バッファローの複数のネットワーク機器に脆弱性 - JVN
JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center、JPCERT/CC)は1月22日、「Japan Vulnerability Notes(JVN)」に掲載した記事「JVN#09268287: バッファロー製の複数のネットワーク機器におけるクロスサイトリクエストフォージェリの脆弱性」および「JVN#49225722: バッファロー製の複数のネットワーク機器におけるクロスサイトスクリプティングの脆弱性」において、バッファロー製ネットワーク機器に脆弱性が存在すると伝えた。 脆弱性の影響を受けるプロダクトおよびバージョンは次のとおり。 WSR-1166DHP ファームウェア Ver.1.01 WHR-1166DHP ファームウェア Ver.1.90 およびそれよりも前のバージョン WHR-6
Electronでアプリを書く場合は、気合いと根性でXSSを発生させないようにしなければならない。 - 葉っぱ日記
そのうちもう少しきちんと書きますが、とりあえず時間がないので結論だけ書くと、タイトルが全てでElectronでアプリを書く場合は気合いと根性でXSSを発生させないようにしなければならない。 これまでWebアプリケーション上でXSSが存在したとしても、影響範囲はそのWebアプリケーションの中に留まるので、Webアプリケーションの提供側がそれを許容するのであればXSSの存在に目をつむることもできた。しかし、ElectronアプリでDOM-based XSSが一か所でも発生すると、(おそらく)確実に任意コード実行へとつながり、利用者のPCの(そのユーザー権限での)全機能が攻撃者によって利用できる。 そのため、Electronでアプリケーションを作成する開発者は気合いと根性でXSSを完全につぶさなければならない。 nodeIntegration:falseやContent-Security-Pol
マイナンバー歴44年の僕から一言
あなたのマイナンバーは届いたかな? 実は僕、皆さんより一足先にマイナンバーを持っているんだ。なんと44年前からね。 ということで今回は"マイナンバーの先輩"として色々話させてもらいましょう。 もちろん、僕が持っているのはアメリカのものだから、正確にいうと「マイナンバー」ではない。アメリカの場合はSocial Security Number(社会保障番号、略してSSN)と呼ばれている。 考えてみれば英語で「マイナンバー」とは「私の番号」という意味。"Can I have your my number?"(あなたの私の番号を教えてください)は、結構ばかばかしいセンテンスとなってしまう。日本の役所の方々は英語でやり取りするときはどう対応するのかな? 時は1936年、大恐慌の真っ最中だった。ニューディール政策の一環として発足した社会保障プログラムに合わせ、SSNは発行された。当時は年金の管理用だっ
「SHA-1の廃止前倒しを」 専門家チームが提言
SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 Webサイトでの認証やデジタル署名に使われるハッシュ関数の「SHA-1」について、暗号解読の国際専門家チームが10月8日、廃止の時期を現在のスケジュールよりも前倒しする必要があると勧告した。SHA-1がこれまで考えられていたよりも大幅に安いコストで破れることが分かり、犯罪集団に悪用される危険が迫ったと指摘している。 SHA-1は以前から脆弱性が指摘され、MicrosoftやGoogleなど主要ブラウザメーカーや電子証明書の発行機関が段階的な廃止に向けたスケジュールを公表している。 しかし現在の計画では、SHA-1を使った証明書が主要ブラウザで安全と認識されなくなるのは2017年1月以降。これに対してオランダ、フランス、シンガポールの研究チームは、SHA-1に対する
sshハニーポットをkippoで作ってみる - ろば電子が詰まつてゐる
ハッカージャパンは結構昔からの愛読者なのだが、先日発売された2013年9月号ではSSH Honeypotであるkippo(http://code.google.com/p/kippo/)が紹介されていた。 Hacker Japan (ハッカー ジャパン) 2013年 09月号 [雑誌] 出版社/メーカー: 白夜書房発売日: 2013/08/08メディア: 雑誌この商品を含むブログ (2件) を見る ということで、今回このkippoを試してSSHハニーポットの構築をしてみる。 kippoとは何か sshのハニーポットはあまり数も多くなく、「これ!」という定番は無いのが現状である(たぶん、作るのが面倒くさい割に需要もほとんど無いからだろう)。本当に必要な研究者などが、各自で作っている話は聞いたことがある。そんな中、有名なものにKojoneyがあるが、2010年から更新されていないようだ。 Ki
攻撃を「隠す」、攻撃から「隠れる」
攻撃を「隠す」、攻撃から「隠れる」 と称して発表します。すみだセキュリティ勉強会の主催のozuma5119です。 1 すみだセキュリティ勉強会を主催しています、ozuma5119と申します。 ふだんは、比較的固めの会社でセキュリティエンジニアをしています。ブログはこち ら。 http://d.hatena.ne.jp/ozuma/ 科学写真家というのは、「理科の教科書に載ってるような写真」を撮る人たちです。 こちらは副業ということで、小学生向けの教材の写真とか撮って、ときどき本に載っ たりします。 2 Agendaですが、まず、今回はポートスキャンとnmapに絞って話をします。 「隠す」と一口に言っても、ファイルの見えない領域に隠すとか、パケットやプロトコ ルのいろんな「隙間」に隠すとか、暗号化で機密情報を隠すとか深堀りすると色々あ るのですが……キリが無いので思い切り限定することにしち
sshのポートをデフォルトの22/tcpから変えるべきか論争に、終止符を打ちました - ろば電子が詰まつてゐる
