こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
Content-Disposition の filename という地雷。 (1個の観点で17個の脆弱性を見つけた話) - ぶるーたるごぶりん
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
メガネの反射からWeb会議中の画面を盗み見る攻撃 閲覧中のサイトを特定する精度は94%以上
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米University of Michiganと中国のZhejiang Universityによる研究チームが発表した「Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing」は、Web会議に参加するメガネをかけたユーザーのレンズの反射によって、画面上の機密情報を不注意に伝えてしまうことを明らかにした研究報告を発表した。 COVID-19をきっかけに、機密を扱う業務でも対面会議からWeb会議へと変わった。Web会議において研究者らは、ユーザー自身の
Fastlyを検討する - ゆーすけべー日記
Fastly の導入を検討している。検討しているだけで、導入していないので、参考にならないかもしれないし、間違っているかもしれないが、メモ。 動機 Varnish を使っていて、最初は Varnish の冗長化をしたい!だった。 まあそうなるよねえ。で、Fastly!となった。 ちなみに、Varnish を使ってる理由としては、以前も Jamstack を検討する - ゆーすけべー日記 Varnish で Stale-While-Revalidate を実現する - ゆーすけべー日記 で触れたとおり、 なるべく手間手前で、なるべく少ない箇所でキャッシュしたいからである。 Fastly でできること・したいこと Fastly でできることはたくさんあるので、その中でもしたいことを列挙。リバースプロキシ、ロードバランサの機能も含むのが便利。特に、パスごとに制御できる。なので、とあるパスはキャッ
東京大学大学院 大澤昇平特任准教授が「信頼できるサイト」の見分け方を解説 → 間違いが多すぎて、エンジニアが逆に注意喚起する事態に・・・。
【2019/11/09 20:00】コメント・一部記述を追加。 【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。 【2019/11/10 17:50】大澤氏のコメントを追加。 【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。 【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。
「Apache Tomcat」の脆弱性「CVE-2019-0232」を解説、遠隔からコードが実行される恐れ | トレンドマイクロ セキュリティブログ
ホーム » 脆弱性 » 「Apache Tomcat」の脆弱性「CVE-2019-0232」を解説、遠隔からコードが実行される恐れ 「Apache Tomcat」は、オープンソースのJavaサーブレットコンテナで、Apache Software Foundation(ASF)の支援を受けるコミュニティによって開発されました。このApache Tomcatは、「Java Servlet」、「JavaServer Pages(JSP)」、「Java Expression Language(EL)」、「WebSocket」を含むいくつかのJava EE の仕様を実装しており、Javaのみで記述された「ピュアJava」のHTTP Webサーバ環境を提供します。 セキュリティ企業「Nightwatch Cyber security」は、2019年4月15日、脆弱性「CVE-2019-
大塚商会のホスティング、5000サイトの改ざん被害の真相
「日本のホスティングサービスをハイジャックした」という声明とともに、企業など5000組織以上のドメイン名が書かれていた。これらのサイトはほとんどがアルファメールを利用していたWebサイトだった。 大塚商会は1月23日、アルファメールに改ざん被害があったことを明らかにし、同25日には不正アクセスの内容を発表した。その内容だけでは攻撃の詳細までは分からなかったが、関係者や別のホスティング事業者、セキュリティー専門家への独自取材で、原因や攻撃の流れが見えてきた。どんな攻撃だったのか検証していこう。 改ざんを誇示するコンテンツを置いていく 大塚商会の発表では、改ざんは各Webサイトに攻撃者が用意した静的コンテンツを置くというものだった。Webサイトにアクセスした人をウイルスに感染させるような改ざんやユーザーコンテンツの変更といった被害はなかったという。では具体的にどんな改ざんだったのか。
佐川急便装う迷惑メール急増 「不在通知」「1340万円配達します」など、23の事例で注意喚起
