GitHub - Roave/SecurityAdvisories: :closed_lock_with_key: Security advisories as a simple composer exclusion list, updated dailyYou signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Osushiに見るフロントエンドのセキュリティ - Speaker Deck
All slide content and descriptions are owned by their creators.
ITパスポート試験で個人情報漏えい 団体申込者のシステムに不具合
情報処理推進機構(IPA)は3月13日、ITパスポート試験の団体申込者が利用するシステムに不具合があり、計137件の個人情報などが漏えいしたと発表した。2つの団体申込者が申し込み情報を同時にダウンロードしたところ、もう一方の団体情報を入手できるトラブルが発生。既に漏えいした情報の破棄を確認し、再発防止策を講じたという。 2月26日、2つの団体申込者がWebサイトから申し込み情報(CSVファイル)を同時にダウンロードしたところ、双方の情報が合わさって記載されたファイルをそれぞれダウンロードできたという。 同日、各申込者からITパスポート試験の運営委託先に連絡があり、トラブルが発覚。IPAが後日謝罪し、個人情報の廃棄を確認したという。不具合が発生したシステムは3月5日に改修し、今後は同様の事態は起きないとしている。 各申込者以外への個人情報の漏えい、未使用チケットの不正利用は確認していないとい
安全なWebアプリケーションの作り方改訂のお知らせ
徳丸本こと、「体系的に学ぶ 安全なWebアプリケーションの作り方」は、2011年3月の発売以降大変多くの方に読んでいただきました。ありがとうございます。 ただ、発売から既に7年が経過し、内容が古くなってきた感は否めません。たとえば、クリックジャッキングの説明はほとんどないですし、OWASP Top 10 2017で選入された安全でないデシリアライゼーションやXXEの説明もありません。なにより、Web APIやJavaScriptのセキュリティ等がほとんど書かれていないことが課題となっていました。 そこで、版元のSBクリエイティブと相談して、この度改訂することにいたしました。3月末脱稿、6月頃発売の見込みです。 改訂にあたり、以下を考えています。 Web APIとJavaScriptに関する説明を4章に追加 XHR2対応に向けてCORSの説明を3章に追加 携帯電話の章は丸ごと削除して、別の内
10 Year Old Root Exploit Found in 'man' Command
A 10-year old root exploit was found in the Unix “man” program used for displaying system documentation. The “man trap exploit” is triggered when certain key combinations and escape sequences are triggered in malicious man pages, which would be able to use the screen buffer memory to replay login details. Infected man pages have been found in the core utilities of virtually every Linux and BSD dis
PHP の mail() 関数で FizzBuzz | どさにっき
■ PHP の mail() 関数で FizzBuzz _ といってもループはできないので数値は生のリストで与えるんだけど。 $ php -r 'mail("","","","","-be \${tr{\${map{1:2:3:4:5:6:7:8:9:10:11:12:13:14:15:16:17:18:19:20:21:22:23:24:25:26:27:28:29:30:31:32:33:34:35:36:37:38:39:40:41:42:43:44:45:46:47:48:49:50}{\${if={\${eval:\$item%15}}{0}{FizzBuzz}{\${if={\${eval:\$item%3}}{0}{Fizz}{\${if={\${eval:\$item%5}}{0}{Buzz}{\$item}}}}}}}}}{:}{\\n}}");' 1 2 Fizz 4
Struts2が危険である理由
はじめに 2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月(およそ3年前)に「例えば、Strutsを避ける」という記事を書きましたが、今読み返してみると「やや調査不足の状態で書いてしまったな」と感じる点もあります。今回、良いタイミングなのでもう一度Struts2のセキュリティについてざっとまとめてみたいと思います。 なぜJavaなのにリモートからの任意のコード実行(いわゆるRCE)が可能なのか Struts2はJavaアプリケーションであり、Java製のアプリケーションサーバ上で動作します。Javaはいわゆるコンパイル型の言語であるため、通常はランタイムにおいて任意のコードを実行することはできず、RCEは難しいはずです。 JavaのウェブアプリケーションでRCEが成
CDN企業Cloudflareのバグで、多数のサービスで機密データ流出の可能性 - ITmedia NEWS
多数のWebサービスにCDN(コンテンツ配信ネットワーク)を提供している米Cloudflareは2月23日(現地時間)、エッジサーバのセキュリティ問題で顧客のHTTPクッキー、認証トークン、HTTP POST本体などの機密データが流出し、さらにその一部はGoogleやBingなどの検索エンジンによってキャッシュされていたと発表した。 バグは既に修正された。キャッシュされたデータについては、Google、Yahoo、Bingなどの協力により、既にパージされた。Cloudflareは、流出したデータが悪用されたという報告は今のところないとしている。 Cloudflareのサービスは、例えばUberやFitBit、Feedlyなど、世界の550万以上の企業が利用している。この問題の影響を受けた可能性のある企業のリストを第三者がGitHubで公開しているが、それを確認するよりも、自分が使っているサ
2月初めの複数の国内サイトの改ざんについてまとめてみた - piyolog
