facebookにPHP CGIの脆弱性を試してみたら面白い対策がされていた!! - cakephperの日記(CakePHP, Laravel, PHP)
PHPに新たな脆弱性が見つかって、CGIモードで動作するPHPの場合コマンドライン引数がHTTP経由で渡せてしまうため、-sオプションを渡すとPHPのソースコードが丸見えになるというのが話題になってます。(-sオプションはhtmlでシンタックスハイライトまでしてくれてコードが見やすくなる) そこでFacebookに向けてこれを試してみると・・・ https://www.facebook.com/?-s こんな情報が!! <?php include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS'; このURLにアクセスすると、セキュリティエンジニアの求人情報ページに行きます :) おしゃれー
主人がFacebookアカウントを剥奪されて3週間が過ぎました - 最速転職研究会
http://ma.la/fb/ というのを書いたので、経緯と補足を書きます。 読むのが面倒くさい人向けに、ものすごく簡単に要約しておきます。 Facebookにはリンクを他人と共有するいいねボタン(likeボタン)というのがある。 Facebookの「ファンページ」なるものをつくると、いいねボタンを押したのが誰だか分かる機能がある。 ユーザーに気付かれないように細工したiframe内のボタンをクリックさせたりするクリックジャッキングという攻撃手法があり、いいねボタンを強制的に押させることが出来る これによって悪意のあるサイトは、訪問者のFacebookアカウントを特定することが出来る この手の問題はFacebookに限った話ではない。CSRFやクリックジャッキングで行われたアクションの結果が第三者から観測可能な全てのサービスにある。 例えば強制的にはてなブックマークさせたりはてなスターを
なんとFacebookは不正ログイン防止の仕組みまでが感動的にソーシャルだった | Token Spoken
普段、視点や環境を変えなければまったく気づかないこともあります。 しかも、その日常に慣れきっていればいるほど、そこに驚きがあるなどとは誰も予想もしていません。 もう何百回も繰り返している、そんな日常の作業の中で、予想もしない感動に出会う。 今日、Facebookを使って日々の業務をこなそうとしていたところ、そんな出来事に遭遇しましたので、皆様と共有させていただきたいと思います。 大げさですみません、しかし、個人的には少し感動しすぎてしまったものですから。。。 事の発端は、こんな事から始まりました。 実は、出張先の韓国のソウルよりSeesmic Desktop Proというアプリケーションで、Facebookアカウントの認証を行おうとしたら、こんなエラーメッセージが表示されたのです。 ここまでは、セキュリティ対策としてはよくあるパターンですので特に何とも思いません。 普段アクセスしているIP
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
