NEC製Wi-Fiルーター「Aterm」シリーズに複数の脆弱性報告
GitHub Actionsを使ったDDoSに巻き込まれた - 私が歌川です
事例集です。 きのう、GitHubの通知を見たら、個人のリポジトリに My First PR というタイトルのPRが来ているのに気づいた。PR出すところを間違えたのかな、と思って見てみたがどうも様子がおかしい。 prog という名前のバイナリファイルを置いている .github/workflows/ci.yml*1の中身をガッと書き換えている on: [pull_request] でworkflowを起動している 20並列でjobが走るようにmatrixを設定している fail-fast: false なので、どれか1つのmatrixが失敗しても他のジョブは続行される base64 encodeした文字列をdecodeしてevalしている ドメインの名前解決を行ったあと ./prog を実行するコマンドにdecodeされた PRをめちゃくちゃな回数closeしてreopenしている PRを
Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する
紙書籍をお届けします(PDFがついてきます) PDFのみ必要な場合は、こちらからPDF単体をご購入ください 紙書籍は通常、ご注文から2~3営業日で発送します 年末年始や大型連休など、1週間から10日程度、配送のお休みをいただく場合があります。詳しくはお知らせをご覧ください ブラウザの視点で学ぶセキュリティ 米内貴志 著 224ページ A5判 ISBN:978-4-908686-10-8 2021年1月5日 第1版第1刷 2022年8月16日 第1版第3刷 発行 正誤情報 サンプルコードなど 現代のWebブラウザには、ユーザーがWebというプラットフォームを安全に利用できるように、さまざまなセキュリティ機構が組み込まれています。 リソース間に境界を設定し、アプリケーションに制限を課す機構(Origin、SOP、CORS、CSPなど) Webブラウザの動作をOSのプロセスレベルで考察することで
相次いだ不正送金事件、ログイン認証の抜け穴を熟知か セキュリティ専門家の徳丸氏が解説
「ドコモ口座」「ゆうちょ銀行」「SBI証券」――2020年9月には金融機関やその利用者を狙ったサイバー犯罪が相次いで明らかになった。サイバーセキュリティの専門家である徳丸浩さんは10月21日、報道陣向けのセミナーで「これらに共通しているのはログインが狙われたこと。サイトの特性を熟知して攻撃している」と解説した。 9月に明らかになった金融機関へのサイバー犯罪事案は、NTTドコモの電子決済サービスであるドコモ口座やゆうちょ銀行を狙った不正出金、SBI証券への不正アクセスによる不正送金、ゆうちょ銀行が提供するVISAデビット・プリペイドカード「mijica」を悪用した不正送金など。 徳丸さんは、これらの犯罪に共通する傾向として、ログインに関するシステムの弱点を突かれたことや、各サービスの仕様などを熟知した人物による攻撃だと考えられることを挙げている。 不正出金事案 「かんたん残高照会」を悪用か?
iPhoneのBluetoothをオンにしているだけで付近の人に電話番号が漏れてしまうことが判明
by 贝莉儿 NG セキュリティサービス会社であるHexwayに所属するDmitry Chastuhin氏は自社ブログへの投稿で、「iPhoneでBluetoothをオンにしていると電話番号が付近の人に漏れてしまう」という不具合が見つかったと発表しました。 GitHub - hexway/apple_bleee: Apple BLE research https://github.com/hexway/apple_bleee Apple bleee. Everyone knows What Happens on Your iPhone – hexway https://hexway.io/blog/apple-bleee/ iPhone Bluetooth traffic leaks phone numbers -- in certain scenarios | ZDNet https:/
高木浩光@自宅の日記 - 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む
■ 「安全なウェブサイトの作り方」HTML版にリンクジュースを注ぎ込む IPAの「安全なウェブサイトの作り方」(改定第7版2015年、初版2006年)のHTML版が出ている。項目別にページが作られている。 1.1 SQLインジェクション 1.2 OSコマンド・インジェクション 1.3 パス名パラメータの未チェック/ディレクトリ・トラバーサル 1.4 セッション管理の不備 1.5 クロスサイト・スクリプティング 1.6 CSRF(クロスサイト・リクエスト・フォージェリ) 1.7 HTTPヘッダ・インジェクション 1.8 メールヘッダ・インジェクション 1.9 クリックジャッキング 1.10 バッファオーバーフロー 1.11 アクセス制御や認可制御の欠落 というのも、4年前にWELQ問題が火を噴いたのと同様に、キーワードWeb検索からの流入を当て込む「いかがでしたか系」の乱造記事のSEO汚染の
