IPA、無償の脆弱性体験学習ツール「AppGoat」の最新版v3.0を公開
情報セキュリティを蔑ろにする風土がしみついた日本企業は、一回情報漏えいでニュースに載ればいいよ
2016 - 07 - 19 情報セキュリティを蔑ろにする日本企業は、一回情報漏えいでYahoo!ニュースに載ればいいんじゃないかな テクノロジー テクノロジー-トレンド 管理人によるおすすめピックアップ 何気ない「いいね」が誰かの自信を支えている あなたの色めがねは何色?認知バイアスの功罪と利用法 はてブ数を示す「XX users」の正体 これが効かなかったら嘘。眠気覚ましのあわせ技5選 全ての仕事には意味がある!の本当の意味 このくらいシェアされています LINE こんにちは、NAEです。 過去にお世話になったクライアント(日本企業)の担当者が退職することになったそうです。 彼女はアメリカ人の女性で、USのオフィスで働いていました。彼女の役割はグローバル全体の情報セキュリティを取り仕切る責任者。言わばCISOでした。 ずいぶんと前の話になりますが、ぼくは1年間にわたって、全社セキュリテ
えっ徳丸先生が2人いる!? 真冬のセキュリティラップ対決で五島夕夏を振り向かせるのはどっちだ!! | NO MORE 情報漏えい
お久しぶりです、五島夕夏です! 以前にセキュリティのプロである徳丸浩先生の一日に密着し、たくさんのセキュリティテクニックを勉強してきました。 今回、またセキュリティに関するお話を聞けるということで、『NO MORE 情報漏えい』を運営するMOTEXさんのオフィスにやってきました! それでは、さっそく徳丸先生のもとへ行きましょう! 徳丸先生、おじゃましまーす! 徳丸先生 「やあ夕夏さん、こんにちは。セキュリティのプロ、徳丸です。今日も変わらず綺麗だね」 徳丸 浩(とくまる ひろし)先生HASHコンサルティング株式会社・代表取締役。セキュリティのプロ。システムの脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動も行うすごい人。 ゆうか 「先生、お久しぶりです。先日はいろいろと教えていただいてありがとうございました。今日もまたセキュリティについてたくさん
共通脆弱性識別子CVE概説 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
CVE(Common Vulnerabilities and Exposures) ~一つ一つの脆弱性を識別するための共通の識別子~ >> ENGLISH 共通脆弱性識別子CVE(Common Vulnerabilities and Exposures)(*1)は、個別製品中の脆弱性を対象として、米国政府の支援を受けた非営利団体のMITRE社(*2)が採番している識別子です。脆弱性検査ツールや脆弱性対策情報提供サービスの多くがCVEを利用しています。 個別製品中の脆弱性に一意の識別番号「CVE識別番号(CVE-ID)」を付与することにより、組織Aの発行する脆弱性対策情報と、組織Xの発行する脆弱性対策情報とが同じ脆弱性に関する対策情報であることを判断したり、対策情報同士の相互参照や関連付けに利用したりできます。 CVEは、1999年1月20日~22日に、アメリカのパーデュ大学で開催された2n
Wikipediaを書き換えてセキュリティを突破し舞台裏まで到達した天才が登場
by Johann Dreo Wikipediaは誰でも編集可能なオンラインの百科事典ですが、その運営方法を悪用して内容を書き換える行為がたびたび行われています。オーストラリアでは、好きなアーティストのWikipediaを書き換えることでライブの警備をすり抜けて、舞台裏に侵入した人物が現れています。 Peking Duk fan infiltrates backstage by fooling security guard with Wikipedia edit | Music | The Guardian http://www.theguardian.com/technology/2015/dec/03/peking-duk-fan-infiltrates-backstage-by-fooling-security-guard-with-wikipedia-edit som1 edite
「銀行から1万4000件の情報流出」をシステム屋目線で妄想したい
http://anond.hatelabo.jp/20151201162600 上の増田を読んでて、SEやっている人間としては気になったので妄想してみる。 前提そもそも何が漏れたのさ? WHAT出会い系サイトに銀行振り込みした人の電話番号・振込日時・金額。詳細は上記の増田参照。 誰の情報が流出したの? WHOES出会い系サイト運営者らの口座の情報。 ここの口座の入出金明細の中に、出会い系サイト利用者から業者への振り込み履歴があり、そこに利用者の電話番号が記載されていた。 つまり、盗まれたのは出会い系サイトの顧客情報(出会い系サイト利用者の個人情報)で、 被害にあったのは出会い系サイト運営者の口座ということになる。 どこから漏れたのよ? WHERE「残高照会ダイヤル」から。 これは、銀行の電話の自動応答システムの1つで、 口座番号とかを入力して、残高や入出金明細を音声で照会できるという、いわ
不正広告に汚染された正規サイトが攻撃誘導経路に、トレンドマイクロが報告書公開
不正広告に汚染された正規サイトが攻撃誘導経路に、トレンドマイクロが報告書公開:盗用コンテンツを元にした広告を攻撃者が自ら出稿? トレンドマイクロが2015年11月19日に公開した「2015年第3四半期セキュリティラウンドアップ」報告書によると、「正規サイトの改ざん」もしくは「正規サイト上の不正広告」を経由した攻撃が活発化しているという。 今のようにサイバー攻撃が横行する以前、「不用意に怪しいWebサイトにアクセスしない」ことがセキュリティの心得となっていた時期があった。しかし現在、それはもはや十分な対策とは言えないかもしれない。怪しいWebサイトではなく、改ざんされたり、不正な広告を表示したりする「正規のWebサイト」が、マルウエア感染の主な誘導経路になっているからだ。 トレンドマイクロが2015年11月19日に公開した「2015年第3四半期セキュリティラウンドアップ」では、このように「汚
スマホ暗証番号を「8376」にした時から運命は変わる!
