不正広告に汚染された正規サイトが攻撃誘導経路に、トレンドマイクロが報告書公開
不正広告に汚染された正規サイトが攻撃誘導経路に、トレンドマイクロが報告書公開:盗用コンテンツを元にした広告を攻撃者が自ら出稿? トレンドマイクロが2015年11月19日に公開した「2015年第3四半期セキュリティラウンドアップ」報告書によると、「正規サイトの改ざん」もしくは「正規サイト上の不正広告」を経由した攻撃が活発化しているという。 今のようにサイバー攻撃が横行する以前、「不用意に怪しいWebサイトにアクセスしない」ことがセキュリティの心得となっていた時期があった。しかし現在、それはもはや十分な対策とは言えないかもしれない。怪しいWebサイトではなく、改ざんされたり、不正な広告を表示したりする「正規のWebサイト」が、マルウエア感染の主な誘導経路になっているからだ。 トレンドマイクロが2015年11月19日に公開した「2015年第3四半期セキュリティラウンドアップ」では、このように「汚
スマホ暗証番号を「8376」にした時から運命は変わる!
スマホ暗証番号を「8376」にした時から運命は変わる!スマホアンショウバンゴウヲハチサンナナロクニシタトキカラウンメイハカワル フジテレビ系『突然ですが占ってもいいですか?』で話題沸騰の琉球風水式“スマホ占い”!! あなたのケータイ&スマホ番号「下4ケタ」だけで、恋もお金も仕事も「過去」「現在」が丸わかり!! さらに自分にぴったりの「守護ナンバー」を暗証番号にするだけで、あなたの「未来」大開運!! 「あなたが何気なく使っている、選んでいるひとつひとつの数字には意味がある!」 「数字の持つ“パワー”と“意味”を正しく知って使うだけで運命は変えられる!」 5万人以上の悩める人々を幸せに導いてきた琉球風水志・シウマが提唱する数字を使った開運術“数意学”を わかりやすく解説。面倒な模様替えや掃除は必要なし! 暗証番号やログイン番号、SNSのアカウント……等々、 普段スマホやケータイで何気なく使って
CODE BLUE 2014 : バグハンターの愉しみ by キヌガワマサト Masato Kinugawa
This document discusses Yarn and its advantages over npm. It notes that Yarn uses yarn.lock files instead of npm-shrinkwrap.json files to lock down dependency versions. Yarn is also described as being faster, able to work offline by caching dependencies, and potentially more secure than npm with features like flat mode and module folders. The document suggests Yarn may handle dependencies and devD
バグハンターの哀しみ
MicrosoftのWebブラウザ、Internet Explorer/EdgeにはXSS攻撃からユーザーを保護するためのXSSフィルターという機能が搭載されている。XSSフィルターは、リクエストにXSS攻撃らしき文字列があり、ページ内にそれに対応する文字列が出力されている場合に、ページ内の対応する文字列の一部を書き換えることによりユーザーを保護する。この書き換え動作は安全に行われているのだろうか?答えはNoだ。今回私は、XSS脆弱性のないありふれたページで、XSSフィルターの動作を利用することで、保護するどころかXSS脆弱性を作り出すことができる手法を発見した。本講演では、XSSフィルターを利用したXSS攻撃の可能性について技術的な詳細を述べるとともに、サイト管理者はこのXSSフィルターの悪夢とどう向き合うべきかについて提案する。
Masato Kinugawa Security Blog: U+2028/2029とDOM based XSS
ECMAScriptの仕様では、0x0A/0x0D以外にU+2028/2029の文字も改行とすることが明記されています。 これはあまり知られていないように思います。 以下はアラートを出します。 <script> //[U+2028]alert(1) </script> 知られていないだけでなく、知っていたとしても、スクリプトで文字列を処理するときに、U+2028/2029まで考慮する開発者がどれだけいるのかという話です。 実際、U+2028/2029を放り込むと文字列リテラル内にその文字が生のまま配置され、エラーが出るページは本当にたくさんあります。まあ、エラーがでるだけなら、大抵の場合大きな問題にはなりません。 ところが、U+2028/2029によってXSSが引き起こされてしまう場合というのを最近実際に見ました。 Googleのサービスで見つけた2つのケースを取り上げたいと思います。 ケ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
