VSCodeのGitHubリポジトリに対する不正なPushアクセス
はじめにMicrosoftは脆弱性の診断行為をセーフハーバーにより許可しています。 本記事は、そのセーフハーバーを遵守した上で発見/報告した脆弱性を解説したものであり、無許可の脆弱性診断行為を推奨する事を意図したものではありません。 Microsoftが運営/提供するサービスに脆弱性を発見した場合は、Microsoft Bug Bounty Programへ報告してください。 要約VSCodeのIssue管理機能に脆弱性が存在し、不適切な正規表現、認証の欠如、コマンドインジェクションを組み合わせることによりVSCodeのGitHubリポジトリに対する不正な書き込みが可能だった。 発見のきっかけ電車に乗っている際にふと思い立ってmicrosoft/vscodeを眺めていた所、CI用のスクリプトが別のリポジトリ(microsoft/vscode-github-triage-actions)にま
海賊版サイト接続を抑止、スマホにフィルタリング機能標準搭載へ 総務省 - 毎日新聞
漫画や書籍などを無断でインターネットに掲載する違法な海賊版サイト対策として、総務省は25日、スマートフォンなどの端末に、サイトへの接続制限機能の搭載を目指すと発表した。ウイルス感染を防ぐセキュリティー対策ソフトに海賊版へのアクセス抑止機能を加え、閲覧しにくくする仕組み。近くサービスが始まる見通しだ。 出版業界は海賊版サイトのリストを作っている。これをセキュリティー対策事業者に提供して「フィルタリング」という機能に取り込んでもらい、利用者が該当するサイトに接続しようとすると通信を遮断したり警告を出したりする。標準搭載を目指すが、利用者の選択を尊重し、解除も可能となる方向だ。 この記事は有料記事です。 残り212文字(全文502文字)
クレジットカード情報漏洩の手口の動向 - YouTube
2018年6月に改正割賦販売法が施行され、クレジットカード情報の非保持化が法律で義務付けられました。しかし、それ以降もクレジットカード情報漏洩は減るどころかむしろ増加しています。 この動画ではECサイトからのクレジットカード情報漏洩手口の変遷について説明します。 また、今後の動画にて、各漏洩手口についてデモにて紹介する予定です。 1:45 SQLインジェクションによる漏洩(Type1) 2:13 バックドア経由でログファイルから漏洩(Type2) 2:51 バックドア経由でデータベースから漏洩(Type3) 3:33 割賦販売法改正とクレジットカード情報非保持化の動向 8:07 カード情報入力フォームを改ざんして入力中のカード情報を盗む(Type4) 8:57 カード情報入力フォームの画面遷移中に偽の入力フォームを挟む(Type5) 12:37 FAQ
__proto__の除去でNode.jsのプロトタイプ汚染を防げないケース - knqyf263's blog
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要は以下を見れば分かると思います。 jovi0608.hatenablog.com そもそもプロトタイプって何?という人は以下の記事が分かりやすいです。自分はお守りのように定期的に読んでます。 qiita.com 外部から送られてきたJSONなどをパースして変換し、そのオブジェクトをmergeやcloneする際に __proto__ を上書きすることで Object.prototype を汚染するというものです。このオブジェクトが書き換えられると、新しく作
Node.jsでプロトタイプ汚染後に任意コード実行まで繋げた事例 - knqyf263's blog
概要 前回Node.jsのプロトタイプ汚染を起こすためのバイパス方法について記事にしました。 knqyf263.hatenablog.com プロトタイプ汚染後に何が出来るのか、ということについては基本的にアプリケーション依存なのであまり話題になることは少ないです。 自分の知る限り一番多いのは if(user.isAdmin) { // do something } といったような重要なプロパティを書き換えることで権限昇格する例です。ただし、自分の理解では isAdmin が初期化されていないことが前提条件として必要です。 const obj1 = {}; const obj2 = JSON.parse('{"__proto__":{"isAdmin":true}}'); merge(obj1, obj2) var a = {} a.isAdmin // true var b = {isA
ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat
Firebase Authentication のパフォーマンスを計測してみた - odan blog
概要 Firebase Authentication はユーザー認証に関するサービスです。様々な認証方式をサポートしており、活用することで認証に関する実装を大きくサボることが可能になるものです。 一方で、パフォーマンスには難点があることが知られており、firebase auth 遅い - Twitter 検索 / Twitter を見ると、いくつかの人が遅さについて言及しています。 そこで、パフォーマンスについて測定したので、その結果をまとめます。 環境 実験を行った環境は以下の通りです。ネットワークによる影響を調べるために、2 つのリージョンで実験を行いました。 NodeJS v14.12.0 firebase 7.21.1 firebase-admin 9.2.0 EC2 インスタンス t2.micro リージョン ap-northeast-1/us-east-1 コード odan-s