スマホ暗証番号を「8376」にした時から運命は変わる!スマホアンショウバンゴウヲハチサンナナロクニシタトキカラウンメイハカワル フジテレビ系『突然ですが占ってもいいですか?』で話題沸騰の琉球風水式“スマホ占い”!! あなたのケータイ&スマホ番号「下4ケタ」だけで、恋もお金も仕事も「過去」「現在」が丸わかり!! さらに自分にぴったりの「守護ナンバー」を暗証番号にするだけで、あなたの「未来」大開運!! 「あなたが何気なく使っている、選んでいるひとつひとつの数字には意味がある!」 「数字の持つ“パワー”と“意味”を正しく知って使うだけで運命は変えられる!」 5万人以上の悩める人々を幸せに導いてきた琉球風水志・シウマが提唱する数字を使った開運術“数意学”を わかりやすく解説。面倒な模様替えや掃除は必要なし! 暗証番号やログイン番号、SNSのアカウント……等々、 普段スマホやケータイで何気なく使って
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
近年、セキュリティバグの報告に対し報奨金を出す制度を設ける企業が増えてきている。私はこのバグ報奨金プログラムを介して多額の報奨金を貰っ てきた。現在は個人としてほぼ報奨金のみで生計を立てており、プロのバグハンターと言ってもいいだろう。世界でも珍しいプロのバグハンターになった 経緯、積極的参加者視点からみた制度の実際、どのようにして脆弱性を発見しているかなど、テクニカルな話題も交えながら紹介する。Read less
バグハンターの哀しみ
Mercari JPのモノリスサービスをKubernetesに移行した話 PHP Conference 2022 9/24Shin Ohno
Masato Kinugawa Security Blog: U+2028/2029とDOM based XSS
ECMAScriptの仕様では、0x0A/0x0D以外にU+2028/2029の文字も改行とすることが明記されています。 これはあまり知られていないように思います。 以下はアラートを出します。 <script> //[U+2028]alert(1) </script> 知られていないだけでなく、知っていたとしても、スクリプトで文字列を処理するときに、U+2028/2029まで考慮する開発者がどれだけいるのかという話です。 実際、U+2028/2029を放り込むと文字列リテラル内にその文字が生のまま配置され、エラーが出るページは本当にたくさんあります。まあ、エラーがでるだけなら、大抵の場合大きな問題にはなりません。 ところが、U+2028/2029によってXSSが引き起こされてしまう場合というのを最近実際に見ました。 Googleのサービスで見つけた2つのケースを取り上げたいと思います。 ケ
プレスリリース | 「攻殻機動隊 REALIZE PROJECT × SECCON CTF for GIRLS」専用可視化エンジン“AMATERAS零”を開発 | NICT-情報通信研究機構
NICTサイバーセキュリティ研究室は、「攻殻機動隊 REALIZE PROJECT × SECCON CTF for GIRLS」専用可視化エンジンAMATERAS零(アマテラス・ゼロ)を開発しました。本技術は、サイバー模擬攻防戦CTF(Capture The Flag)をリアルタイムに視覚化するものであり、2015年11月7日(土)に開催される女性限定のCTF大会で実稼働いたします。セキュリティ技術の向上やサイバー攻撃の対処能力の強化を目的としたCTFを、攻殻機動隊という世界的に著名なSF作品をモチーフに視覚化することで、サイバーセキュリティへの関心を一層高め、さらに、セキュリティ人材の発掘・育成に貢献することが期待できます。
「SELinuxのせいで動かない」撲滅ガイド - Qiita