空港のUSB充電ポートは極めて危険、セキュリティ専門家が警告 | Forbes JAPAN 公式サイト(フォーブス ジャパン)
空港にある無料のUSB充電ポートには危険が潜んでいる。サイバー犯罪者たちがUSBポートにマルウェアを送り込み、接続されたスマホからデータを盗み取ろうとしているからだ。 「公衆のUSB充電ポートにスマホをつなぐのは、道に落ちている歯ブラシで歯を磨くようなものだ。どんな結果が待っているかは予測不能だ」と、IBMのX-Force脅威インテリジェンスセキュリティ部門のシニアVPを務めるCaleb Barlowは話す。 外出する際は充電器を持ち歩き、壁のコンセントから充電する、もしくはモバイル充電器を利用したほうがずっと安全であることは確実だ。それでもUSBポートから充電をしたいという人に、Barlowが利用を薦めるのが10ドルほどで買える「Juice-Jack Defender」という名のデバイスだ。 「これはUSBポートに挿して使う小さなドングルで、ここに充電ケーブルを接続すれば、マルウェアの侵
(短いビット長の)RSA暗号を解いてみる - clock-up-blog
なんでもセキュリティ Advent Calendar 2016 15日目の記事です。 RSA鍵を作るにあたっては鍵長を十分に長くする必要があります。(この「十分に」というのは時代とともに(マシンスペックが上がるにつれ)変わっていくでしょう) 最近だと 2048ビット = 256バイトの鍵を作るのが一般的でしょうか。 この長さが短いと割と簡単に公開鍵から秘密鍵が割り出せてしまいます。 今回やること 今回は長さが十分で無いRSA公開鍵から秘密鍵を割り出す実験をしてみます。 準備 秘密鍵の準備 64ビット = 8バイトという極めて短い長さの鍵を作ります。 $ openssl genrsa -out private.pem 64 Generating RSA private key, 64 bit long modulus .+++++++++++++++++++++++++++ .+++++++
Android端末のファームウェアに隠し機能、ユーザー情報を中国に送信
米国で販売されていたAndroid端末のファームウェアをセキュリティ企業が調べた結果、SMSの本文や連絡先、通話履歴などの情報が中国のサーバに送信されていたことが分かった。 米モバイルセキュリティ企業のKryptowireは11月15日、米国で販売されていた複数のAndroid端末のファームウェアに、ユーザーの個人情報を収集して許可なく中国のサーバに送信する機能が組み込まれていたことが分かったと発表した。 Kryptowireは米軍や捜査当局向けのモバイルセキュリティツールを手掛ける企業。同社によると、米国のAmazonなどのネット通販で販売されていたAndroid端末のファームウェアのコードやネットワークを分析した結果、BLU Products製の端末などでユーザーが送受信したSMSの本文や連絡先、通話履歴と電話番号、端末の識別番号などの情報が収集されていたことが分かった。こうした情報は
主要Linuxディストリビューションに深刻な脆弱性--Enterキーを押し続けるだけで悪用可能
主要なLinuxディストリビューションの「Linux Unified Key Setup-on-disk-format」(LUKS)に、セキュリティホールが存在することが明らかになった。LUKSはLinuxで使われているハードディスク暗号化のための標準的な仕組みだ。LUKSは多くの場合、「cryptsetup」というユーティリティを使用してセットアップされている。この脆弱性はcryptsetupに存在するもので、かなり深刻度が高く、影響を受けるLinuxディストリビューションには、「Debian」、「Ubuntu」、「Fedora」、「Red Hat Enterpise Linux」(RHEL)、「SUSE Linux Enterprise Server」(SLES)が含まれる。 セキュリティレポートCVE-2016-4484には、このセキュリティホールを利用すると、攻撃者は「対象システム
感染すればネットワークから隔離されたPCからでもデータを盗み出せる恐るべきマルウェア「USBee」
By Epicantus コンピューターに搭載されたUSBデバイスを使い、遠隔地にまでデータを秘密裏に送信できてしまうという恐るべきマルウェア「USBee」が登場しました。 Meet USBee, the malware that uses USB drives to covertly jump airgaps | Ars Technica http://arstechnica.com/security/2016/08/meet-usbee-the-malware-that-uses-usb-drives-to-covertly-jump-airgaps/ 2013年にエドワード・スノーデン氏がリークした情報により、USBデバイスを使ってコンピューターから特定のデータをひっそりと抜き出すことが可能な「CottonMouth」というデバイスの存在が明らかになりました。CottonMouthで
