sudo airodump-ng -c 1 --bssid 00:11:22:33:44:55 -w aircap wlan1
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
Web サイトを常時 SSL 化する場合に、最低限知っておかなければならない知識や、注意点、実際の設定方法まで、ひと通りまとめてみました。メリットやデメリット、証明書の種別からリダイレクト設定などについても解説しています。 HTTPS をランキングシグナルに使用しますと Google が公式に発表したあたりから、Web サイトの SSL 対応、特に Google が推奨している Web サイトをすべて HTTPS で配信する、所謂 「常時 SSL 化」 についての話を聞いたり、実際にお客様から相談されたりするケースが増えてきました。 そこで、いい機会だしその辺に関する情報をまとめておこうかな~ と思って書いてみた、恒例の (?) 5分でわかるシリーズ。書き終わって見たところ絶対に 5分じゃ無理っていう文章量になっててどうしようかなぁとも思ったんですが、気にせず公開してみます。 常時 SSL
『Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース
ここ数日で急にGmailアカウントへの不正アクセス&スパムメール送信の踏み台とされる問題が多く起こっています。 ネットニュース等でも多く取り上げられていたので知ってはいたのですが「まぁパスワードもすっげぇ長いし問題無いだろう」と思って放置していました。 が!!不正アクセスされちった・・・ 正確には未遂なのですが、もうこういうことは心臓に悪くて嫌なのでセキュリティ強化のために2段階認証の設定を行ってみようかと思います。 また、それに合わせてiPhone側の設定も変更する必要があるみたいなので、そこもやってみようかと思います。 *完全に私個人のメモです。だらだら忘れないように書いているだけですので、ご了承ください。 不正アクセスされる Googleからメールが届き、何だろ?と思って開いてみると以下の内容が。 最近、他のユーザーがアプリケーションを使用して Google アカウント (私のアカウ
Krebsが自分のサイト(KrebsOnSecurity)に対して41,000超のWebサイトからDoSを受けていると報告しています。 このDoSはWoredpressのpingbackを悪用したものらしく、先日、Sucuriもpingback機能を悪用したDoSについて報告していました。 More Than 162,000 WordPress Sites Used for Distributed Denial of Service Attack WordPressの16万サイトが大規模攻撃の踏み台に、「Pingback」機能悪用 - ITmedia エンタープライズ pingbackを悪用したDoS方法 pingbackはハイパーリンクを設置したことを通知する仕組みですが、リモート投稿(XMLRPC)の機能(WordPressのxmlrpc.php)に対して次のPOSTを送信するとそのW
わずか数時間で16万2000ものWebサイトが、1つのWebサイトに対して集中攻撃を仕掛けていたという。 WordPressを使っている一般ユーザーのブログが大規模なサービス妨害(DDoS)攻撃に加担させれられているのが見つかったとして、セキュリティ企業のSucuriが3月10日のブログで問題を指摘した。この攻撃ではブログにリンクが張られたことを通知する「Pingback」という機能が悪用されていたという。 発端は、WordPressを使っている特定の人気サイトがDDoS攻撃を仕掛けられてダウンしたことだった。Sucuriが調べたところ、このWebサイトのサーバに対して毎秒数百件ものリクエストを送り付ける大規模攻撃が発生していたことが分かった。 同サイトを襲ったリクエストは全て、WordPressを使った正規サイトから来ていたことが判明。わずか数時間で16万2000ものWebサイトが、この
僕もExec-PHPネタに便乗してみました。笑 Exec-PHP愛好家さんの声をブログ等でみてみると、便利だからって声がちらほらあって、実はそこにかなり違和感を感じるんですよね。 メンテナンス性とかも考えると、ぜんぜん便利じゃない。。。 そんなわけで、Exec-PHPが便利に感じてる人は、ショートコードをマスターするとセキュリティとかメンテナンス性とか改善されるので、ぜひ挑戦しましょう。 ショートコードプラグイン作成の手順 大体の手順は以下のような感じ。 実際には1から3までは頭のなかですることなので、大した手順ではないです。Exec-PHPから移行するなら10分ぐらいかな??? プラグインの名前を決める プラグインのファイル名 ショートコードの名前を決める プラグインのファイルを作る 実際にコーディング 作成したファイルを .zip で圧縮して本番環境にアップロード この記事で紹介する方
