「プロ棋士と対局できる」大阪・高島屋から斬新すぎる福袋 » Lmaga.jp
百貨店「高島屋大阪店」(大阪市中央区)から、2022年版福袋の発売が決定。福袋らしからぬ体験企画が勢揃いする。 同百貨店では、豪華金製品、アパレルブランドといった定番福袋のほか、体験型の企画福袋を発売。「帝国ホテル 大阪」とタッグを組んだ「ウェディングフォト&豪華ホテル宿泊セット福袋」(20万2200円)や、「マイ包丁製本体験福袋」(1万1000円)など、種類も価格帯もさまざま。 なかでも注目は、プロ棋士・山崎隆之八段、室谷由紀女流三段、どちらかと対局できる福袋(1万6500円)。普段であればお金を払ってもできないプロとの対局は、またとない機会となりそうだ(対局する棋士の選択は不可)。 また同福袋には、長時間対局する棋士を支えるべく老舗寝具ブランド「昭和西川」と「日本将棋連盟」が共同開発した「ムアツ座布団」もセットで付いてくるという。購入方法は抽選・先着順など福袋によって異なり、詳細は公式
データベース暗号化の方式と目的 - YouTube
PCI DSSなどのセキュリティ基準ではデータベースの暗号化を求めているケースがあり、また個人情報保護の目的でデータベース暗号化を求めている場合が多いです。 それでは、データベースの暗号化は実際にはどうすればよいか、代表的な3方式について、概要とメリット・デメリットを説明します。 今回の目玉: データベースを取り巻く脅威について、簡単な脅威分析を行い、どの脅威が各方式で守れるかを解説します。 データベースに対するSQLインジェクションやリモートコード実行(RCE)によりデータベースの情報が漏洩する方法については、以下の動画でデモンストレーションしています。 ・SQLインジェクションによりクレジットカード情報を盗むデモンストレーション https://www.youtube.com/watch?v=Vvgmeu128ak ・DBに保存されたクレジットカード情報をバックドア経由で
【セキュリティ ニュース】「お名前.com」管理ツールに脆弱性、顧客2件で不正アクセス(1ページ目 / 全2ページ):Security NEXT
5月末から6月初旬にかけて、複数の暗号資産(仮想通貨)取引所でドメインの登録内容が、第三者によって不正に書き換えられる被害が発生した。いずれもドメイン登録サービス「お名前.com」の脆弱性が悪用されたと見られるが、被害の原因となった脆弱性は明らかにされていない。 ドメイン登録サービス「お名前.com」を運営するGMOインターネットによれば、同サービスの利用者向けに提供している管理ツール「お名前.com Navi」において通信内容が改ざんされる脆弱性が存在。同社と顧客間で連絡を取るために利用される登録メールアドレスが、脆弱性によって改ざんされた。 同社は、6月5日の時点で脆弱性の影響を受けた顧客は2件としており、社名などは明らかにしていないが、すでに被害を公表しているコインチェックとビットバンクと見られる。 脆弱性によって被害者が登録しているメールアドレスが、攻撃者の用意したメールアドレスに
徳丸本VMに1行追加するだけでメールアドレス改ざんの実習環境を作ろう
お名前.com Naviの「通信を改ざんできる不具合を利用してメールアドレスを書き換えた」事件に着想を得て、「メールアドレス改竄脆弱性を手元で安全に試せる」実習環境を準備しました。想定する脆弱性として認可制御不備になります。「そんな単純なことで」と思う方も多いと思いますが、実は割合よく見かける脆弱性です。 メールアドレスを改竄して、パスワードリセットから、管理者アカウントでのログインまで試すことができます。 ※ お名前.com Naviの事件内容の推測ではなく、この事件に着想を得た脆弱性実習です 参考: お名前.com Naviで発生した事象につきまして https://www.onamae.com/news/domain/20200603_1/ 実習シナリオ、スクリプト等はこちら https://github.com/ockeghem/web-sec-study/tree/mast
徳丸本VMで実習:Digest認証のハッシュ値が漏洩すると直ちに不正ログインできる - YouTube
HTTP認証の一種Digest認証が、サーバーに保存したハッシュ値が漏洩すると、直ちに不正ログインできることを実験で確かめます。 前編: https://www.youtube.com/watch?v=fpdQAEjgxOc デモ環境(実習もできます) 徳丸本2版の実習用VM Firefox OWASP ZAP 実習用スクリプト: https://github.com/ockeghem/web-sec-study/tree/master/digest-auth-part2 0:26 Digest認証のおさらい 1:06 ブラウザとサーバーにおけるハッシュ値の計算方法 2:16 攻撃のイメージ 2:56 攻撃用スクリプト 3:56 デモ 6:12 Digest認証のパスワード情報保護について 7:55 Basic認証との比較 9:06 まとめ 9:35 徳丸浩へのお仕事の依頼方法
徳丸本VMで実習:Digest認証に対して中間者攻撃してみよう - YouTube
HTTP認証の一種Digest認証に対して中間者攻撃をやってみます。Digest認証があまり使われない理由が納得できるかもしれませんよ。 続編: https://www.youtube.com/watch?v=aGS26pW2gY4 デモ環境(実習もできます) 徳丸本2版の実習用VM OWASP ZAP 実習用スクリプト: https://github.com/ockeghem/web-sec-study/tree/master/digest-auth-part1 目次 0:28 Basic認証の説明(復習) 1:10 Digest認証の説明 3:15 徳丸本にDigestの環境を設定する 6:09 Digest認証のデモ 7:25 Digest認証は中間者攻撃に脆弱 7:57 想定環境の説明 8:35 Digest認証に対する中間者攻撃のデモ 10:30 まとめ 12:32 徳丸
台湾人、中国人によるマスク買い占めを防ぐために台湾国旗を印刷したらしい : コノユビニュース
