ChromeとEdgeで430万人が感染、“Google認定の拡張機能”がマルウェアだったChromeとEdgeで430万人が感染、“Google認定の拡張機能”がマルウェアだった:悪意あるアップデートを配布 ChromeとEdgeで提供されているブラウザ拡張機能で、430万人のユーザーがマルウェアに感染していることが明らかになった。(※タイトルの「正規」という表現について、解釈によっては一部誤解を招きかねないと判断し、「認定」という表現に見直しいたしました<2025/12/17>)
【npm】11月21日以降にnpm installした人へ - Shai-Hulud感染チェック & 多層防御ガイド
npm史上最悪のサプライチェーン攻撃「Shai-Hulud 2.0」。正規パッケージのメンテナー認証情報を盗み、悪意あるバージョンをnpmに公開するという手口で、11月21日から急速に拡散しました。 この記事では2つのことを解説します: 自分が被害にあっていないか確認する方法 今後の被害を防ぐ多層防御アプローチ *この記事と同じ内容を動画でも解説していますので、動画の方が好きな方は下記からどうぞ 被害確認 - あなたは大丈夫か? Shai-Hulud 2.0は11月21日から急速に拡散しました。この日以降にnpm installを実行した人は、感染の可能性があります。 チェック1: GitHubアカウントの確認(ブラウザで完結) 確認ポイント1: 見覚えのないリポジトリ まずGitHubで自分のリポジトリ一覧を確認。 Shai-Huludは感染したアカウントにランダムな名前のパブリックリポ
VS Codeでプロンプトインジェクションを可能にする3つの脆弱性 GitHubが対策とともに解説
GitHubは2025年8月25日(米国時間)に公開したブログ記事で、悪意のあるプロンプトでAI(人工知能)に本来とは違う意図の動作や回答をさせる攻撃「プロンプトインジェクション攻撃」について解説した。 これは「Visual Studio Code」(以下、VS Code)の「GitHub Copilot Chat」(以下、Copilot Chat)拡張機能のセキュリティ評価で3つの脆弱(ぜいじゃく)性が見つかったことに関係している。これらの脆弱性が悪用された場合、VS CodeのCopilot Chat拡張機能である「エージェントモード」において、GitHubのトークンや機密ファイルが漏えいしたり、ユーザーの明示的な同意なしに任意のコードが実行されたりする可能性があった。 なお、既にGitHubはVS Codeの開発チームと共同でこれらの脆弱性に対処している。 プロンプトインジェクション
Contagious Interviewが使用する新たなマルウェアOtterCookieについて | NTTセキュリティテクニカルブログ
By Masaya Motoda, Rintaro Koike Published December 25, 2024 | Japanese 本記事はSOCアナリスト元田匡哉、小池倫太郎が執筆したものです。 はじめにContagious Interviewは北朝鮮に関連する攻撃キャンペーンであると言われており、2023年11月にPalo Alto Networks社からレポートが公開されました。Contagious Interviewは一般的な国家支援型の標的型攻撃とは違い、比較的広範囲に対して金銭的なモチベーションで攻撃を行っているとされています。SOCでは時折Contagious Interviewによるインシデントを観測しており、日本の組織も注意が必要です。 SOCでは2024年11月頃から、Contagious InterviewキャンペーンにおいてBeaverTailやInv
「Webブラウザがメモリを食い過ぎる」理由はこれだ
ダウンロードはこちら 人気アーティストのライブチケットや話題のプラモデルの争奪戦から、業務アプリケーションによるビジネスプロセスの実行まで、Webブラウザは文字通りあらゆる活動の起点になりつつある。それほど大事な役割を担うWebブラウザがうまく動かなくなったとすれば、くだんの争奪戦に“門前払い”を食らうどころか、何より仕事にならなくなる。 Webブラウザが突然重くなった――。こうしたトラブルはメモリ消費に起因する可能性がある。メモリ消費量が過剰になると、Webブラウザだけではなく、他のアプリケーションやPC全体の動作にも支障を来しかねない。Webブラウザがメモリを“食い過ぎる”のはなぜか。メモリ消費量を抑えるには、どうすればよいのか。 中身を読むには、「中身を読む」ボタンを押して無料ブックレットをダウンロードしてください。 Webブラウザ「メモリ使い過ぎ」防止法 Copyright © I
新たなセキュリティテスト手法、バグバウンティプログラムのすすめ(後編) - NTT docomo Business Engineers' Blog
