アイコンを見るだけでデータが破壊されるNTFSの脆弱性
福岡県管理のコロナ陽性者情報 氏名・住所など数千人分が流出|TBS NEWS
福岡県が管理する新型コロナ患者の住所や名前などの個人情報が、少なくとも数千人分、1か月あまりにわたってインターネットに公開されていたことが分かりました。 公開されていたのは、福岡県が作成した複数の内部文書です。この中には流行が始まった去年から今月初旬までの間に新型コロナの検査で陽性だった少なくとも数千人の名前や年齢、住所、それに詳しい症状などの個人情報が含まれています。 去年11月末に福岡県外に住む関係のない男性の元に内部文書が送られてきたことをきっかけに、患者の情報がネット上で公開されていることが分かりました。 男性は福岡県に連絡し、セキュリティ対策をとるよう求めたものの、6日まで1か月あまりの間、第三者がアクセスできる状況が続きました。 「11月30日からきょうまで、ずっとほったらかしになっているって、いくらなんでもおかしいし、アドレスを知っていれば誰でもアクセスできる状態になっている
Twitterのフリート機能に対する権限昇格
はじめにTwitterはBug Bountyプログラム(脆弱性報奨金制度とも呼ばれる)を実施しており、脆弱性の診断行為を行うことが認められています。 本記事は、そのプログラムを通して報告された脆弱性についてを解説したものであり、Twitterが認知していない未修正の脆弱性を公開する事を意図したものではありません。 また、Twitter上で脆弱性を発見した場合はTwitterのBug Bountyプログラムより報告してください。 (This article is written in Japanese. If you’d like to read this article in English, please visit HackerOne report.) TL;DRTwitterが公開したフリート機能が使用しているAPIに脆弱性が存在し、READ権限しか持っていないサードパーティアプリケ
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
続・続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している
この記事は過去2回にわたる検証記事の続きとなります。 国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 続・国産ブラウザアプリSmoozはあなたの閲覧情報をすべて外部送信している 前回の記事では、おすすめ記事機能を有効にしていると、Smoozがユーザーの閲覧しているURL情報を送信してしまうことについて解説しました。 ユーザーID、URLと共に送信されているbc、bt、bdという項目の内容がわからないままでしたが、これもユーザーの情報であるはずだと思い、調査を続けてきました。 ▼これがおすすめ記事のために送信される内容 (この内容は記事の最後にテキスト情報としても掲載しておきます) URL情報に関連するもので 『c、t、d』 と呼ばれそうなものは何か。 ・cのデータ量は飛び抜けて多い ・cとdは一致が見られることがある ・一部が一致しながらもcのほうが長かったりもする
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能
ソニーネットワークコミュニケーションズのインターネットワークサービス「NURO光」でレンタルされるネットワーク機器について、NURO光側が管理時に使用するアカウントIDとパスワードが特定されました。このアカウントを利用することで、通常はユーザーがアクセスできない機能にアクセスできるほか、root権限によるコマンド実行が可能になります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次 ◆1:「HG8045Q」の脆弱性の指摘 ◆2:脆弱性を確認してみた ◆3:新たな脆弱性を発見 ◆4:脆弱性の報告とNURO光の対応 ◆1:「HG8045Q」の脆弱性の指摘 研究者のAlex Orsholits氏によって報告された今回の脆弱性は、通信ネットワーク
OAuth 2.0 を参加者全員がある程度のレベルで理解するための勉強会を開催しました | DevelopersIO
