OWASP ZAPでWebアプリケーション脆弱性診断 | GMOアドパートナーズグループ TECH BLOG byGMO
このエントリーは、GMOアドマーケティング Advent Calendar 2018の 【12/12】 の記事です。 GMOアドマーケティングとしては初のAdvent Calendar参戦です。 こんにちは。GMOアドマーケティングのN.Sです。 この度Webアプリケーションの脆弱性診断について研修を受けたので、内容について共有します。 OWASP ZAPという自動診断ツールを使って、診断から対策までの流れをざっと説明します。 環境 Mac:10.12.6(Sierra) OWASP ZAP:2.7.0 Burp Suite:1.7.36 インストール OWASP ZAP:https://github.com/zaproxy/zaproxy/wiki/Downloads Burp Suite:https://portswigger.net/burp/communitydownload 対象
Androidの脆弱性を見つけちゃった話
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について
2013/06/11 コース:元祖こってり 「元祖こってり」記事はネットエージェント旧ブログ[netagent-blog.jp]に掲載されていた記事であり、現在ネットエージェントに在籍していないライターの記事も含みます。 6月9日(日) に放映された「ほこ×たて」の「たて」の裏側について 2013年6月9日に放映されました、フジテレビ「ほこ×たて」に関しまして、反響が大きいようですので撮影の裏側をご紹介いたします。 まず、番組コーナー内の冒頭にご紹介いただきました弊社製品「防人」については、弊社がどのような会社なのかを簡単に紹介するということでお見せしましたが、防人はメールによる標的型攻撃を防ぐための製品ですので、その後の対決には一切使用していません。 実際の対決に際して防御側に求められたのは、サービスパックや修正プログラムの全く当てられていないパソコン上で、脆弱性が確実に存在しているサー
ヤフー株式会社様に「秘密の質問と回答」に関して要望します
拝啓、貴社ますますご清栄のこととお慶び申し上げます。日頃は格別のご高配を賜り、あつくお礼申し上げます。さて、さっそくですが、表題の件についてお願いがあり、ご連絡差し上げました。 私は東京都品川区在住の貴社サービスの一ユーザーです。Yahoo! IDの登録が2001年3月、Yahoo!プレミアムは2003年 2月からですので、十年来のユーザーと言うことになり、現在はヤフオクやYahoo! Boxを利用しております。どうぞ、お見知りおきのほど、よろしくお願いいたします。 さて、ご連絡差し上げたのは、表題に述べたように「秘密の質問と回答」に関する要望です。と言いますのは、報道などで「秘密の質問と回答」が漏洩したことを知ったからです。 ヤフーは23日、今月16日に不正アクセスで流出した「ヤフージャパン」のID2200万件のうち、約149万件についてはパスワードと、パスワード変更のために使う「秘密の
WordPressのadminユーザーを変更(削除)する方法。乗っ取られる前にセキュリティ強化!