こんにちわ!暑さでまゆげが常に潤っているAスケです! 昨今から火種がついた感のExec-PHPネタ、タイトルでもう既にバッサリやった感はありますがとても大事なことなのでこちらでも書き残しておこうと思います! なぜexec-PHPがもてるのか? WordPressを使ってる僕が気になったある記事のこと Exec-PHPを避ける理由 Exec-PHP愛好家向けショートコードプラグインの作り方 Re: WordPressで更新・お知らせ履歴を別ページで作る方法 Exec-PHPが好きな人と嫌いな人で、なぜ意見が分かれてしまうんだろう? 結論として「危ない」 とても便利という意見もあるけれど、この便利さには恐ろしいリスクが表裏一体。リスクマネジメントを考えると、エディタ内でeval()を使えるようにしてしまうのは、とても危ういものなのです。クライアントからの案件で取扱ってしまうなんて、考えられない
WordPressブロガー界隈でちょっと物議を醸している問題があります。ユーザーの権限のあり方を見直すいい機会だったのでメモ書きを残します。 この問題は、とある方が「制作を代行したWordPressを使ったサイトでExec-PHPを使った。」と自身のブログに書いたことから始まり、「Exec-PHPをインストールするのはいいのか」という問題となりました。 Exec-PHPは使わないほうがいい? Exec-PHPとは記事の中でPHPを記述、実行できるようにするWordPressのプラグインです。 ただし、PHPを記述できるのは管理者権限を持ったユーザーが書いた記事やテキストウィジェットに限られています。全ユーザーがPHPが使えるようになるわけではありません。 管理者権限がないと使えないので、そもそも記事を書くユーザーは名前の通り「編集者」や「寄稿者」のユーザーでやれば、もし記事中にPHPの開始
(2013/08/29)追記 ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。 追記終わり 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF(ウェブアプリケーションファイアウォール)を導入いたしました ロリポップ!レンタルサーバーはWAF標準装備です。 http://lolipop.jp/waf/より引用 これは大変良いことですね。インターネット上のすべてのサイトが攻撃の対象ですし、被害も増えている印象がありま
シンボリックリンク攻撃を防ぐための Apache HTTPD モジュールの解説はこちら: Apache HTTPD: mod_allowfileowner https://fumiyas.github.io/apache/mod-allowfileowner.html 背景 ロリポップの共有 Web サービス下のサイト改ざん事件で、 攻撃手法の一つとして 「他ユーザー所有のファイルへのシンボリックリンクを自分のコンテンツディレクトリ下に作り、Apache HTTPD 経由でアクセスする」手順が利用されたらしい。 参考: http://blog.tokumaru.org/2013/09/symlink-attack.html 当社サービス「ロリポップ!レンタルサーバー」ユーザーサイトへの第三者による大規模攻撃について http://lolipop.jp/info/news/4149/#090
既に報道されているように、ロリポップ!レンタルサーバーに対する改ざん攻撃により、被害を受けたユーザー数は8428件にのぼるということです。ここまで影響が大きくなった原因は、報道によると、(1)「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされた、(2)パーミッション設定の不備を悪用されて被害が拡大した、ということのようです。 29日夜の時点では、攻撃者の改ざん手法について「WordPressのプラグインやテーマの脆弱性を利用」し、不正なファイルがアップロードされて「wp-config.phpの」の設定情報が抜き出されたと説明していたが、30日午後7時過ぎの説明で、この脆弱性が侵入経路となって同社のパーミッション設定の不備を悪用されたことが原因だったことを明らかにした。 「ロリポップ」のWordPressサイト改ざん被害、原因はパーミッション設定不備
あなたも私たちと同類なら、Gmailの檻から逃れられなくなっているはず。せめて、下のガイドを読んでGmailを安全に使ってください。Q&Aサイト「Stack Exchange」のウェブアプリ専門家が、絶対やっておきべきGmailのセキュリティ対策を教えてくれました。 私自身、Googleアカウントを乗っ取られた人から数々の恐ろしい話を聞きました。とくにGmailを乗っ取られると悲惨です。どうすれば最悪の事態を避けられるでしょうか? アカウントを奪われる前にどのような対策をとればいいでしょうか? 以下、Al E.さんの回答から。 Googleには、アカウントを乗っ取られないための機能がいくつかあります。しかし、使うには事前に設定が必要です。 アカウント復旧オプションを設定する 携帯電話番号の登録:携帯電話番号を登録しておけば、パスワードを忘れてしまったり、アカウントの不正使用の疑いがあったと
