そういや昔、埋め込まれているパスワード部分がハッシュ化されてるが、固定長だから自分で用意したデータに置き換えて開けるみたいなやつもあった記憶
『【Excel】パスワードロックを強制的に解除する方法』へのコメント
そういや昔、埋め込まれているパスワード部分がハッシュ化されてるが、固定長だから自分で用意したデータに置き換えて開けるみたいなやつもあった記憶
xss 脆弱性のあるサイトを作ってセッションハイジャックを試す - Qiita
はじめに xss については何となく理解したけど、結局それがどう攻撃に使われるのかが良く分からなかったので、セッションハイジャックと言うものを試してみた。 やりたいこと 攻撃者の立場に立ち、被害者に対して攻撃用 URL を送りつけ、被害者のセッション ID を取得する。 脆弱性のあるサイトを作る まずは被害者がログインできるサイトを作る。 javascript + express で作ったけど、あんまり使ったことないフレームワークだったから認証の仕組みを入れるのに時間がかかった。 といっても認証の方法は「どんなユーザー名でもパスワードでもログインできる」という感じ。 (ログイン状態さえ作り出せれば良いため) ↓ソースコード https://github.com/ahyaemon/express-training ↓ログインページ ↓ログイン後ホーム クッキーにセッション ID らしきものが
クロスサイトスクリプティングでセッションハイジャックする - Qiita
目的 XSSは危ない!とはよく聞くけど、具体的にどう危ないのかを示す記事が少なかったので。 前提 くっそ脆弱なWebアプリケーションを組んで試します。実際はそんなわけないだろうとか、そのへんはゆるして! XSS自体の説明とかは省くので、そのへんもゆるして! やったこと お粗末なWebアプリを用意する お粗末なWebアプリとして、[ログイン画面]→[ようこそ画面兼レビュー投稿画面]みたいな簡単なものを作ります。 サーバ環境を整える 今回はPaizaCloudさんのサービスを利用します。 PHPだけインストールしておきます。 ログイン画面を作る できたら、index.phpで簡易なログイン画面を作ります。 <?php echo "<h1>Hello " . "PHP</h1>"; ?> <html> <form action="welcome.php" method="post"> <inpu
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(2/5 ページ) パスワードリセットに不備 パスワード再設定機能の不備は、7payでも使用するセブン&アイグループの共通アカウント「7iD」にありました。 パスワード認証を採用している大抵のサービスでは、利用者がパスワードを忘れてしまった場合に、ログインをせずにパスワードを再設定できる機能があります。登録済みのメールアドレスや電話番号に、パスワード再設定用ページのURLを載せたメールやSMSを送り、そこから新たなパスワードを設定させるのです。 7iDでは、あらかじめ登録したメールアドレス以外のアドレスを使ってパスワードを再設定できるようになっていました(現在は対応済)。パスワード再設定のメール送信に必要な情報は、「生年月日」「電話番号」「会員ID」(最初に登録したメールアドレス)で、これ
私物ハードディスク売却後に起きた社内情報の流出についてまとめてみた - piyolog
2022年1月14日、ラックはフリーマーケットで販売されていたハードディスクに過去使われていた社内文書が含まれていたとして関係者へ謝罪しました。ここでは関連する情報をまとめます。 中古ハードディスクに社内情報 メルカリで購入した外付けのハードディスクにラックの社内文書が含まれていたとして、報告者からメールが届いたことが発端。*1 ラックは報告者との接触を希望するも断られたため内容把握の提示を要求。報告者からは一部文書のスクリーンキャプチャされた画像が送られた。提出された画像を元に社内調査が行われ、問題のハードディスクドライブはラックの元社員が私物として自宅PCのバックアップに使っていたものと判明した。 元社員は業務PC入れ替えの際、規則に反しながらDropboxを使って業務PCから自宅PCにデータ転送を行っていたと説明している。なお現在ラックではアクセス制限が行われておりストレージサービス
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
JPCERT-AT-2021-0050 JPCERT/CC 2021-12-11(新規) 2022-01-04(更新) I. 概要 更新: 2022年1月4日記載 現時点で不明な点もあることから、今後の動向次第で下記掲載内容を修正、更新する予定がありますので、関連情報への注視のほか、本注意喚起の更新内容も逐次ご確認ください。 次の更新を行いました。詳細は「III. 対策」を参照してください。 - Apache Log4jのバージョン2.17.1(Java 8以降のユーザー向け)、2.12.4(Java 7のユーザー向け)及び2.3.2(Java 6のユーザー向け)が公開されました JavaベースのオープンソースのロギングライブラリのApache Log4jには、任意のコード実行の脆弱性(CVE-2021-44228)があります。Apache Log4jが動作するサーバーにおいて、遠隔の第三