この記事には広告を含む場合があります。 記事内で紹介する商品を購入することで、当サイトに売り上げの一部が還元されることがあります。 Wordpress Button Closeup / Titanas さきほど、「全世界のWordPressサイトに攻撃、adminユーザーが狙われている」という記事を見て驚きました。 攻撃者は「admin」のユーザーネームと、総当たり攻撃で見つけ出したパスワードを使って、Webサイトの管理用パネルを制御しようとしているという。 WordPress狙う大規模攻撃が発生、管理者アカウントを標的に – ITmedia エンタープライズ 何を隠そう、私も今までずっとadminユーザーで管理していた一人。攻撃を受けなくてラッキーでした。。。 これは今のうちにユーザー名を変えておかねば……ということでやり方を調べて変更完了。間に合った。 この記事では、WordPress
ネットでクレジットカードで買い物が心配 → 心配すべきはあなたじゃないです(キッパリ) - More Access! More Fun! %
本日は月曜日なので、朝からメルマガ書いた。毎月お一人様315円でコツコツと書いています。書いていると頭に「あなた変わりはないですかぁ〜」という石川さゆりの歌声が響く。一応まぐまぐ!の有料メルマガランキングで16位まで来たが、ホリエモンと比較したら何十分の1だ。しかし継続は力なりを座右の銘に書き続けてるのだ。 んで、本日、めちゃくちゃネタになる質問がございました。あまりにネタなので、ブログには詳しく説明したいと思います。 ◆質問◆ 私は、ネットでクレジットカードで支払いを行うことに非常に慎重です。永江さんのメルマガもクレジット払いしかなかったので、かなり迷いましたが支払いをしました。販売サイトを運営した場合、同様の不安を持つお客様の不安を取り除くにはどうしたら良いのでしょうか。 クレジットカードについては、Twitterを見ていると情報流出事件のたびに「ネットでクレジットカードで買い物なんて
facebookから50万円くらい不正請求がきた場合の対応まとめ | Abi-Station
先日、クレジットカードの明細をWebから見たら、身に覚えがない請求がありました。 facebookから2日間に渡って1回1万円くらいの決済が50回ほどされてました。 つまり50万円くらいですね。 facebookの問い合わせページが分かりにくい上に、誰もがはまりそうな罠が潜んでいるので、情報を共有したいと思います。 まずカード会社に電話してください。 「○月○日のfacebookからの請求は身に覚えがないので請求しないでください」と連絡します。 そしてカード番号を変えた方が良いでしょう。 次にfacebookに連絡します。 非常に分かりにくいのですが、2012/2/16現在ではここに問い合わせフォームがあります。 ヘルプセンター > 広告とスポンサー記事 > 請求と支払い > 請求と予算に関する一般的な質問 ↓ 支払い頻度と支払い時期 > 上記以外の件に関して質問があります。 > それでも
高木浩光による怒濤の講演「ゲーム業界におけるプライバシー保護」がすごいことに
「高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」」というエントリーによってTポイントツールバーは「騙す気満々の誘導」であると指摘、その2日後にTポイントツールバーのダウンロードが一旦停止されたり、ほかにも「ダウンロード刑罰化で夢の選り取り見取り検挙が可能に」「ローソンと付き合うには友達を捨てる覚悟が必要」「武雄市長、会見で怒り露に「なんでこれが個人情報なんだ!」と吐き捨て」「やはり欠陥だった武雄市の個人情報保護条例」というように、次々とセキュリティに関して絶大な影響を与え続けてきた独立行政法人産業技術総合研究所の高木浩光(通称:ひろみちゅ)氏によるCEDEC2012の講演が、非常に秀逸な内容となっており、ゲームに限らず、スマートフォンまでも含めてそもそも「個人情報」とは一体何か?ということから、個人情報の現在の扱い、プライバシーに関して今後あるべき方向に至るまで、縦横
高木浩光@自宅の日記 - Tポイント曰く「あらかじめご了承ください」
