まとめよう、あつまろう - Togetterコミュニケーションが生まれるツイートまとめツール
マンションのLAN内のゲートウェイが中間者攻撃してくるお話 - Qiita
来歴 私は去年、とある賃貸マンションへ入居した。 インターネットは無料で利用可能、壁の端子にLANケーブルを挿すだけ。 ただ、この物件のインターネット回線がおかしい。1日に1回くらい、Webサイトを閲覧しようとしたときに、マンションの管理会社のホームページへリダイレクトされる現象が起きる。 イメージとしてはこんな感じ。 東京の天気が表示されるべきなのに、入居者用Webページのログイン画面へリダイレクトされる。 腹が立ったので今年の5月くらいに現象を調べ、原因がわかったことで満足していたが、重い腰を上げて結果を以下の記事にして公開する。改めてGoogle先生に聞いたら、同じことで悩んでいる人がいた。 自動リダイレクトの回避方法について。 http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10165027165 なお、後述の図には
iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開される。
iOSのポップアップを偽装し、Apple IDやそのパスワードを盗み取るPoCが公開されています。詳細は以下から。 iOSを利用しているとiTunes Storeやアプリ内課金などを行うプロセスでApple IDのパスワード入力を求められると思いますが、悪意のある攻撃者がこのポップアップを偽装し簡単にApple IDのパスワードをユーザーから盗み出すコンセプト(以下、PoC:Proof of Concept)をGoogleのエンジニアFelix Krauseさんが公開し、話題になっています。 📝 One of these is Apple asking you for your password and the other one is a phishing popup that steals your password https://t.co/PdOJcthqL7 pic.twitt
Ruby の脆弱性を見つけた話 - クックパッド開発者ブログ
こんにちは、技術部の遠藤(@mametter)です。フルタイム Ruby コミッタとして、クックパッドにあたらしく入社しました。よろしくお願いします。 最近、Ruby や RubyGems の脆弱性を発見して、その結果セキュリティリリースにつながるということを経験しました。どういう動機でどのように脆弱性を発見したか、どのように通報したか、などについてまとめてみます。Ruby の脆弱性を見つけたけどどうしよう、という人の参考になれば幸いです。 HackerOne について HackerOne という脆弱性情報の通報と公開のためのプラットフォームをご存知でしょうか。 OSS にとって脆弱性情報の管理は面倒なものです。脆弱性の通報を秘密裏に受け付け、関係者だけで議論しなければなりません。そのため、通常のバグトラッカとは別のコミュニケーションチャンネルを用意する必要があります。 そこで Hacke
竹迫 良範氏がメルカリの技術顧問に就任 セキュリティ分野の体制強化 | メルカリエンジニアリング
こんにちは、エンジニアの cocoiti です。 竹迫 良範氏が8月1日付けでメルカリの技術顧問として就任したことをお知らせいたします。氏には、主にセキュリティ分野の体制強化にご尽力いただきます。 これまでもメルカリではセキュリティの取り組みとして、内部のエンジニアによる調査検証体制や、外部会社の調査を行っていました。今回、急成長するサービスや社員数増加に対応するため、セキュリティ分野の内製エンジニアの採用強化や、社内のエンジニアの体系的なセキュリティスキルの向上など、非連続的な成長が急務と考え、セキュリティ及び技術マネージメントに造詣の深い竹迫氏を技術顧問としてお迎えすることとなりました。 竹迫氏は現在、ゼクシィやスタディサプリなどを運営する株式会社リクルートマーケティングパートナーズにおいて内製開発エンジニア組織の体制強化と人材育成でご活躍されています。また対外活動として長年セキュリテ
中国製ネットワークカメラが勝手に動き出して中国語が聞こえてきた怖い話(動画あり) - 僕とネットショッピング
(追記)この記事の内容には誤りがありました。 誤りの内容に関して下記の記事にまとめています。 ご確認の上で閲覧いただきますようお願い致します。 hardshopper.hatenablog.com リビングにネットワークカメラを設置しておいたんです。 小学生の子供を家に置いていくときとか、これがあると様子を覗けてすごく安心感がありました。 設置していたネットワークカメラは価格コムで売れ筋ランキング、注目ランキング1位のKEIANのC7823WIP。 もちろんKEIANで中国製というのはあったんですけど、日本製のものと比べても圧倒的に低価格で、なにより評判も良いわけですからついこれを選択しちゃったんです。 実際、接続も簡単で、すぐスマホから操作もできて、全体的に満足でした。 もし設置直後にレビュー書いてたら高評価にしてたと思います。 まさかこんな怖い思いをするとは思ってなかったですから・・・