また間が開きましたが、すみだセキュリティ勉強会2015#2を開催しました。発表していただいた@inaz2さん、@yasulibさん、ありがとうございました。当日の発表資料は上記の勉強会ブログからリンクしています。 今回の私の発表は、「攻撃を『隠す』・攻撃から『隠れる』」。ポートスキャンをするとsshが100個現れる「ssh分身の術」がメイン(?)です。 当初は、パケットヘッダやプロトコルのすき間にメッセージを隠したり、ファイルを隠すなども考えていたのですが……。あまりに盛りだくさんになりそうだったので、「ポートスキャンをいかに隠れて実行するか・ポートスキャンからどうやって隠れるか」と、ポートスキャンとnmapに絞って発表しました。 発表資料 私の発表資料は以下です。 (PDF)攻撃を「隠す」、攻撃から「隠れる」 発表ノート付きなのでPDFです。以下、落穂ひろいなど。 スキャンするポート数と
Exclusive: Russian antivirus firm faked malware to harm rivals - Ex-employees
SAN FRANCISCO (Reuters) - Beginning more than a decade ago, one of the largest security companies in the world, Moscow-based Kaspersky Lab, tried to damage rivals in the marketplace by tricking their antivirus software programs into classifying benign files as malicious, according to two former employees. They said the secret campaign targeted Microsoft Corp MSFT.O, AVG Technologies NV AVG.N, Avas
OpenSSLの脆弱性(CVE-2015-1793)によるAltチェーン証明書偽造の仕組み - ぼちぼち日記
TL;DR やっぱり書いていたら長文になってしまいました。あまりちゃんと推敲する気力がないので、変な文章になっているかもしれません。ご了承いただける方のみお読みください。 1. はじめに 昨晩未明にOpenSSL-1.0.2d, 1.0.1pがリリースされました。事前に予告されていた通り深刻度高の脆弱性CVE-2015-1793が修正されています。Advisoryを見ると、この脆弱性がiojs/Nodeに影響があるということが判明したので直ちにiojs/Nodeのアップデートを行い、今朝未明に無事脆弱性対応版をリリースしました。 今回が初めてではありませんが、深夜に日欧米のエンジニアがgithub上で互いに連携しながら速やかにセキュリティ対策のリリース作業を行うことは何回やってもなかなかしびれる経験です。時差もありなかなか体力的には辛いものがありますが、世界の超一流のエンジニアと共同でリア
Amazon EC2への侵入テスト申請について | DevelopersIO
最新の情報は以下ブログをご参照ください。 2017年版 AWSの侵入テストについて はじめに 今日はAWSの侵入テストの申請についてまとめたいと思います。 代行して申請する際にお客様にヒアリングをしている内容となります。 AWSの侵入テスト申請 AWS環境にて侵入テスト・脆弱性スキャンを実施する場合は、事前にAWSに申請を行い許可を得る必要があります。 事前に申請が必要な理由は、侵入テスト・脆弱性スキャンをAWSの適正利用規約と区別するためです。 侵入テストページからの引用 私たちの適正利用規約には、禁止されたセキュリティ違反およびネットワーク不正利用の説明を含む、 AWS 上で許可される行為および禁止されている行為についての説明があります。 しかし、侵入テストはこれらの行為と区別できないことがよくあるため、 当社は侵入テストおよび脆弱性スキャンを実施するための許可をお客様が申請できるポリ
いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します | ツイナビ
いやー、家計簿アプリ業界、そのうち絶対にヒドい事件がおきると予想します — Yusuke OSUMI (@ozuma5119) 2015, 6月 30 Zaimの件、そもそも家計簿アプリごとき(と敢えて言う)に、銀行やクレカのログインパスワードを入れちゃう人があんなにたくさんいることの方がよっぽど問題だと思う https://t.co/pidZhtUbej pic.twitter.com/jpNw41MqK0 — Yusuke OSUMI (@ozuma5119) 2015, 6月 28 Zaimの「金融機関の連携」機能、新生銀行にいたっては暗証番号までナチュラルに入れさせようとしてくるので、控えめに言ってこのアプリは頭がおかしいと思う https://t.co/50guysHXIV pic.twitter.com/BQnIaUnfGo — Yusuke OSUMI (@ozuma5119
HashiCorp社が出したVaultとはどういうものなのか - 理系学生日記
HashiCorp 社から、新たなソフトウェアである Vault by HashiCorp がリリースされました。 - HashiCorp Blog: Vault この Vault について、Getting Started を一通り実施した後に Docs の一部を確認してみたので、簡単にその内容をまとめてみます。 Vault とは何なのか Vault を一言で言うと、機密情報(Secret) を管理するツールです。 これだけ IT が広がっている現在、機密情報の範囲も広がり続けており、データベースにアクセスするためのユーザ/パスワードや、連携するシステムの API キー等、多岐に渡ります。こういった情報、おまえのところのシステムではどう管理してた?XML に生で書いてる、あるよねそういうの。jdbc.properties に直書き、うんうんわかるわかる。ちょっとがんばったら crypt で