■ Tポイント曰く「あらかじめご了承ください」 「Tポイントツールバー」なるものが登場し、8月8日ごろからぽつぽつと話題となり、13日には以下のように評されるに至った。 Tポイントツールバー(by CCCとオプト)が悪質すぎてむしろ爽快, やまもといちろうBLOG, 2012年8月13日 その13日の午後、一旦メンテナンス中の画面となり、夕方には新バージョン(1.0.1.0)がリリースされたのだが、15日には、「Tポイントツールバーに関する重要なお知らせ」が発表されて、「8月下旬」まで中止となった。非難の嵐が吹き荒れる中で堂々と新バージョンを出してきたにもかかわらず、なぜすぐに中止することになったのかは不明である。 この「Tポイントツールバー」とはいかなるものか。以下の通り検討する。 騙す気満々の誘導 刑法の不正指令電磁的記録供用罪(第168条の2第2項)は、「人が電子計算機を使用するに際
Tポイントツールバーを導入するとSSL通信の履歴までもが盗聴可能になる
twitterなどでTポイントツールバーの利用規約が話題になっています。このエントリでは、Tポイントツールバーを実際に導入して気づいた点を報告します。結論として、当該ツールバーを導入すると、利用者のアクセス履歴(SSL含む)が平文で送信され、盗聴可能な状態になります。 追記(2012/08/10 20:10) たくさんの方に読んでいただき、ありがとうございます。一部に誤解があるようですが、ツールバーが送信している内容はURLだけで、Cookieやレスポンスまでも送信しているわけではありません。URLを送信するだけでも、以下に示す危険性があるということです。 追記終わり 追記(2012/08/13 23:50) ポイントツールバーにバージョンアップがあり、WEB閲覧履歴の送信がSSL通信に変更されました。従って、WEB閲覧履歴が盗聴可能な状況は回避されました。本日22:50頃確認しました。
朝日新聞デジタル:Tポイント、医薬品の購入履歴を取得 販促活動に利用 - 社会
関連トピックスヤフードラッグストア「ウエルシア」の店頭では、Tポイントが使えることを示すのぼりがはためいていた=東京都内Tポイントの仕組み 4千万人以上が利用する日本最大の共通ポイントサービス「Tポイント」が、ドラッグストアで会員が買った医薬品の商品名をデータとして取得し、会員に十分な説明をしないまま販促活動などに使っていることがわかった。医薬品の購買履歴には、本人が他人に明らかにしたくない情報が含まれることが多い。日本薬剤師会などは「育毛剤を買った人にかつらの広告を送ったり、関節の痛みを和らげる薬を買った人に健康食品を勧めたりしないか」と懸念。厚生労働省も問題視している。 Tポイントは、住所氏名などの個人情報を登録して会員になり、無料で発行されるTカードにためる仕組み。提携店でカードを出すと、支払額の0.5〜1%程度がポイントになり、次からの支払いで1ポイントを1円として使える。
Facebookで「友達が利用しているアプリ」に情報を渡さない方法 | コーヒーサーバは香炉である
便利で楽しいFacebookアプリケーションが色々ある一方、中には怪しいものもあって、そういうところに個人情報を渡してしまうのは何かと危険。「自分でアプリを使っていないから大丈夫」というわけにもいかない。 友達が怪しいアプリに「私の友達の学歴とか近況とか住んでる場所とかチェックインした場所とか、全部取得してオッケーですよ☆」という許可を与えてしまったら、知らないところで自分の情報が取得されてしまう。これはFacebookの怖いところ。 友達がこんなアプリに許可を与えちゃったら超悲惨! 自分のせいで損をするのはいいけれど他人のせいで迷惑を被るのは困る。 実は「友達が利用しているアプリに、自分の情報をどこまで渡すか」というのを設定できる。目立たない項目だから、多分あまり知られていない。私も最近知ったよ。 Facebookにログインして、ヘッダのメニューから「ホーム > プライバシー設定」を
自分の身を守りたければ、まずはFacebookのオバカ友人を整理すべし|More Access! More Fun
サーバ移転のため、更新がしばらくできませんでした。もう書きたいものが溜まっちゃって・・。でもって有料メルマガの会員が思ったより集まったため、スペックの高いカゴヤの301という専用サーバのコースに移動しました。処理が早いので表示速度が計測値で以前のサーバの約半分くらいになりました。本日の13時にDNSを切り替えたので、まだこのページがNot Foundになってる方はあなたのプロバイダのネームサーバの更新が遅いんです。って・・見えてない人にこんなこと言っても意味ないが。 さてメルマガ第1号は月曜日には配信。初回は1 小さな学習塾が大手に対抗するためには 2 アフリエイトサイトはどうしたら儲かるか 3 販売サイトにスマホ対応は必要か 4 スマホ向けアプリ開発は儲かるか の4つのご質問にお答えしました。配信後でも申し込むと最新版が送られるようです。読みたい方はいまからぜひ。(広告モードおわり) で
