スパムボット攻撃を食らってしまったので対策
Warning: simplexml_load_string(): Entity: line 1: parser error : Space required after the Public Identifier in /var/www/wordpress/wp-content/plugins/wp-hamazon/app/Hametuha/WpHamazon/Constants/AmazonConstants.php on line 186 Warning: simplexml_load_string(): in /var/www/wordpress/wp-content/plugins/wp-hamazon/app/Hametuha/WpHamazon/Constants/AmazonConstants.php on line 186 Warning: simplexml_load_
JSONをvbscriptとして読み込ませるJSONハイジャック(CVE-2013-1297)に注意
はせがわようすけ氏のブログエントリ「機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき」にて、巧妙な罠を仕掛けることにより、別ドメインのJSONデータをvbscriptとして読み込み、エラーハンドラ経由で機密情報を盗み出すという手法が紹介されました。これは、IEの脆弱性CVE-2013-1297を悪用したもので、MS13-037にて解消されていますが、MS13-037はIE6~IE8が対象であり、IE9以降では解消されていません。 また、MS13-037を適用いていないIE6~IE8の利用者もしばらく残ると考えられることから、この問題を詳しく説明致します。サイト側の対策の参考にして下さい。 問題の概要 JSON形式のデータは、通常はXMLHttpRequestオブジェクトにより読み出しますが、攻撃者が罠サイトを作成して、vbscript
メールアドレスしか分からない相手のPCを遠隔支配できる「FinFly WEB」
by dustywrath 相手のPCのことがメールアドレスぐらいしかわからないという状態なのにリモート監視したいという時に威力を発揮するのが「FinFly WEB」です。このソフトはウェブベースで幅広く待ち構えることで、ありとあらゆる隙から侵入するチャンスを探し、機会があればリモート監視ソフトを送り込んできます。 これは政府・警察・軍隊・情報機関向けにいろいろな人々を監視・盗聴するシステムを販売している企業を検索できるWikileaksの新プロジェクト「The Spy Files」にて列挙されている企業の一つである「Gamma」社の製品で、実際のプレゼンテーション用のPDFファイルとムービーが公開されています。 The Spy Files - Remote Monitoring & Infection Solutions: FINFLY WEB http://wikileaks.org/
これぐらいやっとけ 〜Linuxサーバのセキュリティ設定〜 - nabeの雑記帳
管理中のサーバで行っているセキュリティ設定を公開します。本当はこういうことを公開するのはよろしくないのですが、脆弱サーバが氾濫している現状そこが踏み台となってsshアタックされるのも迷惑極まりないので、最低限やっとけという内容でまとめました。*1 起動サービスと概要 iptables/Firewallの設定 iptablesの中身 limit-burstについて hashlimitについて hosts.allow/hosts.deny(TCP Wrapper)の設定 sshdの設定 その他の設定 Apacheの設定 Postfixの設定 Dovecotの設定 まとめ はてブさんは #の切り分けやめてくれないかな……。 起動サービスと概要 Apache (www) sshd smtp/pop bind (DNS) ntpd いくつかの注意点。 sftpで十分なのでftpdは使わない。WinS
【尖閣ビデオ流出】神戸の5管海保・海上保安官「自分が流出させた」と名乗り出る 警視庁が聴取へ - MSN産経ニュース
沖縄・尖閣諸島沖の中国漁船衝突事件を撮影したビデオ映像がインターネット上に流出した事件で、第5管区海上保安本部(神戸市)の職員が「映像流出に関与した」と自ら名乗り出たことが10日、わかった。同庁は同日、この職員から聴取を進め、事実確認を行っている。 事件をめぐっては、検察と警視庁が、国家公務員法(守秘義務)違反容疑などで捜査に乗り出している。海保が、検察などと連絡をとっているとみられる。 映像は4日、インターネットの動画投稿サイト「YouTube(ユーチューブ)」で公開された。海保の巡視船「よなくに」「みずき」に中国漁船が衝突した場面や漁船が違法操業している場面を撮影したもので、約2分半〜11分半の計6本、合計で約44分間あった。 映像の投稿者名は「sengoku38」となっており、4日にユーチューブのアカウントを登録。5日に自ら映像を削除したが、コピーされた映像がネット上に多数拡散してい