Chrome ExtensionのLive HTTP Headersの調査(CoolBar.Pro導入 Extensionが何を行うかの調査)
a.md Chrome ExtensionのLive HTTP Headersを調査した。Firefox用のものではない。Firefox用のものではない。 https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo 11/7追記 類似 or 同様の方法で難読化scriptを埋め込んでいる拡張機能が大量にあったため、Googleに報告済み。 https://twitter.com/bulkneets/status/795260268221636608 English version: https://translate.google.com/translate?sl=ja&tl=en&js=y&prev=_t&hl=ja&ie=UTF-8&u=https%3A%2F%
ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性
セキュリティ研究者が、とても興味深い脆弱性を報告して報奨金をもらった記事が上がっている。 How I Could Steal Money from Instagram, Google and Microsoft – Arne Swinnen's Security Blog プレミアムナンバーという電話上のサービスがある。これは一時期日本で行われていたダイヤルQ2と同等の仕組みを持つサービスで、プレミアムナンバーという電話番号にかけた電話の通話料は、通常より高い。通話料の差分は、電話サービスの提供元に支払われる。 ダイヤルQ2は電話越しに何らかのサービスを提供して、電話料金で利用料を徴収できる、手軽な仕組みだった。その利用例は、投資顧問、アダルト、占い、人生相談、義援金、ダイヤルアップISPなどに利用されていた。ダイヤルQ2自体は2014年に終わったが、海外ではまだ同等の仕組みをもつサービス
VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について - debiruはてなメモ
2015年12月に私が発見した VALUE-DOMAIN での CSRF 脆弱性について、その脆弱性の報告と修正までの経緯を記しておきます。 きっかけ アカウント削除ページの作り アカウント削除ページの問題点 VALUE-DOMAIN への報告 CSRF 攻撃によるアカウント乗っ取りの問題 IPA への届出 余談:IPA への届出の仕方について IPA へ届出した後の状況 VALUE-DOMAIN ユーザの方へ きっかけ 数年前に VALUE-DOMAIN を利用していましたが最近は使っていないのでアカウントを削除しようとしたところ、アカウント削除操作を行うページの作りが「不自然である」ことに気付きました。更に調べたところ CSRF 攻撃によってアカウント乗っ取りが可能な状況であることが分かりました。 アカウント乗っ取りが可能な CSRF 脆弱性は2015年12月22日にIPAに報告し、2
えっ徳丸先生が2人いる!? 真冬のセキュリティラップ対決で五島夕夏を振り向かせるのはどっちだ!! | NO MORE 情報漏えい
お久しぶりです、五島夕夏です! 以前にセキュリティのプロである徳丸浩先生の一日に密着し、たくさんのセキュリティテクニックを勉強してきました。 今回、またセキュリティに関するお話を聞けるということで、『NO MORE 情報漏えい』を運営するMOTEXさんのオフィスにやってきました! それでは、さっそく徳丸先生のもとへ行きましょう! 徳丸先生、おじゃましまーす! 徳丸先生 「やあ夕夏さん、こんにちは。セキュリティのプロ、徳丸です。今日も変わらず綺麗だね」 徳丸 浩(とくまる ひろし)先生HASHコンサルティング株式会社・代表取締役。セキュリティのプロ。システムの脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動も行うすごい人。 ゆうか 「先生、お久しぶりです。先日はいろいろと教えていただいてありがとうございました。今日もまたセキュリティについてたくさん
五島夕夏がセキュリティのプロ 徳丸浩先生に一日密着!今すぐ使えるテクニックを盗んできました | NO MORE 情報漏えい
こんにちは、五島夕夏です! 普段はフリーランスとしてイラストレーターやモデルのお仕事をしている私ですが、今日はNO MORE 情報漏えいプロジェクトの一員として、一日インタビュアーに挑戦します! 突然ですが皆さんは、毎日の生活の中で「セキュリティ」についてどれくらい気をつけていることがありますか? 私もTwitterやFacebookをよく利用しますし、お仕事もメールで受けています。PCを使う機会も多いので情報の管理には気をつけなきゃと思っているのですが、「具体的に何をどう気をつければいいのかわからない!」という人は私だけではないはずです。 ということで今回は、セキュリティのプロフェッショナルと呼ばれる徳丸 浩(とくまる ひろし)先生に密着取材! プロがどんなところに気をつけているのか、私たちの生活にも活かせそうなテクニックを盗んできたいと思います! 徳丸 浩(とくまる ひろし)先生 HA