2020年02月01日15:09@konoyubtmr 台湾人、中国人によるマスク買い占めを防ぐために台湾国旗を印刷したらしい 仕事・社会ネタ 30コメント 1 : 風吹けば名無し 2020/02/01(土) 11:31:36 ID:SvcIqwmQ0.net 2 : 風吹けば名無し 2020/02/01(土) 11:32:06 ID:yqzeqp7X0.net 頭いい 4 : 風吹けば名無し 2020/02/01(土) 11:32:11 ID:H1OpoQ0wd.net 草 5 : 風吹けば名無し 2020/02/01(土) 11:32:26 ID:aH2BdqH/d.net やるやん ■うっかり読んじゃう記事 【画像】日本のアニメ、男女が向き合って手を繋ぎながらスカイダイビング好きすぎ問題 なかやまきんに君、前科者になる 原宿に一部屋「67億6000万円」のマンションが爆誕! 【悲報】
青梅市/公募型プロポーザル
以下の業務委託について、公募型プロポーザルを行います。 青梅市ホームページシステム再構築業務委託公募型プロポーザル 業務概要、参加資格要件、申請方法および申請書類等の詳細については、下記の「関係書類」を御確認ください。 なお、参加申請は令和元年7月1日から令和元年7月8日正午までに行ってください。 また、質問回答を掲載する場合は本頁にて行います。 関係書類 青梅市ホームページシステム再構築業務委託公募型プロポーザル実施要領(PDF) 青梅市ホームページシステム再構築業務委託仕様書(PDF) CMS機能要件一覧(PDF)(EXCEL) データセンター要求仕様一覧(PDF)(EXCEL) (様式第1号)参加申請書(PDF)(WORD) (様式第2号)会社概要書(PDF)(WORD) (様式第3号)業務実績書(PDF)(WORD) (様式第4号)質問書(PDF)(WORD) (様式第5号)見積書
パスワードを公開している認証有りWiFiとパスワードなしのフリーWiFiの危険性は変わらないですか?
回答 (2件中の1件目) パスワード(事前共有鍵)がわかっていれば、暗号化されたWiFiでも復号が可能です。以下の記事をお読みください。 パスワードが公開された公衆無線LAN、暗号化されていても盗聴できる? この記事とは別の方法もあります。SSIDとパスワードがわかっていれば、同じSSIDとパスワードを設定した「偽アクセスポイント」を容易に作ることができます。利用者からは、本物と偽物を区別することはできないで、偽アクセスポイントに接続した利用者の通信は、暗号化されていない有線区間で容易に盗聴できます。 これらのことから、フリーWiFiの危険性は、共通の(公開された)パスワードがあっ...
EC2上でDNS RebindingによるSSRF攻撃可能性を検証した
AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門 この記事の中で、以下のように紹介しました。 ホスト名からIPアドレスを求める際にも以下の問題が発生します。 DNSサーバーが複数のIPアドレスを返す場合の処理の漏れ IPアドレスの表記の多様性(参考記事) IPアドレスチェックとHTTPリクエストのタイミングの差を悪用した攻撃(TOCTOU脆弱性) リクエスト先のWebサーバーが、攻撃対象サーバーにリダイレクトする 上記のTOCTOU(Time of check to time of use)問題は、DNSの名前解決の文脈ではDNS Rebindingとも呼ばれます。 DNS R
サーバーの設定、ftp接続をしたい(サーバーは先方が用意。VNCからリモートコンソール接続)
前提・実現したいこと 現在ITインフラ会社のコーポレートサイトを制作しております。 公開用のサーバーは先方で用意してもらったのですが、以下のことがわからない状態です。 ①FTP接続 ②ブラウザからのアクセス方法、ドメイン設定 ③WordPress用にデータベースの作成 普段はヘテムルやエックスサーバーのレンタルサーバーを使用しており、 諸々の設定はコントロールパネルから行い、の情報を元に接続しているのですが、 先方からは接続情報として、サーバーのログイン情報(ユーザー1つとroot権)と リモートコンソール(VNC)接続の情報(IP、ポート、パスワード)をもらいました。 MACのVNCクライアントから接続し、ログインするところまではできました。 FTPクライアントのTransmitから接続を試みているのですが、 リモートコンソールというものに馴染みがなく、 調べても同じようなケースややり方
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
CWE-20入門
サマリ この記事の想定読者は、企業等の脆弱性ハンドリング担当者です。脆弱性情報にしばしば出てくるCWE-20の読み解き方を説明します。 CWEとは CWEはCommon Weakness Enumerationの略で、日本語では「共通脆弱性タイプ一覧」と訳されています。この訳からも分かるように、脆弱性をタイプ毎に分類しているものです。つまり、SQLインジェクション、XSS、バッファオーバーフロー等に、CWE-XXXという「分類番号」をふったものと考えるとわかりやすいでしょう。以下は、IPAが公表しているCWEの解説記事からの引用です。 1999年頃から米国政府の支援を受けた非営利団体のMITRE(*2)が中心となり仕様策定が行われ、2006年3月に最初の原案が公開されました。その後、40を超えるベンダーや研究機関が協力して仕様改善や内容拡充が行われ、2008年9月9日にCWEバージョン1.
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
雇用調整助成金、申請情報漏れ オンライン停止 - 日本経済新聞
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方 - YouTube
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
クレジットカード取引におけるセキュリティ対策の強化に向けた実行計画-2019-[PDF]
不正アクセスによる個人情報流出に関するお詫びとご報告について(続報) - ドラッグイレブン
人事報告 – PHP技術者認定機構
釣りビジョンからのお知らせ: 不正アクセスによるお客様情報流出に関するお詫びとご報告 | お知らせ、2019年01月25日