「Facebook」を襲ったスパムメッセージの分析 | トレンドマイクロ セキュリティブログ
読者の皆さんは「Facebook(フェイスブック)」をご存じですか? Facebookは、Facebook, Inc. が提供するSNS(ソーシャル・ネットワーキング・サービス)です。調査会社の米comScoreの調べによれば、APAC地域におけるSNSシェア1位を占めているのがFacebookであったことが発表されています(2010年4月7日付け)。 「そんなに人気なの?」私自身も、同様の意見です。 それも無理はありません。米comScoreは先の調査結果においてAPAC地域でFacebookがSNSシェア1位を占めているのはフィリピン、オーストラリア、インドネシア、マレーシア、シンガポール、ニュージーランド、香港、ベトナムでした。対して台湾、インド、韓国、そして日本では各国のローカルプレイヤーがSNSシェア1位を占めていたことが併せて発表されています(なお、日本のトップシェアは「mix
本当の攻撃はこれから? Gumblarが怖い本当の理由
ターゲットはWebコンテンツ作成者 「Gumblar(ガンブラー)の攻撃モデルは、近年まれに見る成功例。亜種が登場するスピードが速く、従来のパターンファイル配信では対応しきれないのが現状だ」 フォティーンフォティ技術研究所の代表取締役社長、鵜飼裕司氏はそう指摘する。WindowsやWinnyの脆弱性を次々に発見するなど、セキュリティ業界に多大な貢献を果たしてきた同氏も「ソフトウェアを最新に保ち、最新のセキュリティパッチを当てているセキュリティ研究者でも感染する可能性がある」と認めた。 Gumblarは、NimdaやAsproxと同じくWebサイトを経由したマルウェア攻撃の1つだ。Webサイト更新に使用するFTPアカウントを盗み、マルウェアを仕掛けるか、仕掛けてある別サーバへ誘導して感染を広げる。2009年5月、FTPパスワードが盗まれるという被害報告がプロバイダーに多数上がって発覚し、以降
セキュリティの神話
McAfeeの前副社長で、現SaaS部門CTOである著者が、ITセキュリティ産業に長年携ってきた経験を元につづった本。ウイルスやフィッシングから、クラウドや仮想化まで、コンピュータに対するさまざまな攻撃の手口を記し、攻撃への対抗策を考察する。本来攻撃を防ぎ、対策を講じるはずの「ITセキュリティ産業」の人たちが、結果的にかえってユーザを危険にさらしていることや、ユーザが正しい防御策と信じている事柄の危険性を指摘し、ITセキュリティの真の姿を明らかにする。 正誤表 ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作成し、増刷書籍を印刷した月です。お手持ちの書籍では、すでに修正が施されている場合がありますので、書籍最終ページの奥付でお手持ちの書籍の刷版、刷り年月日をご確認の上、ご利用ください。 第1刷正誤表
知らなかったらNGなWEBアプリケーション脆弱性一覧 : mwSoft blog
先日、AmebaなうがCSRFという非常にポピュラーな脆弱性を披露したかと思ったら、ここ数日はセブンネットショッピングでXSSの脆弱性と、ID推測による他ユーザの個人情報閲覧の問題が発生しているという噂が流れています。 ユーザの情報を預かっておきながら、基本的なセキュリティの対策もできていないというのは、銀行に例えるなら、お金を預けようとした時に「お金は預かります。ちゃんと保管します。でも警備はあまりしないので盗まれたらスイマセン」と言われるようなものだと思う。 警備に穴があったというのではなく、まともに警備してませんでした、というのはさすがにありえないことです。 そこで、野良WEBプログラマである私が知っている脆弱性を列挙してみた。 私はプログラマであってセキュリティの専門家ではないです。しかも今年の春辺りからずっと外向けのWEBプログラムは組んでません。 その人間が知っているものを並べ
THE SECOND TIMES : RockYouのデータベースにハッキング---約3200万人分のデータ流出の可能性あり
FacebookやMySpaceなど複数のソーシャルプラットフォーム上でゲームを提供しているソーシャルゲームディベロッパーのRockYou社が、本日何者かが同社のデータベースに不正侵入したことを明らかにした。 データベースには、同社が提供しているソーシャルアプリ(ゲーム)を利用するユーザー約3200万人分のメールアドレスやユーザー名、パスワードなどのアカウント情報が含まれており、同社ではメールでユーザーに対しIDとパスワードを変更するよう呼びかけている。 RockYou http://www.rockyou.com/ 関連記事: ソーシャルゲームディベロッパーのRockYou、5000万ドル資金調達
本番サーバにチェックアウトしちゃダメですか? - miauのブログ
