイムライン 以下は主に国内の関連事象を整理したもの。 日時 出来事 2016年9月16日 MicrosoftがSMBv1の使用停止を強く推奨する記事を公開。 2017年1月16日 US-CERTがSMBv1
パスワードリセット・リンクが漏れていませんか? | POSTD
セルフサービス・パスワードリセットは、多くのWebアプリケーションで共通部分になっています。通例、パスワードリセット・リンクはユーザにEメールで送られ、そこには、何らかの方法でユーザを識別する一意のトークンが含まれています。ユーザがリンクをクリックすることによって、そのユーザがそのアカウントに関連するEメールをアクセスできることが証明され、次にユーザは二段階認証を行います。この時点で、ユーザは新しいパスワードを入力するよう求められます。 もしも、ある攻撃者がそのパスワードリセット・リンクにアクセスできたなら、その攻撃者は、そのユーザとして認証を受けて新しいパスワードを入力することができるので、そのユーザのアカウントに自由にアクセスできるようになります。多くの場合、攻撃者はユーザのEメールへのアクセスを手に入れることによってこれを行いますが、最近私は 多くのアプリケーションがうかつにもパスワ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
すだちの国からIT界隈をざわざわさせる、徳島県つるぎ町立半田病院のランサムウェア調査報告書(災害拠点病院でIT担当者が1人)。
ZoomからWindowsの認証情報が盗まれる脆弱性
東京都主税局が民間企業に.LG.JPドメイン名を切り売りする前代未聞の暴挙に——EV SSLの「東京都」も