ApacheのAddHandlerはセキュリティ上の懸念から使用すべきではない - このブログはURLが変更になりました
元ネタはこちら。 Apache AddHandler madness all over the place Gentoo Bug 538822 どういうことか 次のような指定は危険である。 AddHandler php5-script .php この時に指定される.phpはファイル名の末尾である必要はない。例えば、 aaa.php.html bbb.php.pngなどもphp5-scriptとして解釈されてしまうのだ。これは.XXX.YYYと複数の拡張子が書かれた場合、.XXXと.YYYもAddHandlerの対象となることが原因。 ちなみに次のような場合にはphp5-scriptとして解釈されない。 ccc.php_foo (.php_fooとして解釈されるため) ddd.php_bar.html (.php_barと.htmlとして解釈されるため)実はこのことはApacheのドキュメン
Notice to all StartCom subscribers
StartCom CA is closed since Jan. 1st, 2018, it doesn't issue any new certificate from StartCom name roots. If you want to buy trusted SSL certificate and code signing certificate, please visit https://store.wotrus.com. If you want to apply free email certificate, please visit https://www.mesign.com to download MeSign APP to get free email certificate automatically and send encrypted email automati
FBI Director: Sony's 'Sloppy' North Korean Hackers Revealed Their IP Addresses
Comey now says that the hackers in the attack failed on multiple occasions to use the proxy servers that bounce their Internet connection through an obfuscating computer somewhere else in the world, revealing IP addresses that tied them to the North Korean government. The Obama administration has been tightlipped about its controversial naming of the North Korean government as the definitive sourc
How to secure an Ubuntu 12.04 LTS server - Part 1 The Basics | How To | The Fan Club | dynamic design solutions
This guide is based on various community forum posts and webpages. Special thanks to all. All comments and improvements are very welcome as this is purely a personal experimental project at this point and must be considered a work in progress. This guide is intended as a relatively easy step by step guide to: Harden the security on an Ubuntu 12.04 LTS server by installing and configuring the follo
Ubuntu 12.04 LTSサーバーを安全にする
タグ: セキュリティー Ubuntu この記事は、The Fan Clubというサイトの"How to secure an Ubuntu 12.04 LTS server - Part 1 The Basics"という記事を著者のChristiaan Diedericksさんの許可を得て、翻訳したものです。 私はUbuntuデスクトップのユーザではありませんが、VagrantやDigital Oceanのドロップレットで、Ubuntu サーバー版を使用することがあり、この記事を見つけました。まとまっているようなので、少しずつ翻訳しながら、紹介していきます。 この記事にはPart2があります。そこでは、ここで紹介している内容をデスクトップのGUIから設定できるツールが紹介されています。しかし、デスクトップ環境のインストールが必要なため、利用は限られるでしょう。Zenityではなくdialog
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2015/10/10/20151009dont-blame-the-robot-drivers/
ネット銀行やメガバンクの口座が一時凍結されてしまった、そのときは(山本一郎) - 個人 - Yahoo!ニュース
Route leak