迷惑メールは、佐川急便からの不在通知や出荷通知を装い、フィッシングサイトとみられるURLや、ウイルス入りとみられるファイルが添付されているものが多い。中には、「佐藤宏美様より1340万円の配達を開始いたします」「1340万円の現金配達は『高額現金の配達』という関係上、優良ゲスト様がご在宅の時間に配達となります」などと返信を求めるものもある。 同社は「迷惑メールに記載されているアドレスにアクセスしたり、添付ファイルを開いたりするとウイルスに感染する恐れがある」などと注意喚起。また同社は、「SMSでの案内は行っていない」という。 関連記事 日本郵便かたるウイルスメール出回る 「日本郵便 インボイス用紙」や「請求書」という件名のウイルス入りメールが6月1日に出回ったとし、警視庁などが注意を呼び掛けている。 「緊急ご連絡」「重要なお知らせ!」 ソフトバンクかたるフィッシングメール出回る 「【重要な
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
記者は対ハッキング演習に参加した、そして砕け散った
年の瀬も押し詰まった2014年12月某日、記者は目の前に置かれたノートPCの前で途方に暮れていた。画面に映っているのは自分が管理を任されているWebサイト。明らかに表示や挙動がおかしい部分があり、不正アクセスと改ざんを受けている。すぐに対策に動かねばならないが、具体的にどこから手を付ければいいのか、何をどう調べていけばいいのか分からず体が動かない……。 これは当日実際に記者が体験したことだが、不正アクセスおよび改ざんを受けたのは、インターネット上で正式にサービスを提供している本物のWebサイトではない。仮想化ソフトを利用して作った、仮想Webサーバー上で稼働する演習用Webサイトである。 そう、記者はこの日、Webサイトがハッキング被害を受けたとき、どのようにその兆候や痕跡を見つけ、しかるべき対処をするべきかを実践形式で学ぶセキュリティ演習に参加していたのだ(写真1)。開催したのは大手セキ
インターネットを支える「運用でカバー」の憂鬱
「今ではインターネットを『ITインフラ』の1つと呼でしまう人がいますけど、昔のインターネットは『たまに落ちるのは当たり前』くらいの信頼性しかなかったんです。電気や水道みたいな、いわゆる社会インフラとは成り立ちが違います。ITインフラと呼ばれるほど堅固なものなんでしょうかね?」 数年前、インターネット上で使われるプロトコルのセキュリティに関する取材をした際に、ある技術者から聞いた言葉である。 もともとインターネットは、ネットワーク側の機能はなるべく少なく絞って、高度な処理は端末側に任せるのが基本設計だ。最低限の仕様さえ踏まえていれば、どんな端末でもつなげるオープン性が身上といえる。 プロトコルの仕様自体がセキュリティ上の弱点になる こうした“ゆるふわ”仕様のおかげで、インターネット上には様々なサービスが発展することになった。そして今では「ITインフラ」などと呼ばれることもあるわけだが、昔の“
キヤノン製プリンタのファームウェアを改ざん、セキュリティ企業が披露
セキュリティ企業がキヤノンのプリンタのファームウェア更新プロセスをインターネット経由で改ざんし、不正なファームウェアを仕込むデモを披露した。 英セキュリティ企業のContextは、9月12日にロンドンで開かれた情報セキュリティカンファレンスの「44Con」で、キヤノン製プリンタのファームウェア更新プロセスをインターネット経由で改ざんして不正なファームウェアを仕込むデモを披露した。 Contextのブログによると、同社はキヤノンが海外で販売している無線プリンタ「PIXMA」について、インク残量のチェックやファームウェアアップデートのチェックに使われるWebインタフェースがユーザー認証を必要とせず、誰でも接続できてしまう状態だったことを発見した。 不正なファームウェアの導入を防ぐための署名などの対策も実装されておらず、非常に強度の弱い暗号しか使われていなかったとContextは解説する。 この
TweetDeckにXSSの脆弱性、ワーム増殖の状態に
TwitterのTweetDeckサービスが一時的にダウンした。「悪意のあるツイートを作成して自己増殖する『ワーム』攻撃」の発生が伝えられている。 米TwitterのTweetDeckで米国時間の6月11日にセキュリティ問題が発生し、サービスが一時的にダウンした。セキュリティ企業などは、クロスサイトスクリプティング(XSS)の脆弱性を突くワームが増殖している状態だと伝えている。 TweetDeckの公式アカウントには同日、「TweetDeckで発生したセキュリティ問題が修正された」という告知が掲載され、修正を適用するためにTweetDeckからいったんログアウトして、ログインし直すよう呼びかけた。 しかしその後も問題の報告が相次いだことから、「セキュリティ問題について調査するためTweetDeckのサービスを一時的にダウンさせた」とツイート。数時間後に「セキュリティ問題の修正を確認し、Tw
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JWTセキュリティ入門
ヤマハ製ルーターにWeb GUI関連の脆弱性 - PC Watch
GPUの動作を監視してWeb履歴やパスワードを盗み出すサイドチャネル攻撃手法
直近で現れそうなフィッシングサイトを予測する技術を開発中、フィッシング対策協議会と長崎県立大学 
フィッシング詐欺の狙いや仕掛けがますます高度化して危険になっているようです(山本一郎) - 個人 - Yahoo!ニュース
偽の「健康保険組合からの医療費のお知らせ」で遠隔操作ツール拡散 
模倣サイトとして各所から注意喚起が出されているサイトは、模倣サイトではなくAnonymous Proxyサービスと呼ばれるもの
