🌴C🌴 @chico_202109 そー言えばファミクラ横のセブンで中学生ぐらいの2人が満タン笑顔で 『チケ申し込みの時に申し込み減らすためにFCのログインページに適当な番号をいれてわざと3回パスワードを間違えてロックかけるんだ(笑)』 「わかるー!!うちもよくやる(爆笑)」 と言ってて恐ろしくなったわ😱 皆気をつけて… 2019-02-04 18:45:26
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
<<< JPCERT/CC WEEKLY REPORT 2018-03-14 >>> ■03/04(日)〜03/10(土) のセキュリティ関連情報 目 次 【1】複数の Cisco 製品に脆弱性 【2】Google Chrome に複数の脆弱性 【3】CG-WGR1200 に複数の脆弱性 【4】WordPress 用プラグイン WP All Import にクロスサイトスクリプティングの脆弱性 【5】JTrim および WinShot のインストーラに DLL 読み込みに関する脆弱性 【今週のひとくちメモ】フィッシング対策協議会が「フィッシングサイトの早期検知に関する研究」を公開 ※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。 https://www.jpcert.or.jp/wr/ ※PGP署名付きテキスト版および XML 版は以下のページをご覧ください。 htt
突如メールが・・・ セキュリティ案件 memcached のアクセス制御に関する注意喚起 https://www.jpcert.or.jp/at/2018/at180009.html memcahcedの設定をデフォルトで使用していたため、リッスンするIPに制限がかかっておらず外部からアクセス可能になってたみたい。 なぜ外部からアクセス可能だとDDoS攻撃発信の踏み台になるかはこちらが詳しいです。(2018/03/02追記) 簡単にいうと下記。 UDP通信を使用している場合送信元偽装が簡単 送信元をDDoS攻撃したいIPに偽装して大量のデータをGETする操作を実施 偽装したIPに大量のトラフィックが集中する 参考(2018/03/02追記) memcached を悪用したDDoS攻撃についてまとめてみた http://d.hatena.ne.jp/Kango/20180301/151993
WordPressサイトが書き換えられまくり、SHA-1が衝突した2月:セキュリティクラスタ まとめのまとめ 2017年2月版(1/3 ページ) 2017年2月は「サイバーセキュリティ月間」の始まりということで、セキュリティに関するイベントが各所で開催されました。それに併せて、会場内からもたくさんのツイートが行われていました。 関連リンク:サイバーセキュリティ月間(内閣サイバーセキュリティセンター) 一方で2月上旬にはメジャーなCMS「WordPress」に簡単に記事を書き換え可能な脆弱(ぜいじゃく)性が見つかり、イベントどころではなく対応に追われた人や、脆弱性を追試してみた人も多くいたようです。 また23日にはハッシュ関数「SHA-1」で衝突を発生させられるということがGoogleにより発表され、「いよいよSHA-1も終わりを迎えるのか」と嘆かれながらも、「SHA-1衝突大喜利」が開催さ
If you were looking for MSDN or TechNet blogs, please know that MSDN and TechNet blog sites have been retired, and blog content has been migrated and archived here. How to use this site Archived blogs are grouped alphabetically by the initial letter of the blog name. Select the initial letter from the TOC to see the full list of the blogs. You can also type the name of the blog or the title of the
ブラウザのテキストボックスに文字を入力すると、登録されている情報をナビゲートしたり自動入力したりできる「Autofill(オートフィル)」機能は、煩わしい入力作業を大幅に省略できるので非常に便利です。しかし、オートフィル機能をONにしておくと、極めて単純な手法を使って簡単に住所や電話番号などの個人情報をぶっこ抜くフィッシング詐欺の餌食になってしまう危険性が指摘されています。 GitHub - anttiviljami/browser-autofill-phishing: A simple demo of phishing by abusing the browser autofill feature https://github.com/anttiviljami/browser-autofill-phishing オートフィル機能の危険性を指摘するViljami Kuosmanen氏は、G
2016年11月3日にPHPカンファレンス2016が開催されました。本稿では、ゲストスピーカーである徳丸浩さんのセッション「安全なPHPアプリケーションの作り方2016」についてレポートします。 最近のPHP関連の脆弱性 徳丸さんはセッションを通して、PHP関連の脆弱性の話を取り上げていきました。 Joomla!の事例 Joomla!の権限昇格脆弱性についての話がありました。次の2つの問題を含んでいました。 ユーザ登録時に管理者権限を設定されてしまうという問題 ユーザ登録を許可していない設定にしてもユーザ登録が行えてしまうという問題 徳丸さんはこれらのデモを行い、攻撃の流れを見せました。 原因としては登録のメソッドが2つ存在し、そのうちの一方がユーザ登録許可の設定を確認していないことが問題となっていることを指摘しました。対策としては、開発側は該当メソッドの削除、利用者側はバージョンアップを
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(CVE-2016-2848) - フルリゾルバー(キャッシュDNSサーバー)/権威DNSサーバーの双方が対象、 対象となるディストリビューション・バージョンに要注意 - 株式会社日本レジストリサービス(JPRS) 初版作成 2016/10/21(Fri) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図
経済産業省産業構造審議会の下部組織である「試験ワーキンググループ」は2016年4月27日、2017年度から新たに実施されるサイバーセキュリティ人材の国家資格「情報処理安全確保支援士」の具体的な制度設計について、「中間取りまとめ」を発表した(図)。 支援士について、根拠法はすでに成立している(関連記事:改正サイバー法が成立、国家資格「情報処理安全確保支援士」を新設)。「中間取りまとめ」によって、制度の全体像も事実上固まった。制度を所管する経済産業省と、制度の実施主体となる情報処理推進機構(IPA)は今後、細部の規程策定や実施体制の整備を進める。 セスペ試験は廃止 「中間取りまとめ」によれば、「情報処理安全確保支援士試験」は、現行の情報処理技術者試験の区分である「情報セキュリティスペシャリスト試験(SC)」を引き継ぐ形で実施する。試験の内容は、現行のSCのものをベースとする。2017年春以降、
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として公開しました。 本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。 下記より「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」についてのレポート(PDF版)をダウンロードしてご利用いただけます。 1.被害事例および脆弱性検査ツールの活用 2.ウェブアプリケーション脆弱性検査ツールの概要 3.脆弱性検査ツールのタイプの定義とツールの紹介 4.脆弱性検査ツールの使用例 5.評価・まとめ 6.おわりに 7.参考
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く