日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
「システムの起動そのものが不可能で、データ復旧の手段はない」――製粉大手のニップン(東証一部上場)は8月16日、7月7日に受けたサイバー攻撃の詳細と影響を明らかにした。 グループ会社を含むサーバの大半が同時攻撃を受け、バックアップを含む大量のデータが暗号化されて復旧不能に。外部専門家に「前例のない規模」と報告を受けたという。 財務システムも被害を受け、早期の復旧が困難なため、8月5日に発表予定だった2021年4~6月期の決算は、約3カ月延期。8月16日が提出期限だった四半期報告書の提出も、11月15日に延期する。 サイバー攻撃を受けたのは7月7日未明。グループの情報ネットワークのサーバや端末が同時多発的な攻撃を受け、大量のファイルが暗号化された。 ニップン単体の財務・販売管理データを保管しているファイルサーバに加え、グループ企業で同じ販売管理システムを使っていた11社と、同じ財務会計システ
多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた - piyolog
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。 1.最大1500組織にランサムウエアの影響か Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。 Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~
「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
令和3年6月30日 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について 金融庁では、これまで官民が一体となって金融分野のサイバーセキュリティ強化に取り組んで参りました。こうした中、サイバー攻撃は引き続き複雑化・巧妙化しており、更なるサイバーセキュリティ強化に取り組んでいく必要があるところです。 デジタライゼーションの進展に伴い、金融機関においても、クラウドの利用や外部委託先とのデータ連携等が進み、従来の境界防御ではなく、侵入されることを前提としたセキュリティ対策が注目されています。 ゼロトラストとは、こうしたデジタル化を踏まえ、ネットワークの内外にかかわらず、従業員の端末通信や情報資産へのアクセス等についても常に監視することでセキュリティを確保する考え方です。 この度、金融機関によるセキュリティ対策の促進及びモニタリングの参考等に活用するため、ゼロトラストの現状と
ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
背景 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド活用の増加により,社外から社内システムに接続する機会が増えてきています。 現状のセキュリティ対策は,境界型防御が主流であり,社内を「信用できる領域」,社外を「信用できない領域」として外部からの接続を遮断しています。しかし,昨今の社会変化により,社内のシステム環境へ社外から接続を行う機会が増えているため,境界型防御を元に検討されていたセキュリティモデルではサイバー攻撃の脅威を防ぎきれない状況になってきています。 これらに対するセキュリティ対策として,「ゼロトラスト」という概念が提唱されています。これは,社内外すべてを「信用できない領域」として,全ての通信を検査し認証を行うという考え方です。 しかし,ゼロトラストを導入しようと調査を進めると,多種多様な用語の説明からはじまり,多数の文献,製
一番分かりやすい OpenID Connect の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OpenID Connect(オープンアイディー・コネクト)の説明を繰り返してきました※1。 その結果、OpenID Connect をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。 2017 年 10 月 23 日:『OpenID Connect 全フロー解説』という記事も公開したので、そちらもご参照ください。 説明手順 (1)「こんにちは! 鈴木一朗です!」 (2)「え!? 本当ですか? 証明してください。」 (3)「はい! これが私の名刺です!
