websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
DellのPCに不審なルート証明書、LenovoのSuperfishと同じ問題か
米DellのノートPCに不審なルート証明書がプリインストールされているのを見付けたというユーザーの報告が、11月22日ごろにかけて相次いだ。Lenovoのコンピュータで発覚した「Superfish」と同様に、偽の証明書発行に利用され、HTTPS通信に割り込む攻撃に悪用される恐れも指摘されている。 問題になっているのは、Dellのマシンにプリインストールされている自己署名ルート証明書の「eDellRoot」。同社の「Inspiron 5000」を購入したというジョエル・ナード氏は、セットアップの過程でこの証明書を発見。不審に思って調べたところ、eDellRootは信頼できるルート証明書とされ、使用期限は2039年、用途は「All」と記載されていたという。 さらに、「あなたはこの証明書に対応した秘密鍵を持っています」という記載を発見し、ナード氏の疑念は一層深まった。 Redditでこの問題を報
Host:リクエストヘッダによるXSS - 葉っぱ日記
本日、とある会合にてTwitterで交わされていたこの会話が話題になりました。 紹介されている例はHostヘッダの操作を経路とする攻撃ということであり、Hostヘッダインジェクションという脆弱性はないと思いますよ / “PHPにおけるHostヘッダインジェクション脆弱性 ― A Day in Serenit…” https://t.co/sTzTQEE7a8— 徳丸 浩 (@ockeghem) 2015, 11月 6 @ockeghem @okumuri 実はIEでは細工したホストヘッダを送出できる手法が知られています。間違いなくIEのバグですが、このせいで値をそのまま出力しているサイトではXSSがありえてしまいます。ここが参考になります: https://t.co/G419aaUgNi— Masato Kinugawa (@kinugawamasato) 2015, 11月 9 知る人ぞ
Let's Encrypt を支える ACME プロトコル - Block Rockin’ Codes
Intro 先日 #http2study で mozilla の Richard Barnes が Let's Encrypt について話してくれました。 資料: Let's Encrypt Overview この資料の翻訳 はしたのですが、いらなくなってしまったので供養もかねてこのプロジェクトのモチベーションと、 Web でおこっている HTTPS 推進のたどる道について、資料を補足しつつ紹介します。 結論から言うと Let's Encrypt はもちろん ACME プロトコル についても是非知っておくと良いと思います。 HTTPS の問題 すでにこのブログでも紹介しているように、 Web における HTTPS の重要性は増し、それの普及を後押しする活動が各所で進められています。 HTTPS 化する Web をどう考えるか よく言われる盗聴防止を始め、暗号化を行うことで防げる問題は多くあ
Symantecの証明書発行に不手際、Googleが対応を要求
米Symantecの認証局が手違いにより、「google.com」などのドメイン向けのテスト証明書をドメイン所有者が知らないうちに発行していたことが分かり、米Googleは10月28日、同社に対して対応を要求した。Symantecの対応次第では、Google製品でSymantecの証明書が安全とみなされなくなる可能性もあると警告している。 Symantecが10月2日に発表したインシデント報告書で、GoogleやOperaなど5組織向けのテスト証明書23件がドメイン所有者の知らないうちに発行されていたと報告した。これに対してGoogleは、不審な証明書はそれ以外にも存在すると指摘。その後、Symantecは10月12日に出した更新版の報告書で、さらに76ドメイン向けの証明書164件と、未登録ドメイン向けの証明書2458件が見つかったと発表した。 GoogleはこうしたSymantecの対応
How It Works | Let's Encrypt
To enable HTTPS on your website, you need to get a certificate (a type of file) from a Certificate Authority (CA). Let’s Encrypt is a CA. In order to get a certificate for your website’s domain from Let’s Encrypt, you have to demonstrate control over the domain. With Let’s Encrypt, you do this using software that uses the ACME protocol which typically runs on your web host. To figure out what meth
PHPのJSON HashDosに関する注意喚起
4年前にHashDos(Hash Collision Attack)に関する効率的な攻撃方法が28C3にて公開され、PHPを含む主要言語がこの攻撃の影響を受けるため対策を実施しました。しかし、PHP以外の言語が、ハッシュが衝突するデータを予測困難にする対策をとったのに対して、PHPは、GET/POST/COOKIE等の入力データの個数を制限するという対症療法を実施したため、PHPにはHashDosに対する攻撃経路がまだ残っているということは、一部の技術者には知られていました。例えば、以下の様なつぶやきにも見ることができます。 だって、 hashdos 脆弱性の時、 Python とかの言語が、外部入力をハッシュに入れるときに衝突を狙えないように対策したのに、phpだけPOST処理で対策したからね? json を受け取るような口もってるphpアプリのほとんどがhashdos残ってるんじゃない
