こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
English ver: https://gist.github.com/motoyasu-saburi/1b19ef18e96776fe90ba1b9f910fa714#file-lack_escape_content-disposition_filename-md TL;DR 1つのブラウザ、1つのプログラミング言語、15個の { Web Framework, HTTP Client ライブラリ, Email ライブラリ / Web Service 等} で脆弱性を見つけました。 見つけた脆弱性は、全て 1つの観点で発見した (多分 50-80 くらいのプロダクトの調査をした)。 RFC の記載では、(かなりわかりにくく)この問題に対する要件が記載されており、WHATWG > HTML Spec の方はしっかりと書かれているといった状況にある。 この問題は、 Content-Dispo
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米University of Michiganと中国のZhejiang Universityによる研究チームが発表した「Private Eye: On the Limits of Textual Screen Peeking via Eyeglass Reflections in Video Conferencing」は、Web会議に参加するメガネをかけたユーザーのレンズの反射によって、画面上の機密情報を不注意に伝えてしまうことを明らかにした研究報告を発表した。 COVID-19をきっかけに、機密を扱う業務でも対面会議からWeb会議へと変わった。Web会議において研究者らは、ユーザー自身の
Fastly の導入を検討している。検討しているだけで、導入していないので、参考にならないかもしれないし、間違っているかもしれないが、メモ。 動機 Varnish を使っていて、最初は Varnish の冗長化をしたい!だった。 まあそうなるよねえ。で、Fastly!となった。 ちなみに、Varnish を使ってる理由としては、以前も Jamstack を検討する - ゆーすけべー日記 Varnish で Stale-While-Revalidate を実現する - ゆーすけべー日記 で触れたとおり、 なるべく手間手前で、なるべく少ない箇所でキャッシュしたいからである。 Fastly でできること・したいこと Fastly でできることはたくさんあるので、その中でもしたいことを列挙。リバースプロキシ、ロードバランサの機能も含むのが便利。特に、パスごとに制御できる。なので、とあるパスはキャッ
【2019/11/09 20:00】コメント・一部記述を追加。 【2019/11/10 00:20】Let's Encryptに関する記述を追加・修正。 【2019/11/10 17:50】大澤氏のコメントを追加。 【2019/11/11 12:50】NISC/IPA/フィッシング対策協議会に対し、当該記事への対応依頼を実施。 【2019/11/13 22:09】「適切なフィッシング詐欺対策について」を追加。
ホーム » 脆弱性 » 「Apache Tomcat」の脆弱性「CVE-2019-0232」を解説、遠隔からコードが実行される恐れ 「Apache Tomcat」は、オープンソースのJavaサーブレットコンテナで、Apache Software Foundation(ASF)の支援を受けるコミュニティによって開発されました。このApache Tomcatは、「Java Servlet」、「JavaServer Pages(JSP)」、「Java Expression Language(EL)」、「WebSocket」を含むいくつかのJava EE の仕様を実装しており、Javaのみで記述された「ピュアJava」のHTTP Webサーバ環境を提供します。 セキュリティ企業「Nightwatch Cyber security」は、2019年4月15日、脆弱性「CVE-2019-
「日本のホスティングサービスをハイジャックした」という声明とともに、企業など5000組織以上のドメイン名が書かれていた。これらのサイトはほとんどがアルファメールを利用していたWebサイトだった。 大塚商会は1月23日、アルファメールに改ざん被害があったことを明らかにし、同25日には不正アクセスの内容を発表した。その内容だけでは攻撃の詳細までは分からなかったが、関係者や別のホスティング事業者、セキュリティー専門家への独自取材で、原因や攻撃の流れが見えてきた。どんな攻撃だったのか検証していこう。 改ざんを誇示するコンテンツを置いていく 大塚商会の発表では、改ざんは各Webサイトに攻撃者が用意した静的コンテンツを置くというものだった。Webサイトにアクセスした人をウイルスに感染させるような改ざんやユーザーコンテンツの変更といった被害はなかったという。では具体的にどんな改ざんだったのか。
