CSRFで逮捕者が出たらしい話 | 水無月ばけらのえび日記
公開: 2012年2月7日1時35分頃 こんなお話が……「アニメサイト運営でトラブル ウイルス作成罪初適用、男逮捕 (www.itmedia.co.jp)」。 各紙の報道によると、男は「さっさと閉鎖しろ。さもないと、お前の両親を殺して家を燃やす」という文言を自分が運営しているサイトに書き込むプログラムを作成し、あるサイトに埋め込んだ。 男は神奈川県の男性と共同でアニメサイトを運営していたが、運営方法をめぐって男性とトラブルになっていた。男は男性にメールを送り、不正プログラムを埋め込んだサイトに誘導。アクセスした男性が脅迫的な文言を自分のサイトに書き込んだように見せかけた上で、府警に「脅迫された」などと相談していたという。 府警が発信記録などを調べたところ、不正プログラムがサイトに埋め込まれていたことが分かり、犯行が発覚。まず不正プログラムをサイトに埋め込んだ不正指令電磁的記録供用の疑いで2
twitterセキュリティネタまとめ 6月20日のtwitterセキュリティクラスタ
確かにCSRFとかXSSとか騒がれる割に実際の例があまりない気がします。面倒で危険なんかそんなにないから放置という人に対しても事例集とかあればいいんでしょうね。 sen_u :交換サイトMt Goxのハッキング、CSRFによりビットコインが暴落 http://bit.ly/m0FQFx a href="http://twitter.com/sen_u/status/82970705859321857">sen_u :CSRF事件事例ってあまり知らないんですが、はまち,Pixiv以外にどういうのがありますか? RT @sen_u: 交換サイトMt Goxのハッキング、CSRFによりビットコインが暴落 http://bit.ly/m0FQFx hasegawayosuke :@sen_u Gmailでforward先を勝手に設定される、というのなかったっけ。 hasegawayosuke :@
Google GMail E-mail Hijack Technique
In this post I am going to show you how someone can remotely install a simple, persistent filter within a GMail account and download all previous as well as snoop onto all future email conversations. The following sequence of screenshots describes how the attack works. [](/files/2007/09/ggeht-seq1.jpg) [
サウンドハウスで今度は氏名ダダ漏れの可能性 - :)
http://www.soundhouse.co.jp/ http://www.itmedia.co.jp/news/articles/0804/07/news006.html どんだけ脆弱なサイトなのかとチェックしていたら、メールアドレスと氏名が流出する可能性があることに気づいた。 サウンドハウスの「お友達に勧める」機能。 これを悪用すれば以前話題になったAmazonの「お友だちに知らせる」機能と同じようなことが起こるのでは。 方法 サウンドハウスにログインしている状態で以下のURLを踏むと、「ToAddr=」宛に自分の氏名・メールアドレスが送信される。 http://www.soundhouse.co.jp/shop/TellaFriendSend.asp?ToAddr=xxx@gmail.com&Message=test&x=87&y=13&Item=1230%5E578603&Me
交換サイトMt GoxのハッキングとCSRFによりビットコインが暴落 - うさぎ文学日記
ビットコイン(BitCoin)は仮想通貨で、中央銀行を持たずP2Pネットワーク上でやりとりされる。マイニングという暗号を解く行為を利用者が行うことにより、その時間と労力を提供することでコインを供給することができる。つまりマイニングは労働な訳で、換金性があり、経済があり、ビットコインの為替レートが存在するようです。 Bitcoin - Wikipedia, the free encyclopedia ビットコインの交換サイト Mt Goxがハッキングされたというニュースがあり、ユーザーIDやメールアドレス、ハッシュ化されたパスワード(ただしSaltなしのMD5!)などが漏えいしているとのこと。 さらに交換サイトにCSRFの脆弱性があり、攻撃者によってビットコインの取引が強制されてしまうという攻撃も仕掛けられたようです。つまり、正規の利用者がログイン中のブラウザで、このCSRFが仕掛けられたペ
