UbisoftのDRMにバックドアがある件
Full Disclosure: Re: AxMan ActiveX fuzzing <== Memory Corruption PoC どうも実証されたようなので書くことにする。 UbisoftのゲームとともにインストールされるDRMは、ブラウザのプラグインをインストールする。そのプラグインには、バックドアか、あるいは想像を絶する阿呆の手によるセキュリティーホールが仕掛けられている。 OBJECT要素のtypeプロパティを"application/x-uplaypc"とすると、その要素のopenというプロパティを関数呼び出しして、BASE64でエンコードしたパスを与えることによって、パスで指定された任意のファイルを実行できる。 もちろん、著作権に関する世界知的所有権機関条約と国内法の整備により、DRMを回避するのは違法である。ゆえに、Ubisoftのゲームを遊ぶ人間は、いかにバックドアが
CSRFで強制ログインさせるというアイデア - ぼくはまちちゃん!
こんにちはこんにちは!! 今日はCSRF脆弱性のちょっとした話です! このCSRFってなにかっていうと、 サーバーへのリクエストを『誰かに勝手に送らせる』っていうセキュリティがらみの攻撃手法のひとつ。 わかりやすい例だと、 HTMLの画像タグを以下のようにしたページを誰かに教える。 <img src="何々SNSの足跡.php" width="1" height="1"> そうすると、そのページを「見た人」が何々SNSの足跡.phpにアクセスしたことになる。 ※詳しくはこちらのマンガで → [はまちちゃんのセキュリティ講座]ここがキミの脆弱なところ…! : 第2回 しーさーふって何ですか? CSRFってこんな風に、 「ログイン済みの人に何か操作させる」ってイメージが強くて、 対策する側もまた、「既にログイン済みの人を守る」ような考えが強いんだよね。 例えば、勝手に日記に投稿させないように対
- このブログは非公開に設定されています。
ブログ このブログは非公開に設定されています。 (Access forbidden) 他のブログを探す ブログランキング(共通のジャンル) 1 裏ピク 2 放送事故★お宝エロ画像村まとめ 3 マブい女画像集 女優・モデル・アイドル 4 AV女優2chまとめ 5 エロ画像まとめ えっちなお姉さん。 ヘルプ インフォメーション リクエスト 利用規約 障害情報 FC2ブログについて FC2の豊富な機能 スマホからもブログ投稿 有料プラン アルバム機能 おすすめブログ テンプレート一覧 マガブロ マガブロとは? マガブロランキング マガブロの書き方 マガブロアフィリエイト サポート ヘルプ インフォメーション リクエスト 利用規約 障害情報 アプリでもブログ投稿 FC2トップ お問い合わせ 会社概要 プライバシーポリシー 著作権ガイドライン 広告掲載 Copyright(c)1999 FC2, I
イランからGoogleへのSSL通信が傍受されていた疑い。CAから発行された偽証明書が原因:Geekなぺーじ
多くのユーザがSSL通信(https)の中身を傍受されていた可能性があるようです。 今回、この問題が報告されたのはイラン国内からのGoogleへの通信を行った場合です。 約2ヶ月間にわたってイラン国内からのSSL通信で、検索結果、Gmailに含まれるメールの中身、その他情報が傍受されていたかも知れません。 EFF: Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities Google Online Security Blog: An update on attempted man-in-the-middle attacks 傍受の手法 本来、暗号化されたSSL通信の傍受は困難です。 今回利用された方法はMan-In-The-Middl
ZAP - Zed Attack Proxy v1.0
Hacking and Security tools . News and Views for the World ® A web application penetration testing tool designed for developers. The Zed Attack Proxy (ZAP) is a penetration test tool designed to be used to make web applications more secure. While ZAP can detect some security issues automatically, it is primarily designed to help you find security vulnerabilities manually. Unlike some security tools
WebSocketにセキュリティの懸念。Firefox 4とOperaで機能を無効化へ
もともとHTML5の仕様の一部として検討され、現在は独立した仕様となったWebSocket。Webブラウザで柔軟な通信が行える機能として注目されていましたが、Firefox 4では、当面WebSocketのサポートを見送ることが発表されました。Operaでも同様に、デフォルトでWebSocketをオフにすることが発表されました。 原因はWebSocketプロトコルにセキュリティ上の問題が発生したため、とのこと。 WebSocketにはどのようなセキュリティ上の問題が発見され、影響はどういったところに及ぶのでしょうか? Mozilla Japanの浅井智也氏に解説をお願いしたところ、次のような文章を送っていただきました。 以下からは浅井氏による解説です。 なぜFirefox 4はWebSocketをサポートしないのか? 現在仕様策定途中のWebSocketプロトコルには重大なセキュリティ上の
ロック解除のiPhoneを人質に、「身代金」の要求騒ぎ
オランダでAppleのiPhoneが一斉にハッキングされ、「身代金」を要求される騒ぎがあった。セキュリティ企業の英Sophos研究者が報道を引用して11月3日のブログで伝えた。 Sophosのグラハム・クルーリー氏のブログによると、騒ぎを起こした人物はオランダのT-mobileネットワーク経由でポートスキャンを使い、ロックを解除されたiPhoneを探し出してハッキングした。壁紙を書き換えて「おまえのiPhoneをハッキングした。私は現在、おまえの全ファイルにアクセスできる」という英文の警告メッセージを表示、iPhoneのセキュリティ強化のためと称して、あるWebサイトの閲覧を促した。 このWebサイトでは「解決方法を教えて欲しければ5ユーロを払え」と要求し、「払わないならそれで結構だが、おまえのiPhoneを使って他人がどんなことでもできてしまうことを忘れるな」などの脅し文句が書かれていた
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NetAgent Security Contest 2010にチャレンジしてみた