こんにちは。マネージド&セキュリティサービス部セキュリティサービス部門の閏間です。総合リスクマネジメントサービス「WideAngle」の新サービスの企画を担当しています。 本記事では、私がセキュリティの知識・技術向上のために業務外で取り組んでいるバグバウンティプログラムについて、3回にわたって紹介します。 本記事により、バグバウンティプログラムの有効性と、脆弱性探しのおもしろさの両方を伝えられれば幸いです。 (前編)バグバウンティプログラムの有効性について (中編)脆弱性探しの魅力と調査方法について (後編)実際に発見した脆弱性の詳細について【本記事】 なお、バグバウンティに関する記事としては、NTT Com社内バグバウンティのご紹介もありますので、ぜひそちらもご覧ください。 脆弱性の実例:3つの問題が重なってXSS(Cross Site Scripting)が発生 本記事では、私が過去に
node-ipcに悪意あるコードが含まれている問題について
node-ipcというnpmパッケージに悪意あるコードが含まれていた問題についてのメモ書きです。 2022-03-15に、node-ipcのメンテナーによって悪意あるコードを含むnode-ipcが公開されていた問題です。 問題のあるバージョン 9.2.2 unpublish済み Hidden functionality in node-ipc · GHSA-8gr3-2gjw-jj7g · GitHub Advisory Database 10.1.1, 10.1.2 unpublish済み Embedded Malicious Code in node-ipc · CVE-2022-23812 · GitHub Advisory Database 11.0.0+ node-ipc behavior change · GHSA-3mpp-xfvh-qh37 · GitHub Advisor
同一オリジンポリシー - セキュリティ | MDN
このページはコミュニティーの尽力で英語から翻訳されました。MDN Web Docs コミュニティーについてもっと知り、仲間になるにはこちらから。 p��着View in English P�C�Always switch to English 同一オリジンポリシーは重要なセキュリティの仕組みであり、あるオリジンによって読み込まれた文書やスクリプトが、他のオリジンにあるリソースにアクセスできる方法を制限するものです。 これにより、悪意のある可能性のあるドキュメントを隔離し、起こりうる攻撃のベクターを減らすことができます。例えば、インターネット上の悪意のあるウェブサイトがブラウザー内で JS を実行して、(ユーザーがサインインしている)サードパーティのウェブメールサービスや (公開 IP アドレスを持たないことで攻撃者の直接アクセスから保護されている) 企業のイントラネットからデータを読み取り
PHPのJSONのエスケープ
(Last Updated On: 2023年12月8日) 追記:最近のOWASPガイドの更新でJavaScript文字列はUnicodeエンコードで安全性を確保するよう変更されました。元々このブログでもUnicodeエスケープのまま利用するように書いています。他の言語のユーザーはUnicodeエスケープを利用しましょう。PHPもASCII領域の文字をUnicodeエスケープするようにした方が良いと思います。これは提案して実現するように努力します。 JSONはJavaScriptのオブジェクトや配列を表現する方式でRFC 4627で定義されています。メディアタイプはapplication/json、ファイル拡張子はjsonと定義されています。 PHPにJSON形式のデータに変換するjson_encode関数とjson_decode関数をサポートしています。 JSON関数がサポートされている
HTML5 を利用したWeb アプリケーションのセキュリティ問題に関する調査報告書
HTML5 は、WHATWG および W3C が HTML4 に代わる次世代の HTML として策定を進めている仕様であり、HTML5 およびその周辺技術の利用により、Web サイト閲覧者 (以下、ユーザ) のブラウザ内でのデータ格納、クライアントとサーバ間での双方向通信、位置情報の取得など、従来の HTML4 よりも柔軟かつ利便性の高い Web サイトの構築が可能となっています。利便性が向上する一方で、それらの新技術が攻撃者に悪用された際にユーザが受ける影響に関して、十分に検証や周知がされているとは言えず、セキュリティ対策がされないまま普及が進むことが危惧されています。 JPCERT/CCでは、HTML5 を利用した安全な Web アプリケーション開発のための技術書やガイドラインのベースとなる体系的な資料の提供を目的として、懸念されるセキュリティ問題を抽出した上で検討を加え、それらの問題