LinuxカーネルのTCP実装にセキュリティホール--通信が乗っ取られる危険も
Steven J. Vaughan-Nichols (Special to ZDNET.com) 翻訳校正: 編集部 2016-08-12 10:44 物事が裏目に出るときもある。Linuxは2012年に、セキュリティを向上させるため、TCP/IPの新しい標準であるRFC 5961を実装した。しかしその過程で、これまで知られていなかったセキュリティホールが導入されてしまった。皮肉なことに、新しいセキュリティの仕組みを導入するのが遅れた他のOS(FreeBSD、macOS、Windowsなど)には、この攻撃に対する脆弱性は存在しない。 この脆弱性が悪用されると、LinuxとAndroidの間のインターネット接続が妨害される可能性があり、接続が乗っ取られる危険さえある。 この問題は、Linuxカーネル3.6以上を使用しているすべてのOSに存在する。Linux 3.6は2012年にリリースされて
自動車の情報セキュリティの“ものさし”を作る
自動運転技術やコネクテッドカーの登場により、自動車の情報セキュリティ=車載セキュリティ対策は急務になっている。国内の車載シフトウェア標準化団体・JasParで車載セキュリティ推進ワーキンググループ主査を務めるトヨタ自動車 電子プラットフォーム開発部長の橋本雅人氏に、国内外における車載セキュリティの取り組みについて聞いた。 自動車の進化は加速している。カーナビゲーションの登場から、電気自動車の実用化、自動ブレーキの搭載など、さまざまなエポックメイキングが生まれてきた。しかし今後の自動車の進化は、自動車が通信でつながることによって実現される機能になる。既に自動車とスマートフォンが連携するようになっており、2020年までに実用化されるという部分的自動運転でも通信接続する自動車“コネクテッドカー”が重要な役割を果たすといわれている。 しかし、自動車が通信でつながるということは、PCやスマートフォン
「悪魔のように賢い」とGoogleのエンジニアが舌を巻く「悪意あるハードウェア」が登場
by Bruce Guenter セキュリティ問題では「マルウェア(Malicious+Software:悪意あるソフトウェア)」という語がよく出てきますが、ミシガン大学の研究チームによって「悪意あるハードウェア」の存在が指摘されています。 A2: Analog Malicious Hardware (PDFファイル)http://www.impedimenttoprogress.com/storage/publications/A2_SP_2016.pdf This ‘Demonically Clever’ Backdoor Hides In a Tiny Slice of a Computer Chip | WIRED https://www.wired.com/2016/06/demonically-clever-backdoor-hides-inside-computer-chip
車内ネットワークへのサイバー攻撃は4つの階層構造で防ぐ
車内ネットワークへのサイバー攻撃は4つの階層構造で防ぐ:いまさら聞けない 車載セキュリティ入門(4)(1/4 ページ) 車載システムの進化を支えてきたCANに代表される車内ネットワーク。この車内ネットワークに対するサイバー攻撃は、多層防御(Defense-in-depth)の原則に基づき、4つのレイヤー(階層)によって防ぐことが推奨されている。 車載システムの進化がまねくセキュリティ面での脆弱性 今回は、車内ネットワークのセキュリティに焦点を当てます。車内ネットワークのアーキテクチャと通信、両方がセキュアであることが求められます。 メカニカルな機構や機能が、カーエレクトロニクスやソフトウェアで制御するシステムが移り変わっていく中で、シンプルかつスタンドアロンなシステムから、より一層複雑なコネクテッドシステムに変容してきました。 その結果としてセキュリティ面での脆弱性が高まり、攻撃者が狙いを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
その暗号化ZIPファイルの送付は「意味ないどころか有害」。セキュリティで信用失わないためには
自動車のサイバーセキュリティについて名古屋大学 高田広章氏が講演「日立セキュリティフォーラム2020 ONLINE」レポート
DeNA Engineering - DeNAエンジニアのポータルサイト
Snapdragonにルート権限を取得される脆弱性が発見 ~広範囲なスマートフォンやIoT機器に影響の可能性
公安9課が情報流出の危険性を解き明かす、「攻殻機動隊 S.A.C.」の描き下ろしPDFコミック「HUMAN-ERROR TRAPS」無償公開 
