あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント
あなたの会社でも起こりかねない? “安易な標的型攻撃メール訓練”によるトラブルを避けるポイント(1/4 ページ) ITプラットフォームやネットワーク機器の脆弱性を悪用して侵入するランサムウェアの被害が話題だが、一方で、“人”の脆弱性を突く手法も後を絶たない。典型例が、実在する人物をかたった偽メールだ。 個人向けには金融機関やECサイトをかたったフィッシングメールが横行しているし、ビジネスの場でも、実在する取引先などを装ってやりとりし、多額の金銭を巻き上げる「BEC」、そして悪意あるソフトウェアをインストールさせてリモートから操作し、機密情報などを盗み取る「標的型攻撃」のリスクがある。 こうした手口には、明らかに不自然な日本語で書かれた稚拙なものから、実在する人物の名前を使い、過去のメールのやりとりをなぞって送られてくる巧妙なものまで、さまざまなパターンがある。メールのフィルタリングや「SP
xss 脆弱性のあるサイトを作ってセッションハイジャックを試す - Qiita
はじめに xss については何となく理解したけど、結局それがどう攻撃に使われるのかが良く分からなかったので、セッションハイジャックと言うものを試してみた。 やりたいこと 攻撃者の立場に立ち、被害者に対して攻撃用 URL を送りつけ、被害者のセッション ID を取得する。 脆弱性のあるサイトを作る まずは被害者がログインできるサイトを作る。 javascript + express で作ったけど、あんまり使ったことないフレームワークだったから認証の仕組みを入れるのに時間がかかった。 といっても認証の方法は「どんなユーザー名でもパスワードでもログインできる」という感じ。 (ログイン状態さえ作り出せれば良いため) ↓ソースコード https://github.com/ahyaemon/express-training ↓ログインページ ↓ログイン後ホーム クッキーにセッション ID らしきものが
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