Masato Kinugawa Security Blog: Referrer文字列によるXSS
リファラを使ったXSSの小ネタです。 今回取り上げるのは、ターゲット自身が、細工したページを経由することでつけられたリファラによって攻撃を受けるケースです。このような攻撃の場合は、現実に経由可能なページからでしか攻撃文字列を送りこむことができません。 例えば、以下のように、document.referrerをそのままdocument.write()しているページがあるとします。 http://vulnerabledoma.in/location/ リファラを書き出している部分でXSSできるでしょうか。 IEでは単純です。 IEはURLのクエリに、エンコードせずに「"<>」などを含めることができるので、これらを含むURLから、リファラを書き出しているページへ遷移させれば、XSSが起きます。 http://l0.cm/xss_referrer.html?<script>alert(1)</sc
Firefox 23 が Content Security Policy 1.0 仕様に対応
Firefox 23 (2013年 8月 6日正式リリース予定) が、クロスサイトスクリプティング (XSS) などの攻撃から Web ページを保護するための仕組み 「Content Security Policy 1.0」 仕様に対応しました。 Mozilla Hacks で、現在 Aurora チャンネルの、Firefox 23 が、Content Security Policy (CSP) 1.0 の仕様に対応した件、紹介されていました。 Content Security Policy (CSP) 1.0 は、あらかじめその Web ページで読み込まれることが想定されている JavaScript などのコンテンツを、ホワイトリストとして指定することによって、攻撃者によって挿入される悪意のあるスクリプトの読み込みを遮断し、クロスサイトスクリプティング (XSS) など、インジェクション
機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
Same-Origin Policy とは何なのか。 - 葉っぱ日記
ちょっと凝ったWebアプリケーションを作成していたり、あるいはWebのセキュリティに関わっている人ならば「Same-Origin Policy」(SOP)という言葉を一度は聞いたことがあると思います。日本語では「同一生成元ポリシー」あるいは「同一生成源ポリシー」などと訳されることもありますが、個人的には「オリジン」は固有の概念を表す語なので下手に訳さず「同一オリジンポリシー」と書いておくのが好きです。 さて、この「オリジン」とは何なのかという話ですが、これは「RFC 6454 - The Web Origin Concept」で定められており、端的に言うと「スキーム、ホスト、ポート」の組み合わせをオリジンと定め、それらが同じものは同一のオリジンとして同じ保護範囲のリソースとして取り扱うということです。 例えば、http://example.jp/fooとhttp://example.jp:
葉っぱ日記
はじめに 久しぶりに文字コードのXSSの話が盛り上がってるので、久しぶり(3年以上ぶり!)にブログを書きました。あけましておめでとうございます。今年と来年とそのさきも3年くらいよろしくお願いします。 blog.tokumaru.org HTTPレスポンスヘッダーやHTML metaタグでの文字エンコーディング名の指定がない場合に攻撃者がISO-2022-JP特有のバイト列をHTML内に埋め込むことでブラウザーがそのコンテンツをISO-2022-JPであると誤認する、そのときに動的にJavaScript内の文字列を生成しているとするとUS-ASCIIでいうバックスラッシュではなくJIS X0201の円記号を挿入することでエスケープが無効になる、結果としてJavaScriptの文字列外に攻撃者はコードを置くことができるというのが徳丸さんの書かれている記事になります。 対策としては、徳丸さんの記
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ハッキング大会「Pwn2Own」で陥落した「Firefox」、即座にセキュリティ更新を実施/深刻度「Critical」、「Firefox 124.0.1」「Firefox ESR 115.9.1」へのアップデートを
「Google Chrome」にゼロデイ脆弱性、早急にv100.0.4896.127へのアップデートを/スクリプトエンジン「V8」に型混乱の欠陥
Google Chromeの最新バージョンがリリース 深刻度「緊急」の脆弱性を修正
サービス終了のお知らせ