ggsoku.com
exifヘッダ内に命令を埋め込むことで身を隠すマルウェア | スラド セキュリティ
JPEGデータのexifヘッダ内に命令を埋め込むことで、その身を隠すマルウェアが発見された模様(GIGAZINE、元ネタのsucuri blog)。 元ネタの記事がいまいち分かりにくいのでGIGAZINEの記事も若干分かりにくいものになっているが、このマルウェアはPHPで書かれており、その処理途中であらかじめ指定されていたJPEGファイルを読み込み、そのJPEG画像内のexifヘッダ内にBASE64形式でエンコードされて記載されていた処理を実行する、というものだそうだ。 これのポイントは、PHPのpreg_replace関数を使って任意のコードを実行させているという点。preg_replaceには引数として与えられた文字列を実行する「/e」パターン修飾子があり、これを利用してexifヘッダ内に記述されている命令を実行するという。 わざわざこのような回りくどい処理を行うメリットとしては、コー
ソニーでさらなる情報流出か--ハッカー集団が犯行声明
ハッカーグループが米国時間6月2日、ソニーのいくつかのウェブサイトに侵入し、さらなる同社顧客の個人データを入手したと主張した。 「LulzSec」と名乗るこのグループは、週末にPBS.comに偽のニュース記事を掲載したのと同じグループだ。 LulzSecは先週末からソニーへの攻撃を約束し、この計画をソニーの「終わりの始まり」と呼んだ。情報を入手した証拠はあるのかと追及されると、LulzSecは2日、Sony PicturesやSony Music Belgium、Sony Music Netherlandsなど、ソニーの内部ネットワークやウェブサイトで入手した情報のサンプルへのリンクをTwitterに投稿した。 LulzSecは、Pastebinサイトに次のように書き込んでいる。「われわれは先日、SonyPictures.comに侵入し、パスワード、電子メールアドレス、住所、生年月日、アカ
オンラインでWEBサイトをスキャンしてくれる「URLVoid」
Warning: include_once(/home/sites/lolipop.jp/users/lolipop.jp-dp16105308/web/wp/wp-content/plugins/wp-super-cache/wp-cache-phase1.php): failed to open stream: Permission denied in /home/users/0/lolipop.jp-dp16105308/web/wp/wp-content/advanced-cache.php on line 8 Warning: include_once(): Failed opening '/home/sites/lolipop.jp/users/lolipop.jp-dp16105308/web/wp/wp-content/plugins/wp-super-cache/wp-c
セキュリティ情報 - iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性
iモードIDを用いた「かんたんログイン」のDNS Rebinding脆弱性 HASHコンサルティング株式会社 公開日:2009年11月24日 概要 iモードブラウザ2.0のJavaScriptとDNS Rebinding問題の組み合わせにより、iモードIDを利用した認証機能(以下かんたんログイン)に対する不正アクセスが可能となる場合があることを確認したので報告する。危険度の高い攻撃手法であるので、サイト運営者には至急の対策を推奨する。 背景携帯電話のかんたんログインとは、ケータイブラウザ(たとえばiモードブラウザ)に用意された契約者固有IDを利用した簡易的な認証であり、ユーザがIDやパスワードを入力しなくても認証が可能となる。iモードIDは、NTTドコモの提供する契約者固有IDの一種で、URLにguid=ONというクエリストリングを含めることにより、端末固有の7桁のIDがWebサーバに送
「北朝鮮のミサイルで沖縄に被害」――デマで恐怖をあおるメールが流通
SANSによれば、もっともらしく見せかけた文面で恐怖をあおり、不正なファイルを開かせようとするメールが報告されたという。 「北朝鮮が発射したミサイルで日本に甚大な被害が出た」などとするでっち上げメールで恐怖をあおり、不正なファイルを開かせようとする手口が報告されたという。SANS Internet Storm Centerが3月5日付で伝えた。 SANSによると、問題のメールは米政府の情報機関を思わせる「US Department of National Intelligence」という組織が書いたとの触れ込みで、非常によくできた作りになっているという。文面には「北朝鮮が沖縄に向けてミサイルを発射し、甚大な被害が出ている」といった内容が書かれているという。 末尾には「report.zip」というファイルへのリンクがあり、この中にマルウェアの実行可能ファイルが仕込まれている。3月5日の時点で
中国発のサイバー攻撃に使われたIE脆弱性--エクスプロイトコードが出回る
MicrosoftとMcAfeeは米国時間1月15日、Googleなどの企業を対象とする中国発の攻撃で悪用された「Internet Explorer(IE)」のゼロデイホールについて、それを突くエクスプロイトコードがインターネット上に出回っている、と警告した。 一方、ドイツの連邦安全保障局は15日、声明を発表し、パッチが公開されるまではIE以外のブラウザを使うよう国民に勧めた。 「われわれが現在までに確認しているのは、『IE6』に影響を及ぼす限定的なターゲット型攻撃だけだ」とMicrosoft Security Response Centerのシニア・セキュリティ・プログラム・マネージャーであるJerry Bryant氏は述べた。「新しいバージョンのIEもこの脆弱性の影響を受けるが、エクスプロイトの悪用をより困難にする対処法が存在する」(Bryant氏) McAfeeの研究者はメーリングリ