Origin 解体新書
Web 技術解体新書 第一章 Origin 解体新書 Same Origin Policy とは Web において非常に重要なセキュリティモデルの 1 つだ fetch や XHR でリクエストを送信したときに、 CORS 違反で失敗したり、 Preflight という謎のリクエストが送信されたりして悩んだ経験があるかもしれない。これらは全て、ユーザを保護するために設けられた Same Origin Policy という制限を、ブラウザが遵守した結果なのだ。 本書はこの重要な Origin という概念について、そもそもなぜそんなものが必要なのかという背景や、それがユーザを保護するメカニズム、 JSONP はなぜ危険なのか、 Preflight が飛ぶ理由、 Service Worker など新しい API との連携、 Spectre によって発覚した脆弱性と CORP,COOP,COEP,
エンドツーエンド暗号化及び公共の安全に関するインターナショナル・ステートメント
令和2年10月11日、英国を始めとする関係国による暗号化に関するインターナショナル・ステートメントが発出され、我が国もこれに参加しました。同ステートメントの概要以下のとおりです(発出時の参加国:英国、米国、オーストラリア、ニュージーランド、カナダ、インド及び日本。その後、シンガポール、ジョージア、エクアドル及びヨルダンが追加的に参加(参加表明順)。)。 ステートメント参加国は、個人情報、プライバシー、知的財産、企業秘密、サイバー・セキュリティー、報道関係者や人権擁護者の保護において中心的な役割を果たす強固な暗号化を支持。しかし、暗号化技術は性的搾取を受けた児童のように社会の脆弱性の高い人々を含む公共の安全に対し、重大な挑戦にもなると指摘。 このため、参加国はテクノロジー企業に対し、政府と協力し、合理的かつ技術的に実行可能な方法に焦点を当て、以下の行動をとるよう呼びかけ。 (1)システム設計
Script Error — Javascript Solution with Sample Code | Sentry
The Problem Script error. “Script error” is what browsers send to the onerror callback when an error originates from a JavaScript file served from a different origin (different domain, port, or protocol). It’s painful because even though there’s an error occurring, you don’t know what the error is, nor from which code it’s originating. And that’s the whole purpose of window.onerror – getting insig
CORS for Developers
This Note provides historical and instructional context for developers working with Cross-Origin Resource Sharing (CORS) and the CORS-mode of Fetch. this whole document needs references and terms linkified 1. Introduction One of the defining characteristics of a Web application is the way in which resources can link and communicate with each other. Over time, as browsers have evolved and become mo
慶応SFC、不正アクセスの疑いで学内システム停止 秋学期スタートを1週間延期
慶応義塾大学は10月1日、湘南藤沢キャンパス(SFC)の学内システム「SFC-SFS」が外部から不正アクセスを受けた可能性があると発表した。システムを9月29日に停止し、現在は個人情報の流出の有無などを調査中という。 SFC-SFSは、講義の案内やオンライン授業の管理などに使うシステム。慶応大は「履修者の選抜や履修学生への連絡を行えず、授業の実施が困難」として、10月1日に予定していた秋学期の授業開始を、SFCのみ8日以降に延期した。対象は総合政策学部や環境情報学部など。入試への影響はないという。 慶応大ではコロナ禍の影響を受けて2020年4月からオンライン授業を始めており、秋学期も継続する予定だ。 【訂正:2020年10月2日午後1時10分更新 ※「慶應」の表記を変更し、同大のコメントに加筆しました】 関連記事 東映子会社のECサイトに不正アクセス カード情報1万件に流出の可能性 東映ビ
Meow Attack(ニャー攻撃)で稼働中WebアプリのAWS S3保存画像を全削除されてしまった… - あなたとあなたの話がしたい
突然S3の画像がすべて削除された 自作のRailsアプリの短歌投稿サイトUtakataをいつものように眺めていたら、一部のユーザーのアイコンが表示されていないことに気づいた。もしやと思ってブラウザのキャッシュをクリアしてみたら、すべてのユーザーのアイコン画像がリンク切れになっていた。 当初はライブラリの問題かと思ったけれど、念の為AWSにログインしてS3のバケットを見てみたら、なんと最近アップロードされた不審なindex.htmlを残してすべての画像ファイルが削除されていた。 明らかに第三者から悪意のある攻撃を受けている事態に頭が真っ白になりそうだったけれど、取り敢えずAWSアカウントのパスワードを変えてからindex.htmlのソースをチェックし、危険性がないことを確認してから開いてみた。 猫のキャラクター画像に謎の文字列が羅列され、meow(ニャー、猫の鳴き声)。 HTMLファイルのソ