株式会社RE JOIN
動画制作に特化して 最先端の技術を追求した コンテンツを制作します。 わずか1分間の映像には、文字情報に換算すると約180万語に相当する情報量があると言われています。 2020年から開始された5Gの商用サービスにより、これまでテキストと静止画で伝えられてきたあらゆる情報が、ビジネスや個人等の隔たりなく映像に取って代わる時代になりました。 まだまだ発展途上で毎日発見がありながらも、日常で当たり前になりつつある映像文化に向き合い、私たちは今までなかった新しいコンテンツを開発します。 動画制作・編集 YouTube動画やWeb広告動画をはじめ、あらゆる領域・ジャンルに対応した動画制作をおこなっています。品質・成果・コストともに最大限のパフォーマンスを提供し、お客様のビジネスに貢献します。
スマホアプリとプライバシーの「越えてはいけない一線」 - @IT
スマートフォンアプリは果たしてどこまで、端末に関する情報を取得してもいいのだろうか。 位置情報と連動してお勧め店舗情報を表示したり、過去の検索履歴を基に商品を提案したりと、端末の情報やユーザーの行動履歴を活用するスマートフォンアプリが登場している。中には便利なものも多いが、一歩間違えれば、ユーザーのプライベートな情報が筒抜けになりかねない。結果として、スマートフォンを活用したビジネスやそれを支える広告市場までもが、否定的な目で見られ、発展を阻害される恐れもある。 この議論が起こったきっかけの1つは、ミログが公開していた「AppLog」と「app.tv」というアプリだ。AppLogはSDKの形で提供され、これを自前のアプリに組み込むと、Android端末にインストールされているアプリの情報やその起動回数を収集し、同社のアプリケーション分析サービスに送信するようになっていた。開発者にはインスト
高木浩光@自宅の日記 - スパイウェア「app.tv」に係るミログ社の大嘘
■ スパイウェア「app.tv」に係るミログ社の大嘘 株式会社ミログが9月27日に提供開始した「AppLog」がスパイウェアまがいであるとして、朝日新聞10月5日朝刊に以下の記事が掲載された。 アプリ利用時間や回数丸わかり「アップログ」に批判, 朝日新聞2011年10月5日朝刊 AppLog: insidious spyware rolled out in Japan by Milog, Inc. *1, The Asahi Shimbun, 2011年10月5日 スマートフォンの利用者がどんなアプリ(ソフト)をいつ、何回使ったかを記録して好みを分析し、興味を引きそうな広告を配信する。そんなプログラムが現れ、インターネット上で批判を集めている。プログラムは電話帳など無関係に見えるアプリに組み込まれ、アプリ利用者への説明が十分ではないからだ。(略) 問題視されているのは、利用者に存在が見えに
ほいほいとFacebookのフレンド申請に応じているとアカウントをのっとられてしまうかもしれない
Facebookのアカウントは本名が基本ですので、フレンド申請される人の名前をみていて「以前このハンドル名で会った人かな?」と、確信がないまま承認してしまうことがたまにあります。 しかしそうしたことを繰り返していると、アカウントをのっとられてしまう可能性があることが The Blog Herald の記事で紹介されていました。その方法とは以下の通りです。決して悪用してほしくないですが、簡単にできてしまいますね…。 アカウントをのっとりたい相手にむかって3名分のダミーアカウントでフレンド申請を行う 相手がそれを承認したら、相手のアカウントに対してでたらめなパスワードでログインを数回試みる メールと携帯電話番号、そして秘密の質問による認証にもでたらめに答えて すると「3人の友人にあなたが本人であることを認証してもらってください」という表示があらわれ、3人を選択できます。乗っ取りを目的としている
ログイン ‹ デジタルマガジン — WordPress
Powered by WordPress ユーザー名またはメールアドレス パスワード ログイン状態を保存する ← デジタルマガジン へ移動 プライバシーポリシー 言語
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