猛威をふるうガンブラーの徹底対策術 : サイバー護身術 : セキュリティー : ネット&デジタル : YOMIURI ONLINE(読売新聞)
民主党やホンダなどの大手サイトが、ガンブラーによって次々と改ざんされている。表示しただけでウイルスに感染する可能性があるので、徹底的な対策が必要だ。 特に自分でブログなどを開設している人は警戒したい。(テクニカルライター・三上洋) 民主党、ホンダ、JR東日本など大手サイトが改ざん被害 民主党東京都総支部連合会のウェブサイトも改ざん被害を受けた。12月25日から1月4日にかけて改ざんされた状態にあり、閲覧した人はウイルス感染している可能性がある 前回の記事「ガンブラーウイルスが猛威…JR東サイトも改ざん」でも紹介したように、ガンブラー(Gumblar、別名GENOウイルス)と亜種のウイルスによる被害が急拡大している。昨年12月からの被害だけでも、JR東日本、民主党東京都総支部、本田技研、モロゾフ、ハウス食品、信越放送、ローソン、京王電鉄などの大手企業サイトが改ざんされた。また、検索サイトの
Wireshark
Huge thanks to our Platinum Members Endace and LiveAction, and our Silver Member Veeam, for supporting the Wireshark Foundation and project. Download Wireshark NowThe world's most popular network protocol analyzerGet started with Wireshark today and see why it is the standard across many commercial and non-profit enterprises. *{padding:0;margin:0;overflow:hidden}html,body{height:100%}img,span{posi
Twitterに大量の不正アカウント、偽ソフトや詐欺行為に
マイクロブログTwitterのアカウントが不正目的で大量に登録され、偽ウイルス対策ソフトの宣伝に使われているという。セキュリティ企業のF-SecureやSophosがブログで伝えた。 それによると、不正アカウントは英語やドイツ語などのさまざまなユーザー名で登録されており、Twitterトレンドや正規ユーザーのつぶやきなどから拾い出したキーワードを使って自動的につぶやきを投稿している。 つぶやきにはURL短縮サービスを使ったリンクが添えられており、クリックすると不正サイトに誘導。「あなたのコンピュータはウイルスに感染しています」といった虚偽の情報で脅して偽ウイルス対策ソフトの購入を迫り、金銭をだまし取ったり、トロイの木馬などの不正プログラムをばらまこうとしたりする。 これとは別にSophosは、Twitterユーザーのアカウントに「rofl is this you on here?」(ここに
Webアプリにおける11の脆弱性の常識と対策
Webアプリにおける11の脆弱性の常識と対策:Webアプリの常識をJSPとStrutsで身につける(11)(1/4 ページ) 本連載は、JSP/サーブレット+StrutsのWebアプリケーション開発を通じて、Java言語以外(PHPやASP.NET、Ruby on Railsなど)の開発にも通用するWebアプリケーション全般の広い知識・常識を身に付けるための連載です 【2013年2月25日】編集部より、おわびと訂正のお知らせ 本稿において読者の皆さまより多数のご指摘をいただきまして、誠にありがとうございます。編集部であらためて調べた結果、間違いを把握し、あらためて修正版を掲載させていただきます。この度は、長期にわたり誤った内容を掲載したので、読者の皆さまに多大なご迷惑をお掛けしたした点をおわび申し上げます。 通常、記事に間違いがあった場合には、筆者確認後に修正版を掲載するのですが、今回の場
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
「Twitter」や「Facebook」へのDoS攻撃の標的はたった1人の活動家
Facebookの幹部によると、米国時間8月6日に「Twitter」でサイト全体のサービス停止を、そして、「Facebook」と「LiveJournal」、Googleの「Blogger」と「YouTube」で障害を引き起こしたサービス拒否(DoS)攻撃は、これらのサイトにアカウントを持つ親グルジア派の活動家ブロガー1人を標的にしたものだったという。 Facebookの最高セキュリティ責任者であるMax Kelly氏がCNET Newsに語ったところによると、「Cyxymu」というアカウント名を使用するこの親グルジア派のブロガーは、同時に攻撃されたこれらすべてのサイトでアカウントを所有していたという。 「これは、この活動家を標的として実行された、複数のサイトに対する同時攻撃で、目的は彼の発言を封じることだった」とKelly氏は述べた。「われわれは、今回の攻撃元を積極的に調査している。そして
TwitterとFacebookがDoS攻撃で一時ダウン、マルウェア攻撃も復活