今どきのSQLインジェクションの話題総まとめ - PHPカンファレンス2015発表資料
2. アジェンダ • SQLインジェクション対策もれの責任を開発会社に 問う判決 • PHP入門書のSQLインジェクション脆弱性の状況 • O/RマッパやSQLジェネレーターのSQLインジェク ションの話題 – Rails SQL Injection Examplesの紹介 – Zend FrameworkのSQLインジェクション – JSON SQL Injection – Drupageddon(CVE-2014-3704) Copyright © 2008-2015 HASH Consulting Corp. 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何
Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。 Android搭載端末の電話番号さえ分かれば、不正なMMSメッセージを送り付けて被害者が知らないうちに端末を制御できてしまうという極めて深刻な脆弱性が報告された。Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。 この脆弱性は、モバイルセキュリティを手掛けるZimperiumの研究者ジョシュア・ドレイク氏が発見した。Androidにネイティブで搭載されているメディア再生エンジン「Stagefright」に脆弱性があり、攻撃者が細工を施したMMSメッセージを送り付けるだけで、セキュリティ対策のサンドボックスをかわしてリモートでコードを実行できてしまう恐れがあるという。 問題のメッセージをユーザーが開いたり、リンクをクリック
パスワードを入力させるSaaSは全て脆弱という考え方 - ロードバランスすだちくん
シンジです。そんなこと言ったらなんにも使えないじゃ無いか!というのはその通りなのですが、cloudpack - CTO鈴木は「自社のADからSSO(シングルサインオン)できないサービスは原則採用しないもん!」というポリシーを持っています。これって実際のところどうでしょうか?今回はcloudpackがどうやってSaaSを採用するかという内部資料の一部を特別に公開して、SaaSの選び方について考えてみます。 cloudpackは原則、AWSなどへのログインにパスワードを使いませんこちらは、「最強のセキュリティでAWSマネジメントコンソールにアクセスする方法」でご紹介した通りなので詳細は割愛しますが、社内ではパスワードを使うシチュエーションは、「パソコン/Macにログインするときと、SSOするときのみ」です。どちらにしてもADのユーザーIDとパスワードしか使いません。まさしくSSOです。SAML
(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開)
--------------------------------------------------------------------- ■(緊急)BIND 9.xの脆弱性(DNSサービスの停止)について(2015年7月8日公開) - DNSSEC検証が有効に設定されている場合のみ対象、バージョンアップを強く推奨 - 株式会社日本レジストリサービス(JPRS) 初版作成 2015/07/08(Wed) --------------------------------------------------------------------- ▼概要 BIND 9.xにおける実装上の不具合により、namedに対する外部からのサービ ス不能(DoS)攻撃が可能となる脆弱性が、開発元のISCから発表されました。 本脆弱性により、提供者が意図しないサービスの停止が発生する可能性があ ります。 該当
Xoilac tv, trực tiếp bóng đá xôi lạc tv, xoilactv xembd siêu nét
Xoilac tv, trực tiếp bóng đá xôi lạc tv, xoilactv xembd siêu nét Xoilac tv, trực tiếp bóng đá xôi lạc tv là trang xem bóng đá tốc độ cao, xoilactv tự tin mang lại trải nghiệm trực tiếp bóng đá euro 2024 tốt nhất cho anh em. Link xem bóng đá Xoilac cập nhật ngày 17-07-2024 Kênh bóng đá trực tiếp xoilac tv đang dần trở thành người bạn quen thuộc của mọi nhà khi phát sóng trực tiếp những trận đấu bón
パスワード一元管理のLastPassにハッキング、情報流出も