現在私は barista という OpenID Connect と OAuth2.0 に準拠したID製品の実装を行っています。 また、私の所属する事業開発部では prismatix というEC、CRM の API 製品の開発を行っていますが、この prismatix の認可サーバーとして barista を利用しています。 barista チームの増員や、prismatix の認可についての理解を促進するため OAuth 2.0 をある程度しっかりと理解しているメンバーを増やしたかったので、勉強会を開催しました。 勉強会の内容 概要 雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしながら学べる本を全員で輪読 OIDC 編はこのあとやる予定 攻撃編もやりたい RFC 読んだりもしたい 参加者全員が以下を満たすことが目標 OAuth 2.0 の意図を理解
大量出現したニセ通販サイトを探る - 午前7時のしなもんぶろぐ
こんにちは! しなもんです。 ふとしたきっかけから、日本語のニセ通販サイトが大量に作られたことが判明しましたので、注意喚起を兼ねて調査結果を公開します。 こうした偽サイトに個人情報や金融情報などを入力しないようにご注意ください。 はじめに 偽サイトの発見 ニセサイト群の特定 ドメインを分析 実際のサイトの様子 運営会社の身元 画像の出所 ソースの分析 注文してみた 評価サイトでの扱い 攻撃を仕掛けているのは何者なのか ニセサイトは平然と存在している 調査に使用したサービス 付録 調査対象のドメイン一覧 更新履歴 はじめに 調査はしなもんが自力で実施しましたが、ニセ通販サイトの存在自体は I 氏から教えてもらいました。 調査上の重要なアイデアのいくつかも I 氏によるものです。 この場を借りてお礼を申し上げます。 以下、不用意なアクセスの防止のために、URL や IP アドレスを 「hxxp
駆け出しエンジニアの皆さんに知ってほしい脆弱性のこと。
セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプリケーションを作り、公開することにチャレンジして欲しいと私は思っています。 一方、事実として、脆弱なアプリケーションが公開されている(サーバ上でアクセス可能な状態になっている)だけで、全く無関係な第三者が被害を被る可能性があることは知っておく必要があります。 それはWordPressを使った単なるWebサイトであったとしても同じです。 また、あなたのアプリケーションが破壊されて困らないものであったり、 個人情報を保持していないものであったとしても、です。 だから、知らなかった、では済まされないこともあります。 この記事では、PHPのソースを例に、 特にプログラミング初学者が生み出しやすいアプリケーションの脆弱性について、 具体的なコードを挙げながら解説します。 なお、本記事のサンプルコードはも
note株式会社はまず、自らの不誠実な態度を「カイゼン」せよ(9/1記事の続報)
*これはあくまで私個人の考えであり、他に強制するものではありません。また、取引先等がnoteを利用することを否定したり、問題視するものではありません。 *この記事は、2020/09/01更新記事「なぜ私はnoteをやめたのか IPアドレス流出『3つの不誠実』」の続きです。 私は、上記記事にも書きましたが、今回のIPアドレスの件で、こういうトラブルが起きたときに、不誠実な態度を取る人は、まず人として信頼できないなーと思ったので、noteのサービス利用自体をやめることにしました。 noteにあった私の有料コンテンツは9月中にすべて引き揚げ、こちらのブログで読めるようになっています。(一部内容が古い有料noteは、削除しました。) noteにある無料コンテンツは、アーカイブとして残すことにし、その後アカウントは残しつつ、放置していました。その後は、noteからも何も説明がなかったので、「あ、この
WordPressの管理画面ログインURLの変更方法解説
————————- 2行目の「keyword」の部分はこのプログラム上のキーワードになる部分ですので、好きなものに変更をしてください。 次は、WordPressの要となる「functions.php」を編集します。 「functions.php」は下記の場所にあります。 /{WordPressがインストールされている場所}/wp-content/themes/{テーマ名}/functions.php 「WordPressの functions.phpがある場所」に詳しく書いていますのでそちらも参考にしてください。 もしくは、テーマの編集画面(「外観」-「テーマ編集」から移動する画面)から編集することも出来ます。 テーマの編集に関しては「WordPressのテーマ管理方法とテーマのHTML編集のポイント解説」に記事を書いていますので、そちらを参考にしてください。 編集するソースコードは、下記
なりすまし口座に約1億円が流出したSBI証券の不正ログインについてまとめたみた - piyolog