色んなXSS – nootropic.me
2015/4/16(木):ページの一番下に追記を記述しました。 その昔、なんとかキャンプというセキュリティのイベントに参加した時「アウトプットが大事」と言われたのを思い出しました。 でも、普通自分の見つけた知識は後生大事に抱えておきたいもんだと思います。 そこで今回はそういった何かしょーもないものを捨てるべく、溜め込んだ色んなXSSのPoCを少し書き出してまとめました。 今まで自分で見つけたものや海外のSecurity Researcher達から収集したものもあります。 さて、今回リストアップしたPoCの見方ですがいくつかの項目があります。 一番上の「手法」はタイトルみたいなものだと思って下さい。 二番目の「PoC」はスクリプトを実行する為のコードです。殆どがアラートが出るだけのスクリプトの為危険なコードは無いつもりですがご自分のブラウザで実行する際は自己責任でお願いします。リンクをクリッ
Masato Kinugawa Security Blog: 第4期サイボウズラボユース成果報告会の発表資料を公開
実は昨年の夏、サイボウズラボユースという制度を利用させていただいて、3週間程度サイボウズラボのオフィスに出社していました。 サイボウズ・ラボ:人材募集:サイボウズ・ラボユース http://labs.cybozu.co.jp/recruit/youth.html 何をしていたかといいますと、@herumi さんや @takesako さんにご指導頂きながら、アセンブリ言語をずっと読んでいました。 XSSをはじめとするWebアプリケーションの脆弱性はそれなりに知っているつもりですが、バッファオーバーフローをはじめとするメモリ関連のバグは全然理解していませんでした。 これまでも、アプリケーションが偶然クラッシュするたび、そういった方面への関心がでてきて、アセンブリを読めば何かわかるのかなあと思って、読んではみるけど、無慈悲なバイナリの羅列に圧倒されるということを繰り返してきました。 ただ、アラ
Mozillaの報奨金制度で200万円ほど稼いだ話
11. この5か月間で17,500ドル 2014.11 $3000 Bug 1069762 2014.12 $6000 Bug 1101158 Bug 1102204 2015.01 $2500 Bug 1065909 Bug 1106713 2015.03 $6000 Bug 1109276 Bug 1111834
サイボウズの報奨金に半年で158件の報告、2015年は特定攻撃を増額
サイボウズは2015年1月27日、2014年6月に開始した「脆弱性報奨金制度」に関する説明会を開催した。同制度は、同社の製品サービスについて、社内で検出していない未知の脆弱性を発見・報告した善意の協力者に報奨金を支払うもの。2014年は、6月19日~12月25日の期間に報告を受け付けた。その結果、158件の未知の脆弱性が見つかり、総額687万円の報奨金を支払ったという。2015年は、特定の攻撃に関する脆弱性の報奨金を増額するとともに、報奨金を振り込むまでの期間を短縮する。 同制度は、同社のパッケージ製品とAPI、クラウドサービス基盤「cybozu.com」で稼働する各サービス、同社指定ホームページについて、社内検証や第三者機関による検証で発見されてない未知の脆弱性を、外部の協力者に発見・報告してもらうための仕掛けである。報告された脆弱性について、共通脆弱性評価システム「CVSS v2」の評
Masato Kinugawa Security Blog: Cure53 XSSMas Challenge '14 Writeup
12月と言えばXSS-Masの季節ということで、最近は、XSS-Mas前から1月の終わりまで開催されていた、賞金付きXSSチャレンジ「Cure53 XSS-Mas Challenge 2014」に挑戦していました。 XSSチャレンジというのは、出題者がわざとわかりにくい形でXSSに脆弱にしたページ(例:特定の記号や文字が使えない、文字数制限がある等)で、指定した条件(alert関数 で「1」の文字をだすとか)をクリアして、スクリプトが実行できることを証明するという、XSSを嗜む人たちの間で楽しまれる一種のパズルゲームです。 実際にXSSで攻撃可能なことを証明しないといけない場面でも、特定の制約がかかることは多く、こういったチャレンジは単なるパズル遊びというだけでなく、攻撃の発想を養ううえでとても有益なものです。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
けんすう on Twitter: "楽天カードの住所が勝手に変わってた問題、電話で聞いてみたら 1:楽天IDを適当にとる 2:他人の名前、生年月日、電話番号、勤務先を入れる 3:楽天カードの発行申し込みをする とすると、その住所に自動的に変更されてしまう仕様らしいです。郵便物とかもそこの住所いくので注意です!"
http://noraworld.blog/cyber-hackathon-trolling-2016/
Togetter - 国内最大級のTwitterまとめメディア
さよならSSL ~「安全な通信」標準が使用禁止になったわけ