初歩的な管理ミスで3300もの有名サイトがソースコードを盗まれる この記事。まず訳がちょっと違うかな?という箇所があるのでそこを補っておくと。 しかしコードが実動サーバに乗る段階ではそれはローカルな作業用コピーではなく、エキスポートされた完成品だから、この問題が起こる。 こう訳されてる箇所があるけど、 When code is rolled to a live server from a repository, it is supposed to be done as an export rather than as a local working copy, and hence this problem. 実働サーバにコードを載せる場合は、ローカルな作業用コピーとして取得するのではなくエクスポートするべきだ。(だが今回はローカルな作業用コピーを本番に置いているので)問題になっている。 み
twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
New York Timesをだまして広告契約、マルウェア配信に利用
攻撃側はインターネット電話会社のVonageを名乗ってNew York Timesの広告部門に接触し、広告スペースを購入していたという。 米有力紙New York Times(NYT)のWebサイトに偽ウイルス対策ソフトの購入を仕向ける悪質な広告が掲載された問題で、攻撃を仕掛けた側は正規の企業を名乗ってNYTの広告部門に接触し、問題の広告を掲載させていたことが分かったと、同紙が9月14日付の記事で伝えた。 それによると、問題の広告は先の週末にかけて掲載され、当初はサードパーティーの広告ネットワーク経由で配信されたものと見られていた。しかし、その後の調査でNew York Timesの広告部門がインターネット電話会社のVonageを名乗る相手と直接結んだ契約に基づいて、サイトに掲載されていたことが判明したという。 Vonageは過去にも同サイトに広告を出したことがあったため、NYT側は今回も
何故かあたり前にならない文字エンコーディングバリデーション
(Last Updated On: 2018年8月8日)私が4年前(2005年)に「Webアプリセキュリティ対策入門」を執筆していた時には、既に壊れた文字エンコーディングなどの不正な文字エンコーディングを利用したJavaScriptインジェクションやSQLインジェクション攻撃は比較的広く知られていました。この問題は当時のスラッシュドットジャパンでも取り上げられていました。/.で取り上げられたので、そこら中のWebサイトとユーザが被害に合うのでは?とヒヤヒヤしたので良く覚えています。 不正な文字エンコーディングを利用した攻撃は、文字エンコーディングを厳格に取り扱い、文字エンコーディングをバリデーションすれば無くなります。これを怠ると、システムのどこで問題が発生するか予想できなくなります。つまり、いい加減に文字エンコーディングを取り扱うと安全なシステムは作れないのです。 参考:エンジニア向けに
やさしいセキュリティ講座(8) トラッキングCookie
やさしいセキュリティ(トラッキングCookie) スパイウェアの分類の1つに「トラッキングCookie(トラッキング・クッキー)」というものがあります。このトラッキングCookieがどのようなもので、どのように利用されているのかを説明します。 トラッキング トラッキングCookieの「トラッキング」とはインターネット用語的に言うと「行動追跡」という意味になります。足跡を判断するというような意味でしょう。では、どのような仕組みでユーザの追跡を行うのか次の図を見てください。 ここで「広告サーバ」はブラウザで表示されているページの中にあるバーナー広告を提供しているサーバを指します。 最初にAというサイトを訪れたとき、広告サーバは自社のCookieの有無を調べます。 Cookieが無ければ、新たにIDを割り当ててCookieを保存させます。 このとき広告サーバにはIDとAサイトの
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
Slowloris HTTP DoS 攻撃について
ちょっと前に Apacheに新たな脆弱性発見 - スラッシュドット・ジャパン で紹介されていた脆弱性なんですけど・・・会社のお達しで各サービス毎に状況報告ってイベントがあったので、ちょいと脆弱性試験してました。そのまとめです。 Apacheに、DoS攻撃に繋がる脆弱性が新たに見つかったそうだ(本家/.記事より) この脆弱性は、これを利用したHTTP DoSツール「Slowloris」がリリースされたことから明らかになったとのこと。この攻撃ツールはApacheに不完全なリクエストヘッダーを送り続けるもので、Apacheが最後のヘッダが送られてくるのを待つ間、偽のヘッダを送ることで接続をオープンにし続け、Apacheのプロセスを一杯にさせるものだという。 脆弱性はApache 1.x、 2.x、 dhttpd、 GoAhead WebServer、そしてSquidにて確認されているが、IIS6
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティを身近にする唯一の方法、なのか?: FFR Blog
Expired
TechCrunch | Startup and Technology News
