Home
LEARN TO HACK Hacker101 is a free class for web security. Whether you’re a programmer with an interest in bug bounties or a seasoned security professional, Hacker101 has something to teach you. Start Hacking! Capture the Flag Put your skills into practice with CTF levels inspired by the real world Check out CTF
WordPressの更新版公開、直ちに適用を
米セキュリティ機関のUS-CERTによると、これら脆弱性を悪用されれば、リモートの攻撃者にWebサイトを制御される可能性もあるという。 WordPressの更新版は、管理画面でダッシュボードに表示される更新のリンクをクリックすると適用できる。自動更新を有効にしていれば、バックグラウンドで自動的に配信される。 関連記事 「WordPressのアップデートは大至急」 攻撃発生でIPAが注意喚起 Webサイトをマルウェア配布に悪用するために脆弱性が悪用される恐れがあることから、コンテンツ管理でユーザーの多いWordPressの更新を急いで適用してほしいとしている。 WordPressの脆弱性突く攻撃が激増、6万以上のWebサイトで改ざん被害 脆弱性情報が公開されてから48時間足らずの間に悪用コードが投稿され、脆弱性のあるサイトを探して攻撃を試す動きはインターネット全体に広がった。ハッキングされた
脆弱性検査値の自動生成 - 遺伝的アルゴリズム編 - | MBSD Blog
2017.08.21 プロフェッショナルサービス事業部 高江洲 勲 「遺伝的アルゴリズム(Genetic Algorithm:以下、GA)」とは、生物が自然淘汰や交叉、突然変異を何世代にも渡って繰り返しながら(環境に適応するように)進化していく様をシミュレートするもので、様々なタスクにおける最適解の探索に利用されています。実用例としては、N700系新幹線における、空気抵抗が少ない先頭車両形状の計算、Fuzzer(American Fuzzy Lop)における、より多くのプログラムPathを通るFuzzの生成等があります。 今回は、このGAを脆弱性診断の領域に拡張し、Webアプリケーションの脆弱性を検出するための検査値を自動生成する検証を行いましたので、検証手順と結果を紹介します。なお、Webアプリケーションの脆弱性は多種多様ですが、今回は反射型のXSS(Reflected Cross si
Amazon.co.jpの新機能にあったXSS
先日久しぶりにAmazon.co.jpにアクセスしてみると、何やら見慣れないボタンが右上に追加されていました。 どうやらAmazon.co.jpを利用するときの言語を設定できる機能のようです。 この機能のURLは以下のような形になっていました。 http://www.amazon.co.jp/gp/customer-preferences/select-language/ref=topnav_lang?ie=UTF8&preferencesReturnUrl=%2f 怪しい気配がしますね。 試しに、「'」(%27)をURLの末尾に挿入して出力されるコードを確認してみます。 http://www.amazon.co.jp/gp/customer-preferences/select-language/ref=topnav_lang?ie=UTF8&preferencesReturnUrl=%
iframe sandbox は万能ではない - 葉っぱ日記
HTML5で導入されたiframe要素のsandbox属性は、そのiframe内のコンテンツに対しJavaScriptの実行を始め様々な制約を課すことでセキュリティの向上に役立つ機能である。例えば、以下のように指定されたiframeでは、iframe内からformのsubmitなどはできるが、iframe内でのJavaScriptの実行やtarget=_blankなどによってウィンドウを開くことなどは禁止される。 <iframe sandbox="allow-forms" src="..."></iframe> sandbox属性に明示的に allow-scripts という値を指定しない限りはiframe内では直接的にはJavaScriptは実行できないが、かといってiframe内から間接的にJavaScriptを必ずしも実行させることが不可能かというとそうでもない。 sandbox属性
WordPress、深刻な脆弱性を修正 XSS攻撃の恐れ
WordPress 4.0.1ではXSSの脆弱性などが修正された。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。 ブログ作成ソフトの更新版となる「WordPress 4.0.1」が11月20日に公開された。クロスサイトスクリプティング(XSS)などの深刻な脆弱性が修正されており、ユーザーに対して自分のWebサイトを直ちに更新するよう呼び掛けている。 WordPressのブログによると、WordPress 4.0.1では3件のXSSの脆弱性を含め、計8件の脆弱性を修正した。悪用された場合、Webサイトをハッキングされたり、クロスサイトリクエストフォージェリ(CSRF)攻撃を仕掛けられたりする恐れがある。脆弱性は3.9.2までのバージョンに存在する。 更新版は、自動更新を有効にしていれば自動的に配信される。脆
QiitaにXSS脆弱性 - Qiita
Qiitaに発生していた脆弱性について ※ エイプリルフールネタっぽいけど実際に発生していました。 ※ 現在この脆弱性は修正済みです。 問題のあった記事 問題のMarkdown おいしいクッキーを食べたい人はここをクリック! **[おいしいクッキーを食べたい人はここをクリック!](data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+)** ブラウザ別の挙動 Chrome 33.0 データURIスキームの先で document.cookie を参照することは出来なかった。 Firefox 28.0 データURIスキームの先で document.cookie を参照することが 出来た 。 Internet Explorer とかその他もろもろ 編集リクエストに任せるぜ! 考察 結局これってやばいの?
Masato Kinugawa Security Blog: accounts.google.comに存在したXSS
Googleの脆弱性報酬制度の報酬がアップされましたね! Google、脆弱性情報に支払う報奨金を大幅アップ - ITmedia エンタープライズ http://www.itmedia.co.jp/enterprise/articles/1306/10/news027.html Googleアカウントページに存在するクロスサイトスクリプティング(XSS)の脆弱性情報については3133.7ドルから7500ドル accounts.google.comのXSSは$7,500 だそうです。みつけたいですね! みつけるのはかなり厳しいと思いますが、かつて2つみつけたことがあります。 今日はそのうち1つを紹介したいと思います。 oeパラメータを使ったXSS 2012年12月27日に報告し修正された問題です。 Googleは、一部のサービスで「oe」というクエリパラメータを付加することで、ページの表示に
ハッカージャパンに連載開始しました
ハッカージャパンの7月号から、2013年 07月号から、「基礎から学ぶWebアプリケーションの脆弱性入門」という連載を開始しましたので報告します。6月11日発売ということですで、入手可能だと思います。 ハッカージャパン誌から連載の打診をいただいた時、ハッカージャパン誌の性格上マニアックな内容を期待されているのかと思ったのですが、入門的な内容をと言うことでしたので、前述のようなタイトルとなっています。 単にSQLインジェクションとは…、XSSとは…では新味がないので、読者が漠然と感じているであろう素朴な疑問にできるだけ答えるようにしたいと考えています。以下は、見出しの一部です(全部ではありません)。 脆弱性とは何だろう?グレーゾーンの脆弱性入力か、出力か、それが問題だサニタイズとWebアプリケーションセキュリティの黒歴史前述のように、あくまで入門的な内容ではあるのですが、「私は今ハッカージャ
Masato Kinugawa Security Blog: location.hrefの盲点
夏ということで、怖い話をします。 Webアプリケーション開発者の皆さん、聞いて下さい。 時間がない人や、他の人に問題を説明するときなどには簡潔にまとめた版をどうぞ。 これは2011年12月27日にAppleに報告したSafariの問題です。Appleからは修正する予定はないという回答を貰っていましたが、2012年7月25日にリリースされたMacのSafari 6のアドバイザリによるとどうもMacのSafari 6では修正されたようです。 About the security content of Safari 6 http://support.apple.com/kb/HT5400 WebKit Available for: OS X Lion v10.7.4, OS X Lion Server v10.7.4 Impact: Visiting a maliciously crafted
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