はじめに 注意事項 この記事は何らかの理由でSELinuxを利用しなければならない時に発生する、意図せずプログラムが動かなくなる問題を解決するための手段を書いたものである。 作業対象のOSは作業中いつでも停止可能であるものとする。SELinuxの設定作業中に停止不可能とか無茶なので。 また、すべての操作はrootユーザで行っている。SELinuxは「管理者による強制的なアクセス制御」なのでrootユーザが操作しなければならない。 内容は主にCentOS 7で確認し、CentOS 6やFedora 22も一部確認に使用している。 SELinuxの管理で使用する各種のコマンドは初期からインストールされているものは少なく、またコマンド名がそれを含むrpmパッケージ名と一致しないものが多い。 このような場合はyum install *bin/<コマンド名>でインストールすることができる。Fedor
五島夕夏がセキュリティのプロ 徳丸浩先生に一日密着!今すぐ使えるテクニックを盗んできました | NO MORE 情報漏えい
こんにちは、五島夕夏です! 普段はフリーランスとしてイラストレーターやモデルのお仕事をしている私ですが、今日はNO MORE 情報漏えいプロジェクトの一員として、一日インタビュアーに挑戦します! 突然ですが皆さんは、毎日の生活の中で「セキュリティ」についてどれくらい気をつけていることがありますか? 私もTwitterやFacebookをよく利用しますし、お仕事もメールで受けています。PCを使う機会も多いので情報の管理には気をつけなきゃと思っているのですが、「具体的に何をどう気をつければいいのかわからない!」という人は私だけではないはずです。 ということで今回は、セキュリティのプロフェッショナルと呼ばれる徳丸 浩(とくまる ひろし)先生に密着取材! プロがどんなところに気をつけているのか、私たちの生活にも活かせそうなテクニックを盗んできたいと思います! 徳丸 浩(とくまる ひろし)先生 HA
偶然にも500万個のSSH公開鍵を手に入れた俺たちは - slideshare
DeClang 誕生!Clang ベースのハッキング対策コンパイラ【DeNA TechCon 2020 ライブ配信】DeNA
SQLインジェクション対策もれの責任を開発会社に問う判決
ポイントは下記の通りです。 X社(原告)はセキュリティ対策について特に指示はしていなかった 損害賠償について個別契約に定める契約金額の範囲内とする損害賠償責任制限があった 当初システムはカード決済を外部委託し直接カード情報を扱っていなかった X社が「カード会社毎の決済金額を知りたい」とY社に依頼をして、その結果カード情報をいったんDBに保存する仕様となった(2010年1月29日) X社からの問い合わせに対してY社は、カード情報を保持しない方式に変更することが可能で、そのほうが安全となり、費用は20万円程度である旨を伝えた(2010年9月27日)が、その後X社は改良の指示をしなかった 以下の脆弱性その他が認められた システム管理機能のIDとパスワードが admin/password であった 個人情報が記載されたお問い合わせログファイルの閲覧が可能(ディレクトリリスティングと意図しないファイ
【注意】こんなにあった!あなたの自宅が特定されるツイートまとめ
みなさまこんにちは、ネットきのこと申します。 この季節、毎日のようにゲリラ豪雨が降りますよね。 そんな中こんなツイートが話題になりました。 「ゲリラ豪雨」とか呟くと、わりとピンポイントで住んでる範囲が特定されやすいので、特に女性の方は注意してくださいね。 http://t.co/6qxslwJOXa — 中迎聡(エターナル18歳) (@nakamukae) July 7, 2013 「ゲリラ豪雨」とか呟くと、わりとピンポイントで住んでる範囲が特定されやすいので、特に女性の方は注意してくださいね。 はい、その通りです。 東京アメッシュというほぼリアルタイムで降雨情報を公開しているサイトがあります。 関東民にはお馴染みなサイトですね。 雨の量に応じて色が濃くなっていきます。 具体的に掘り下げてみましょう。 こんなツイート、よくありますよね。 アウトーーーー!!!! 例えば下の画像の場合、武蔵村
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
開発者向け画像処理ツール「ImageMagick」に脆弱性 
スマートフォンゲームのチート事情
サイボウズ 「共に生きる」をテーマに働き方議論 クラウド伸長、機能拡充進める | BCN Bizline