TwitterにCSRF脆弱性:フォロワーを増やせるバグの存在が明らかに
文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎 2008-08-01 09:46 米国時間7月27日、TechCrunchのJason Kincaid氏は「johng77536」氏と呼ばれるユーザーが、人気の高いマイクロブログサービスで何千人ものフォロワー(購読者)を短期間に集めることを可能にした、Twitterの明らかな脆弱性について記事を書いた。 この「johng77536」氏のアカウントはその後無効にされたが、Twitterのセキュリティホールと弱点を追跡しているあるセキュリティ研究者が、「フォロー」システムを簡単にもてあそぶことができる新たな脆弱性を発見した。 Aviv Raff氏は、同氏の発見の詳細について説明する、TwitPwn.comと呼ばれる新しいサイトを立ち上げた。 Twitterには、攻撃者が被害者に、自動的に攻撃者をフォ
開発者のための正しいCSRF対策
著者: 金床 <anvil@jumperz.net> http://www.jumperz.net/ ■はじめに ウェブアプリケーション開発者の立場から見たCSRF対策について、さまざまな情報が入り乱れている。筆者が2006年3月の時点において国内のウェブサ イトやコンピュータ書籍・雑誌などでCSRF対策について書かれている記事を調べた結果、おどろくべきことに、そのほとんどが誤りを含んでいたり、現実的 には使用できない方法を紹介したりしていた。そこで本稿ではウェブアプリケーション開発者にとっての本当に正しいCSRF対策についてまとめることとす る。また、採用すべきでないCSRF対策とその理由も合わせて紹介する。 ■あらゆる機能がターゲットとなりうる ウェブアプリケーションの持つ全ての機能がCSRF攻撃の対象となりうる。まずこのことを認識しておく必要がある。 Amaz
「ヘタクソ」pixivに意図せず中傷コメント CSRF脆弱性を悪用
イラストSNS「pixiv」の一部の作品に対し、「ツマンネ」「ヘタクソ」「気持ちわる」といった中傷コメントが意図せずに投稿されてしまう問題が起きた。運営会社が調べたところ、何者かがユーザーに脆弱性を悪用した外部URLをクリックさせ、意図しないコメントを投稿させていたことが分かり、既に脆弱性は修正した。 ピクシブの開発者ブログによると、問題は2月5日~14日に発生。イラストのキャプション欄などに貼られていたあるURLをクリックすると、外部サイトを経由し、中傷コメントが投稿されるようになっていた。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を悪用していた。脆弱性は14日に修正した。アカウントが乗っ取られたわけではなく、個人情報の漏えいや改ざんはないとしている。ウイルス感染の被害もないという。 pixiv
URL踏むと「こんにちは こんにちは!!」 AmebaなうのCSRF脆弱性で“意図しない投稿”広がる
12月10日にPC版がスタートしたサイバーエージェントのミニブログサービス「Amebaなう」で、あるURLをクリックすると、「こんにちは こんにちは!!」というフレーズとクリックしたURL文字列が自動で投稿され、「はまちや2」さんのアカウントを自動でフォローしてしまうという現象が広がった。 URLをクリックしたユーザーが意図しない機能を実行させられるWebアプリの脆弱性の一種・クロスサイトリクエストフォージェリ(CSRF)を突いたもの。同社は10日夜、URLをクリックしないようユーザーに告知。誤ってクリックした場合は投稿を削除し、はまちや2さんのフォローを外すよう呼び掛けた。11日朝までに脆弱性も修正したという。 mixiでも2005年、あるURLをクリックすると「ぼくはまちちゃん!」という日記が勝手に投稿されるという、CSRFを利用したスパムが流通したことがあった。コミュニティーサイト構
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The Cross-Site Request Forgery (CSRF/XSRF) FAQ