一番分かりやすい OAuth の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の資金調達!→『AUTHLETE 凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達』(2018 年 2 月 15 日発表) 説明手順 (1)ユーザーのデータがあります。 (2)ユーザーのデータを管理するサーバーがあります。これを『リソースサーバ
SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
先日、Viceに他人のSMS(ショートメッセージサービス)を簡単に盗む方法があるという衝撃的な内容の記事が掲載されました。 攻撃者はターゲットのスマホにアクセスする必要も、SIMカードを手に入れる必要もありません。 ただ、VoIPサービス卸売業者にわずかなお金を払って、自分たちが再販業者であると思い込ませ、書類を偽造し、ターゲットのSMSを別の番号に転送するように仕向けるだけでいいのです。 セキュリティの甘かったSMSサービスLucky225さんはMediumで次のように説明しています。 2021年3月11日(木)のある時点まで、NetNumberは、あらゆる携帯電話番号のNNIDの再割り当てや乗っ取りを、認証も検証を行なわずに許可していました。 おそらく、この筆者やほかのジャーナリストから説明を求められたNetNumberは、内部調査を行ない、それが事実であることがわかると、一時的に携帯
「ドコモ口座不正」から何を学ぶか? 金融サービスとして“ありえない”対応とは
不正利用の問題点とは? 事件発生に関する疑問は多くあるが、犯行プロセスに沿ってポイントを整理すると以下の通りである。 (1)犯人はどうやって被害者の銀行口座情報を入手したのか? 銀行を装った偽メールを送り、銀行そっくりの偽サイトに誘導、口座番号や暗証番号を入力させて口座情報を盗み取るという手口の「フィッシング詐欺」の可能性がある。また、各種データベースに不正アクセスして大量の口座情報を入手、「リバースブルートフォース攻撃」という暗証番号を固定して多数の口座番号を試す手口の可能性もある。さらに、検索エンジンに引っかからない「ディープウェブ」「ダークウェブ」と呼ばれるネットワークで入手できる、過去にスキミング被害にあったアカウントや流出した情報からターゲットを絞り込んでいる可能性も考えられるが、現段階では推測の域を出ない。 (2)ドコモ口座の開設にあたって、犯人はどうして被害者になりすますこと
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。 撮影:7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくない。 一連の7pay報道のなかで、徐々にハッキングの手法に関する情報が出てきたが、具体的に「7payの脆弱性とは、一体どんなものだったのか」は直接的に報じられていない。 Business Insider Japanの「7pay」取材班では、複数の協力者の通信解析を通じて、7payとその周辺に潜む脆弱性のうち、重要な事象の1つである外部ID経由のハッキング(不正侵入)のメカニズムについて確証を得た。 不正アクセス犯はどんな手口で侵入したのかを探る。
Fingerprint解説サイト
2013年の「Cookieless Monster: Exploring the Ecosystem of Web-based Device Fingerprinting」によると、Alexa のアクセス数Top1万のサイトのうち、4%のサイトがFingerprintに関する技術を用いていることが示されました。また、2014年の「The Web Never Forgets: Persistent Tracking Mechanisms in the Wild」では、Alexa のアクセス数Top10万のサイトのうち、5.5%のサイトがFingerprintに関する技術を用いており、今後も増えていくことが予想されます。 では、Fingerprintとは一体どのようなものなのでしょうか?Fingerprintのそもそもの語源は、英語で「指紋」という意味ですが、Web上では「Webサイト利用者の
Emotet(エモテット)関連情報 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
Emotet(エモテット)関連情報 Emotet(エモテット)の概要 Emotetとは、メールアカウントやメールデータなどの情報窃取に加え、更に他のウイルスへの二次感染のために悪用されるウイルスです。このウイルスは、不正なメール(攻撃メール)に添付される不正なファイルなどから、感染の拡大が試みられます。 Emotetへの感染を狙う攻撃の中には、正規のメールへの返信を装う手口が使われる場合があります。この手口では、攻撃対象者(攻撃メールの受信者)が過去にメールのやり取りをしたことのある、実在の相手の氏名、メールアドレス、メールの内容などの一部が流用された、あたかもその相手からの返信メールであるかのように見える攻撃メールが使われます。そのため、攻撃メールの受信者が、知った人物から送られてきたメールと勘違いして添付された不正なファイルを開いてしまい、Emotetに感染してしまう可能性も考えられま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【PoCあり】log4jの脆弱性で攻撃される条件と対策を技術的に解説します。CVE-2021-44228 – Self branding
ChromeやEdgeの拡張機能複数にマルウェア実装。すでに300万人がダウンロード