2月4日から複数のサイトが改ざんされる被害が発生しています。被害を受けたサイトの多くはWordPressで構築されているとみられ、Sucuriが2月1日に公開した脆弱性情報との関連が疑われます。ここでは改ざんの状況、脆弱性情報についてまとめます。 改ざん被害はWordPressに集中 2月4日11時頃よりZone-Hへ投稿される改ざん被害を受けたサイトの件数が増えているようです。 確認した改ざん事例では次のような「Hacked by〜」のような書き込みが行われていました。 事例(1) hacked by NG689Skw 事例(2) Hacked By SA3D HaCk3D / HaCkeD By MuhmadEmad 事例(3) hacked by magelang6etar 事例(4) Hacked by RxR HaCkEr 事例(5) Hacked By GeNErAL 事例(6
日経BPパスポート
いつもご利用いただきありがとうございます。 日経BPパスポートは2020年12月をもってサービスを終了しました。 長らくのご愛顧をありがとうございました。 引き続き、日経BPのサービスをお楽しみください。 https://www.nikkeibp.co.jp/
asahi.com(朝日新聞社):入札システム、透明性あり過ぎた 4年間丸見え 愛媛県 - 社会
印刷 関連トピックスNEC 愛媛県は12日、県発注の土木工事などに導入している電子入札システムで、入札者がパソコン画面を操作すると入札前に最低制限価格が見えてしまう不具合があった、と発表した。同システムは4年半前から使われており、県は開発したNECにシステムの修正を指示し、今後1カ月に予定されている入札を中止した。 県土木管理課によると、9日に実施された同県宇和島市での河川工事の入札で、最低制限価格と同額の入札があった。不審に思った県の担当者が応札した業者に確認したところ、「たまたま開いた画面で最低制限価格が見えた」と説明。県側が確認したところ、プログラムを表示する画面(ソースコード画面)を参照すると、800万円未満の指名競争入札と23億円以上の一般競争入札の最低制限価格(調査基準価格)が誰にでも見えるようになっていたという。 県の電子入札システムは2007年4月に全面導入され、11
高木浩光@自宅の日記 - 話題の「カレログ」、しかしてその実態は。
■ 話題の「カレログ」、しかしてその実態は。 ここ数日、テレビのワイドショーで連日取り上げられている「カレログ」だが、以下の話はまだマスメディアでは取り上げられていないようだ。 カレログのサービスが開始されたのは8月29日だったが、9月1日にリイド社から「GALAXY S2 裏活用バイブル」というエロ本*1が出版されていた。この本の企画・編集を担当したのは、有限会社マニュスクリプトであり、カレログのサービス提供者と同一であることが判明している。 この本の表紙には以下のように、「スクープ!! (秘)アプリで彼女の動きをGPSでリアルにチェック!」と書かれている。 何のことかというと、まさに「カレログ」の紹介記事である。 「禁断! ギリギリ裏アプリ徹底研究」という最終章に掲載されており、以下のように、「大事な彼女の行動を追跡チェック!」、「悪用厳禁! 究極のストーキングアプリ!」、「パートナー
SSLCertOfLolipop - mizzy.org - Trac
ロリポップの SSL 証明書について FFFTP開発終了で大騒ぎしている人たちへ にて、 SSL証明書がまともなものでないと接続時にエラーが出るのですが、ロリポップなんかだと このエラーを無視するように公式ドキュメントに書いてあるので、かなり悪質です。 と書かれていますので、これについて説明させて頂きます。 この方が指摘されているのは、Win FileZillaの設定 / ホームページ / マニュアル - ロリポップ! の中の、 証明書の確認を行います。『今後もこの証明書を常に信用する(A)』にチェックを入れて、『OK』をクリックします。 という部分だと思われるのですが、確かに、無条件で信用するにチェックを入れるようお客様に指示するのは大変良くないですね。 ロリポップでは DigiCert Inc社 によって発行されている証明書を利用しているのですが、Filezillaでは警告が出てしまう
UDIDが使えなくなりそうなので、UIIDを使えるようにしました
■2012/11/11追記 iOS 6より[[UIDevice currentDevice] identifierForVendor]というAPIがAppleより提供され、よりプライバシーに配慮した上により安全な方法で自分の開発したアプリケーションを利用するユーザーを個別に認証することが可能になりました。それに伴い拙作のライブラリもidentifierForVendorが利用可能であればこちらを利用するように修正いたしました。今後はこのidentifierForVendor(または広告APIなどを作る場合であれば[[UIDevice sharedManager] advertisingIdentifier])が個体認識の主流になっていくと思われます。identifierForVendorとadvertisingIdentifierの仕様まとめは http://stackoverflow.c
mixi足あと廃止に寄せて - 最速転職研究会 | コメント mixiって今ほとんどがモバイルでアクセスされてたはずだけど、スマホ以外のガラケーでもこの問題が起きるの?
mixiが6年以上に渡って放置してきた足あと機能を使って訪問者の個人特定が可能な脆弱性を修正した。簡単に説明するとmixi以外のサイトからでもユーザーに気付かれずに、その人のmixiアカウントを特定するということが出来たが、出来なくなった。(正確にはユーザーが気付いたとしても特定された後) アダルトサイトが訪問者のmixiアカウント収集したり、ワンクリック詐欺サイトがmixiアカウント特定して追い込みかけたり、知らない人からメッセージ送られてきてURL開いたらmixiアカウント特定されてたり、そういうことが今まで出来ていたのが出来なくなった。 過去にもいろんな人が言及してるし、すでに終わった議論だと思ってる人もいるだろう。世間一般にどれぐらい認知されていたのかはよく分からないが、少なくとも技術者やセキュリティ研究者の間ではよく知られている問題だった。 http://internet.kil
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
プレミアム・アウトレットが情報漏洩の調査結果を報告、認証失敗時のパスワード流出認める
クレジットカードのセキュリティコードも流出の可能性、森永乳業の情報漏洩
[PDF]WEB予約サービス不正アクセスに関する調査報告書(解析編) | 2018年3月28日 九州商船株式会社
Loading...
karelog.jp