一方、LastPassの保管庫に保存された他のサイトのパスワードを変更する必要はないとしている。ただ、安易なパスワードを使っている場合や、マスターパスワードと同じパスワードを他のWebサイトでも使い回している場合は直ちに変更するよう呼び掛けている。 関連記事 Googleの二段階認証を3400円のUSBキーで試す Amazon.co.jpでFIDO 1.0仕様のUSBキーを購入しました。ようやく二段階認証が一般的になるのではないかと期待しています。 米連邦政府、400万人分の個人情報流出の可能性を発表 中国ハッカーの犯行との報道も 米連邦人事管理局が、同局のシステムに何者かが不正侵入し、約400万人の職員および元職員の個人情報が流出した可能性があると発表した。複数の米メディアが、当局がこれを中国ハッカーの犯行とみていると報じた。 年金情報125万件流出 年金機構に不正アクセス ウイルス入り
年金機構の情報流出を見てちょっと思ったこと [ほほほのほ]
いつもならFaceBookに先に書いているんだけど、今日はこっちに。あとでFBにも貼る。 いつものごとく時間がないので、雑感を駄文で。 年金機構が所謂職員の失敗で、年金情報を流出するという事件が発生した。 詳しいまとめは、いつものごとく、高速に素晴らしいまとめをしてくれる日本年金機構の情報漏えいについてまとめてみたを参照。Kangoさん、いつも本当に素晴らしい。 さて。この事件とか事件について色々喋っている人とか、大臣と呼ばれる人とかを見ていて感じた雑感を。 非常に大量に情報を流出してしまった事件としては、ベネッセ事件があった。詳しくはベネッセの情報漏えいをまとめてみた。を参照。 この事件において、ベネッセは様々な方面から散々ぶん殴られた。マスコミもJIPDECも利用者も、好きなようにベネッセをサンドバッグにした。まぁ、自分も殴った側にいるのだから偉そうなことは言えない。この件について、株
藤沢市 標的型メールの抜き打ち訓練 NHKニュース
標的型メールによるサイバー攻撃を防ぐため、神奈川県藤沢市は、職員にテスト用の標的型メールを送る抜き打ち訓練を行っています。しかし、メールを開封してしまう職員も多いということで、市は職員用のパソコンがウイルスに感染することを前提とした対策を進めています。 しかし、対象者の4割近い60人余りがメールを開いてリンクをクリックしてしまったということで、訓練を行ったIT推進課の大高利夫課長は「啓発を行っても、実際に送られてくるメールは実在したり、実在しそうな組織名や内容が記されて送られてくるので完全に防ぐのは困難だと実感した」と話しています。 実際にリンクをクリックしてしまった職員は、「多少怪しいとは思ったが、研修会についてのメールはよく来るので開けてしまった」と話していました。 このため、藤沢市は、標的型メールによる攻撃を受け、仮に、職員のパソコンがウイルスに感染しても、被害が広がらないようにする
SourceForge grabs GIMP for Windows’ account, wraps installer in bundle-pushing adware [Updated]
Funny, this doesn't look like the GIMP installer... Credit: Sean Gallagher SourceForge, the code repository site owned by Slashdot Media, has apparently seized control of the account hosting GIMP for Windows on the service, according to e-mails and discussions amongst members of the GIMP community—locking out GIMP's lead Windows developer. And now anyone downloading the Windows version of the open
![SourceForge grabs GIMP for Windows’ account, wraps installer in bundle-pushing adware [Updated]](https://cdn-ak-scissors.b.st-hatena.com/image/square/dd14fb82df116ffe1b0898d5ab6e7b747ffda593/height=288;version=1;width=512/https%3A%2F%2Fcdn.arstechnica.net%2Fwp-content%2Fuploads%2F2015%2F05%2Ffried-cookie.png)
スターバックスカードでコーヒーを無限に注文できるバグが発見される
By FaceMePLS スターバックスカードを購入して使用していたセキュリティコンサルタントのEgor Homakovさんは、カードとシステムの脆弱性を利用して無限にコーヒーを注文する方法を発見。のちにこの件をスターバックスに連絡したところ、思わぬ騒動に発展したようです。 Hacking Starbucks for unlimited coffee http://sakurity.com/blog/2015/05/21/starbucks.html Researcher who exploits bug in Starbucks gift cards gets rebuke, not love | Ars Technica http://arstechnica.com/security/2015/05/researcher-who-exploits-bug-in-starbucks-gi
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HTTPS設定ファイル生成ツール0.3(ベータ版)
JVN#73568461: Windows 版 PHP における OS コマンドインジェクションの脆弱性
OpenSSL、重度の欠陥を修正するアップデートを7月9日にリリース予定