Apacheの設定で Order deny,allowとか Satisfy anyとか、なんだか意味わからん人のために。僕はずっとわかってなかった。 基本 Apacheのアクセス制御には、 ホストによる制御 (Order,Allow,Deny) ユーザ認証による制御 (Auth*, Require) の2通りがある。 Satisfyは、2通りあるアクセス制御の両方を満たす必要があるかどうかを決定する。デフォルトはSatisfy all。Satisfy anyなら、どちらか片方満たせばよい。 Order http://httpd.apache.org/docs/2.2/mod/mod_authz_host.html#order Order deny,allowは、全てのホストからのアクセスを許可する。 Order allow,denyは、全てのホストからのアクセスを拒否する。 Order d
by Vernon Swanepoel ウェブサイトのユーザーがどれぐらいページを見てくれているのか、訪問頻度はどれぐらいなのかといった情報を追跡するのにはクッキー(Cookie)やJavaScriptなどが使用されますが、そうやって追跡されるのがイヤだということでCookieを受け入れないように設定したり、JavaScriptをオフにしているという人もいるはず。しかし、それでもユーザーを個別に追跡する方法があります。 Lucb1e.com :: Cookieless Cookies http://lucb1e.com/rp/cookielesscookies/ これはオランダ在住でコード・セキュリティ・ネットワークを愛しているというlucb1eさんが明らかにしたもの。手法としては新しいものではなく、多数のサイトで使われているにもかかわらず、そのことを認識している人はほとんどいないというも
トレンドマイクロ社のセキュリティブログでWordPressなどのCMSの脆弱性を悪用するスパムボット「Stealrat」に関するエントリが公開されています。この記事によると、2013年4月~7月末で約19万5千ものサイトが「Stealrat」に感染し改ざんされたとのこと。 CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには? | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog) このスパムボットの運用状況を監視する過程で、弊社は、約19万5千もの改ざんされたドメインおよび IPアドレスを特定しました(期間:2013年4月~7月末)。これら改ざんサイトの共通点として、このスパムボットを操作するサイバー犯罪者は、脆弱性を抱える「コンテンツ管理システム(CMS)」を使用する Webサイトを悪用し
一般サイトやブログの改ざん騒動は知ってますか? 2009年以降、普通の一般の企業や個人が運営してるホームページが第三者に改ざんされ、ページ内に不正なコードが埋め込まれることにより、コンピュータウイルスをばら撒いてしまうトラブルが日常的に起こってます。 サイトの運営者のパソコンがウイルスに感染しアカウント情報(パスワード)を盗まれてしまったり、サーバー上に置いてあるWebアプリケーションの脆弱性(欠陥)から侵入を許してしまったのが原因です。 ウイルス攻撃者は、たくさんのユーザーにウイルスを送り込むため、ウイルスとは無縁で絶対安全だと思われてる正規サイトを『ウイルスサイト』へと変貌させる手口を当たり前のように行なってます。 下のように、メディアでも大きく取り上げられました事件もあります。 (;´Д`) ガンブラー改ざん騒動 (2009年) JR東日本 ローソン 本田技研工業 京王電鉄 ハウス食
企業や一般のウェブサイトを閲覧するだけでウイルスなどに感染してしまう「ドライブ・バイ・ダウンロード」が問題になっている。どんな手法なのか、防止するにはどうすればいいかをまとめよう。(テクニカルライター・三上洋) 正規のサイトを見ただけで感染 IPA・情報処理推進機構が「ウェブサイトを閲覧しただけでウイルスに感染させられる"ドライブ・バイ・ダウンロード"攻撃に注意しましょう!」という注意喚起を出している。ドライブ・バイ・ダウンロードとは聞きなれない言葉だが、2010年のセキュリティー関連事件を象徴するキーワードだ。 ドライブ・バイ・ダウンロードとは、パソコン利用者が気づかないうちにマルウエア(不正なプログラム)などを勝手にダウンロードさせられる攻撃のこと。特に多いのが正常なはずのウェブサイトを見ただけで、自動的にウイルスなどに感染してしまうという事例だ。たとえば2009年末から10年にか
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く