SBI証券は顧客アカウントへの不正ログインにより9,864万円の顧客口座の資産が外部へ流出したと発表しました。資産流出には不正に開設された銀行口座も悪用されました。ここでは関連する情報をまとめます。 SBI証券の発表 悪意のある第三者による不正アクセスに関するお知らせ なりすまし口座を使った犯行 不正利用の手口(SBI証券発表情報よりpiyokango作成)SBI証券からの流出は以下の手口で送金まで行われてしまった。 SBI証券の顧客アカウントに不正ログイン。 偽造した本人確認書類を用いて銀行でSBI証券と同名義の口座を開設。 顧客アカウントが保有する有価証券を売却。出金先銀行口座を不正口座に設定変更。 売却した資金を不正口座に送金。送金された金を引き出し。 約1億円が流出 SBI証券が2020年9月16日時点で把握している被害は顧客数6人、総額9,864万円。1件当たり数百~3,000万
Safariは危険なJavaScriptに対応しない - Qiita
Firefox / Safari 先日Appleが、Safariは幾つかのWebAPIに対応しないと公言しました。 日本語記事も幾つか出ています。 しかし、どのサイトも対応しないAPIの一覧を並べてはいるのですが、それぞれのAPIが具体的にどのようなものなのかを記載した記事が見当たらなかったので、以下はそれらについて調べてみたものです。 対応しない理由 a threat to user privacy、すなわち、あくまでブラウザフィンガープリントなどの手段によって個人を特定・追跡できてしまうからという理由です。 セキュリティ的にも問題なAPIが並んでいるのですが、そちらは理由ではありません。 対応しないWeb API Web Bluetooth caniuse RFC 非公式日本語訳 解説 ブラウザからBluetoothを通して接続先のデバイスにアクセスすることができます。 データ転送形式
被害額は1000万円超 前澤氏の現金配布企画に便乗した「ギブアウェイ詐欺」とは
ZOZO創業者の前澤友作氏がTwitter上でたびたび開催する、現金の配布企画が注目を集めている。しかしこれに乗して、同氏に成り済まして金銭をかすめ取る「ギブアウェイ詐欺」が6月末に発生した。筆者が概算した限りでは、被害額は1000万円を超えるとみられる。 犯人はどんな手口で詐欺を行ったのか、そんな詐欺から身を守るためにはどうするべきかを紹介する。 乗っ取った認証済みアカウントで本人に偽装 画像内テキストで誘導 今回発生したギブアウェイ詐欺とは、「指定した額(今回は暗号通貨)を振り込めば、数倍にして返す」とうたって振り込ませ、実際には返さずにそのまま盗むという、至って単純な手口だ。 同様の手口の詐欺は、7月中旬に起きた著名なTwitterユーザーを狙った大規模なハッキング事件でも確認された。前澤氏が2019年に開催した現金配布企画でも同様の詐欺が起きていたにもかかわらず、今回も1000万円
Appleが「プライバシー上の懸念あり」としてSafariへの一部ウェブAPIの実装を拒否
by iphonedigital IT系ニュースメディアのZDNetが、Appleが16種類のウェブAPIのSafariへの実装を拒否したと報じています。Appleは拒否した理由について「プライバシー上の懸念があるため」と説明しています。 Apple declined to implement 16 Web APIs in Safari due to privacy concerns | ZDNet https://www.zdnet.com/article/apple-declined-to-implement-16-web-apis-in-safari-due-to-privacy-concerns/ ZDNetによると、AppleがSafariへの実装を拒否したウェブAPIは以下の通り。 ・Web Bluetooth ・Web MIDI API ・Magnetometer API ・
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CORSの原理を知って正しく使おう | YouTube
ドコモ口座の不正引き出しでヤバいのは「ゆうちょ等の未記帳行数が30行を超えると合算になるという仕様」→履歴を発行しないと不正を検出できない
SEだが正直noteのやらかしを見てほっとしている
池田 泰延 on Twitter: "noteのIPアドレスの不具合の件。 外野から分析してみました。 ■原因(予想) ・Nuxt.jsのSSR処理が引き金 ・API返却値に含まれたIPをSSRでうっかりHTMLに出力 GoogleキャッシュやWaybackMac… https://t.co/tKRHfiKPnE"