TwitterとFacebookがDoS攻撃で一時ダウン、マルウェア攻撃も復活:ソーシャルサービスが一斉にダウン マイクロブログサービスの米Twitterや大手ソーシャルネットワーキングサービス(SNS)の米Facebookが8月6日、集中的なサービス妨害(DoS)攻撃を受けて一時的にダウンした。 Twitterはサイトに状況報告を掲載し、DoS攻撃を受けてサイトがダウンしたと説明。その後サイトは復旧したが、攻撃は続いており、米国時間の6日午前9時過ぎの時点で、まだロードには時間がかかり、タイムアウトすることもあると伝えている。 Facebookも同日、DDoS攻撃が原因とみられるネットワーク障害で一時的にアクセスしにくくなったとサイトで告知した。こちらも大部分は復旧したが、引き続き状況を監視中だという。 セキュリティ企業の英Sophosによれば、このほかにブログサービスのLiveJour
Postfixのぺーじ−AMaViSとSophos Anti-Virusによるウィルススキャン
はじめに ML の記事 に触発されて、 Postfix にウィルススキャナを導入してみた時の記録です。 ウィルススキャンソフトには、 Sophos Anti-Virus (SAV) for UNIX を用いました。このソフトには30日間のお試し期間があります (以前は FreeBSD/Linux 版の個人利用がフリーと記載された、 SAV の代理店のページが存在しましたが、現在は削除されているようです。 ライセンスに関しては各自でお確かめください)。 ファイルシステム内のみを検索するウィルススキャンソフトでは、 メールに含まれる MIME エンコードされたり uuencode された ウィルスを見つけることはできません。そこで、メールの添付ファイルを デコードしてウィルススキャンソフトに渡すためのインターフェースが 必要となります。 今回は Postfix と SAV のインターフェースに
mod_access - Apache HTTP サーバ
Please note This document refers to the 2.0 version of Apache httpd, which is no longer maintained. Upgrade, and refer to the current version of httpd instead, documented at: Current release version of Apache HTTP Server documentationYou may follow this link to go to the current version of this document.
第1回 セキュアOS機能「SELinux」の基本的な仕組み
Linuxディストリビューションの「Fedora Core 5」からは,大幅に機能刷新されたSELinuxが組み込まれた。本講座では,Fedora Core 5でのSELinuxの機能や使い方を,これまでSELinuxを使ったことがない人に向けて,分かりやすく解説していく。第一回は,SELinuxの基本的な仕組みを紹介する。 「Security-Enhanced Linux(通称SELinux)」は,Linuxカーネル用のセキュリティ拡張機能である。米NSA(National Security Agency=米国国家安全保障局, http://www.nsa.gov/selinux)が中心となって,不正侵入の被害を極力少なくすることを目的に開発し,オープンソース・ソフトとして提供している。SELinuxは既に,Fedora Coreなどの主要なLinuxディストリビューションに組み込まれて
現行版のPHPに任意メモリ参照バグ – 攻撃コード付き
(Last Updated On: 2018年8月13日)随分前から共有型Webホスティングサービスでは安全性を確保できないので、安全性を重視するサイト(ECなど)は最低限でも仮想ホスト型の共有サービスを利用すべきである、と言っています。 今回のエントリはPHPをApacheモジュールで共有型ホスティングサービスを利用しているユーザに影響します。SSLを利用している場合は秘密鍵を盗まれます。このバグはPHP 5.2.8でも修正されていません。当然ですがPHP 4.4.9でも修正されていません。 Milw0rmのアドバイザリ http://www.milw0rm.com/exploits/7646 には、そのまま使える、任意のアドレスのデータを参照するコードまで付いています。秘密鍵を盗むことは簡単です。 誤解してはならない事ですが、これはPHPに限った問題ではありません。PHPでは度々このよ
セキュリティホール memo - JASRACシンポジウム2008 方面
近年、MD5 ハッシュアルゴリズムの衝突耐性が、それまで考えられていたほどには高くないことが知られるようになったが、これを利用した現実的な攻撃事例が 25th Chaos Communication Congress (25C3) で発表された。 デモされたのはこんな内容みたい。 既存の証明書と同じ MD5 ハッシュ値を持つ、全く別の証明書を用意する。 PlayStation 3 x 200 台のクラスタ環境で 1 〜 2 日で作成できる。 Amazon EC2 なら $20,000 出せば手に入る CPU パワー。 最適化すれば $2,000 Amazon EC2 x 1 日でできるだろう、とも。 これを使ってニセの中間 CA を作成する。多くのブラウザが信頼しているような CA のニセモノだと利用価値が高い。 ニセ CA を DNS 詐称攻撃 (DNS キャッシュ汚染など) と組みあわ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