迷惑メールは、佐川急便からの不在通知や出荷通知を装い、フィッシングサイトとみられるURLや、ウイルス入りとみられるファイルが添付されているものが多い。中には、「佐藤宏美様より1340万円の配達を開始いたします」「1340万円の現金配達は『高額現金の配達』という関係上、優良ゲスト様がご在宅の時間に配達となります」などと返信を求めるものもある。 同社は「迷惑メールに記載されているアドレスにアクセスしたり、添付ファイルを開いたりするとウイルスに感染する恐れがある」などと注意喚起。また同社は、「SMSでの案内は行っていない」という。 関連記事 日本郵便かたるウイルスメール出回る 「日本郵便 インボイス用紙」や「請求書」という件名のウイルス入りメールが6月1日に出回ったとし、警視庁などが注意を呼び掛けている。 「緊急ご連絡」「重要なお知らせ!」 ソフトバンクかたるフィッシングメール出回る 「【重要な
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
年の瀬も押し詰まった2014年12月某日、記者は目の前に置かれたノートPCの前で途方に暮れていた。画面に映っているのは自分が管理を任されているWebサイト。明らかに表示や挙動がおかしい部分があり、不正アクセスと改ざんを受けている。すぐに対策に動かねばならないが、具体的にどこから手を付ければいいのか、何をどう調べていけばいいのか分からず体が動かない……。 これは当日実際に記者が体験したことだが、不正アクセスおよび改ざんを受けたのは、インターネット上で正式にサービスを提供している本物のWebサイトではない。仮想化ソフトを利用して作った、仮想Webサーバー上で稼働する演習用Webサイトである。 そう、記者はこの日、Webサイトがハッキング被害を受けたとき、どのようにその兆候や痕跡を見つけ、しかるべき対処をするべきかを実践形式で学ぶセキュリティ演習に参加していたのだ(写真1)。開催したのは大手セキ
「今ではインターネットを『ITインフラ』の1つと呼でしまう人がいますけど、昔のインターネットは『たまに落ちるのは当たり前』くらいの信頼性しかなかったんです。電気や水道みたいな、いわゆる社会インフラとは成り立ちが違います。ITインフラと呼ばれるほど堅固なものなんでしょうかね?」 数年前、インターネット上で使われるプロトコルのセキュリティに関する取材をした際に、ある技術者から聞いた言葉である。 もともとインターネットは、ネットワーク側の機能はなるべく少なく絞って、高度な処理は端末側に任せるのが基本設計だ。最低限の仕様さえ踏まえていれば、どんな端末でもつなげるオープン性が身上といえる。 プロトコルの仕様自体がセキュリティ上の弱点になる こうした“ゆるふわ”仕様のおかげで、インターネット上には様々なサービスが発展することになった。そして今では「ITインフラ」などと呼ばれることもあるわけだが、昔の“
セキュリティ企業がキヤノンのプリンタのファームウェア更新プロセスをインターネット経由で改ざんし、不正なファームウェアを仕込むデモを披露した。 英セキュリティ企業のContextは、9月12日にロンドンで開かれた情報セキュリティカンファレンスの「44Con」で、キヤノン製プリンタのファームウェア更新プロセスをインターネット経由で改ざんして不正なファームウェアを仕込むデモを披露した。 Contextのブログによると、同社はキヤノンが海外で販売している無線プリンタ「PIXMA」について、インク残量のチェックやファームウェアアップデートのチェックに使われるWebインタフェースがユーザー認証を必要とせず、誰でも接続できてしまう状態だったことを発見した。 不正なファームウェアの導入を防ぐための署名などの対策も実装されておらず、非常に強度の弱い暗号しか使われていなかったとContextは解説する。 この
TwitterのTweetDeckサービスが一時的にダウンした。「悪意のあるツイートを作成して自己増殖する『ワーム』攻撃」の発生が伝えられている。 米TwitterのTweetDeckで米国時間の6月11日にセキュリティ問題が発生し、サービスが一時的にダウンした。セキュリティ企業などは、クロスサイトスクリプティング(XSS)の脆弱性を突くワームが増殖している状態だと伝えている。 TweetDeckの公式アカウントには同日、「TweetDeckで発生したセキュリティ問題が修正された」という告知が掲載され、修正を適用するためにTweetDeckからいったんログアウトして、ログインし直すよう呼びかけた。 しかしその後も問題の報告が相次いだことから、「セキュリティ問題について調査するためTweetDeckのサービスを一時的にダウンさせた」とツイート。数時間後に「セキュリティ問題の修正を確認し、Tw
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く