OS X キーチェーンから環境変数をセットするツールを作りました - クックパッド開発者ブログ
こんにちは、技術部の福森 (@sora_h) です。 最近は環境変数に API トークンや credential といった認証情報を入れる事が増えてきています。 たとえば、AWS を利用するツールでは AWS_ACCESS_KEY_ID, AWS_SECRET_ACCESS_KEY といった環境変数にだいたいの場合で対応しています。 そのため、~/.bashrc や ~/.zshrc などシェルの設定に export を書いておき常に使える状態にしている方も多いと思いますが、 それって実は危険ではないでしょうか? 例えば、下記のようなリスクが考えられます: 意図せず情報が利用されて意図しない副作用が発生してしまう危険性 本番に変更を与えるつもりはなかったけれど事故を起こしてしまう等 悪意のあるスクリプトを実行した際に環境変数を送信などされてしまう危険性 事故や漏洩を防ぐためにも、筆者はかな
弊社に関する一部報道について - Kyash プレスリリース
一部報道において、ゆうちょ銀行口座にてKyashで不正引き出しがあったという報道がされておりますが、以下の通りご報告申し上げます。 ・金融機関:ゆうちょ銀行 ・対象件数:3件 ・金額:23万円 ・事象:口座保有者ではない第三者が、不正に取得したゆうちょ銀行の口座情報および個人情報をもとに、該当口座の登録および口座からKyashアカウントへ引き出しを実行。 ※現時点で弊社からお客様情報が漏洩したという事実は一切ございません。 本件は金融機関と協議のうえ、全額補償いたします。 また、現在、ゆうちょ銀行の新規登録、入金については一時停止しております。 なお、ご自身の銀行口座から身に覚えのない引き出し等があった場合には、以下の連絡先までご連絡いただきますようお願いいたします。 cs@kyash.co
「鍵穴に鍵を挿した時の音」から合鍵を作られる危険があると研究者が警告
正規の鍵を持たない第三者がロックされた鍵を開ける方法としては、特殊な器具を用いて行われるピッキングなどがあるほか、写真に写った鍵の形から3Dプリンターで合鍵を作ることも可能です。新たに、シンガポール国立大学の研究チームが、「鍵穴に鍵を挿した時の音」から合鍵を作ることが可能であると報告しました。 Listen to Your Key : Towards Acoustics-based Physical Key Inference https://dl.acm.org/doi/abs/10.1145/3376897.3377853 Researchers Can Duplicate Keys from the Sounds They Make in Locks https://kottke.org/20/08/researchers-can-duplicate-keys-from-the-so
【続報】当社アプリ(Android版)においてアプリの権限を求める件について | お知らせ | NEOBANK 住信SBIネット銀行
2020年8月18日 住信SBIネット銀行株式会社 【続報】当社アプリ(Android版)において アプリの権限を求める件について 当社アプリのAndroid版バージョン5.0において起動時にアプリの権限を求める件につきまして、多くのお客さまからご意見等をいただいておりますことを真摯に受け止め、当社にて再度検証をした結果、以下のとおりアプリを改修いたします。 「写真と動画の撮影」権限の削除(8月末から9月上旬削除予定) 現在、実装していない機能であるため、権限取得機能を削除いたします。 「電話の発信と管理」権限の削除・「デバイス内の写真やメディアへのアクセス」権限の削除(9月中旬から下旬削除予定) 上記権限は、スマート認証NEOの機能を実装するための権限でしたが、当社内において再検討および検証の結果、セキュリティレベルを維持したまま、権限を求めない方法に変更のうえ、上記スケジュールを目途に
当社アプリ(Android版)においてアプリの権限を求める件について | お知らせ | NEOBANK 住信SBIネット銀行
当社アプリのAndroid版バージョン5.0におきまして起動時にアプリの権限を求めることがございます。こちらは2020年7月31日にリリースを行いました「スマート認証NEO」の仕様によるものとなります。 いずれの権限も当社がお客さまの個人情報や他アプリの情報等を取得するものではございませんので、何とぞご理解賜りますようお願い申し上げます。 「スマート認証NEO」はサービスを利用するスマートフォンのみに保存された本人確認情報を利用して認証を行う方式で、従来のパスワードに変わる新しい認証技術(FIDO※)を用いています。認証に用いるデータがネットワークを経由せず端末のみに保管されているため、IDやパスワードなどの認証情報が漏洩するリスクが低く、より安心安全なお取引が可能となります。 また、当社「スマート認証NEO」ではFIDOの標準仕様に準拠して実装されており、お客さまのスマートフォンに保存さ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
CORSの原理を知って正しく使おう | YouTube
Engadget | Technology News & Reviews
