見分けが不可能な偽サイトがGoogle検索最上位に堂々と表示されてしまう、「i」をURLに含む全てのサイトが信用できなくなる極悪手法
Googleは独自のルールに従って検索結果の表示順位を決めていますが、Googleの広告枠を購入すれば任意のウェブサイトを検索結果の最上部に表示することができます。この広告枠を悪用して人気画像処理ソフト「GIMP」の公式サイトになりすました偽サイトが検索結果の最上部に表示されてしまう事態が発生しました。偽サイトはドメインの見た目までソックリで、インターネットに慣れている人でも見分けることは困難となっています。 Dangerous Google Ad Disguising Itself as www.gimp.org : GIMP https://www.reddit.com/r/GIMP/comments/ygbr4o/dangerous_google_ad_disguising_itself_as/ Dangerous Google Ad Disguising Itself as www
はじめにこんにちは。TIG の吉岡です。秋のブログ週間 10 本目の投稿です。 2022年の 5 月に Apple, Google, Microsoft そして FIDO Alliance が マルチデバイス対応FIDO認証資格情報 を発表してから、パスワードレス技術に対する注目が高まっています。1 パスワードレスの概要について調査してまとめてみました。 目次 私たちとパスワード パスワードの抱える問題 パスワードマネージャ 公開鍵暗号の活用 パスワードレスと FIDO Alliance FIDO v1.0 FIDO2 FIDO の認証フロー Passkeys パスワードレスな未来 私たちとパスワード今日、私たちのデジタルアイデンティティはパスワードに支えられています。私たちは日々 Google で検索し、Netflix を観て、Twitter でつぶやき、Amazon で買い物をしますが
Hello there, ('ω')ノ これまで、実例をもとに学んだ脆弱性診断につかえる実践的なテクニックは以下のとおりで。 ・サブドメインの1つに403を返すエンドポイントがある場合は、通常のバイパスは機能しないので、Refererヘッダを変更すると200 OKが取得できる場合があります。 ・エンドポイントのディレクトリとリクエストボディを削除して、メソッドを「PUT」から「GET」に変更すると隠されたエンドポイントに関する情報を取得できる場合があります。 ・見つけたエンドポイントに通常アカウントで403エラーが発生した際、管理者アカウントのjsonリクエストの本文と比較して差分のパラメータを追加するとアクセスできる場合があります。 ・Linux環境でコマンドを実行する際、スペース文字をバイパスするためのペイロードは以下のとおりです。 cat</etc/passwd {cat,/etc/
本物のサイトの文字を入れ替えて偽サイトに誘導する「ホモグラフ攻撃」の例を作ったら「そこじゃない」とツッコミが殺到する「凄腕ハッカーだ」
徳丸 浩 @ockeghem 徳丸本の中の人 EGセキュアソリューションズ取締役CTO IPA非常勤職員 YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy マシュマロへの質問はこちら:marshmallow-qa.com/ockeghem blog.tokumaru.org
2020/11/17(火)、平井デジタル改革担当相が定例会見で「パスワード付き ZIP (通称、PPAP) の廃止」について言及されました。国民からの意見を直接募り、一国の担当者が、このような運用にまで言及されたことは、とても珍しいように思えます。 IIJスタッフがやりとりするメールでも、業務やお客様のご都合もあり、全面的にすぐ廃止はできませんが、準備ができたところから順次、パスワード付き ZIP を廃止していく方針です。 なぜパスワード付き ZIP を廃止するのか まず、メールを運用する立場から、パスワード付き ZIP 廃止の方針に賛成します。 なぜなら、一言に危険だからです。 じつは、従来から誤送信対策とされるパスワード付き ZIP (暗号化 ZIP) は効果が薄いばかりか危ない、という主張をしていました。次の資料は 2018年 11月に開催された「迷惑メール対策カンファレンス × J
C# 配信でちょくちょく出てくる話題の1つに 「Visual Studio (for Windows)はいまだに .NET Framework だから」 というものがあります。 もちろん、「.NET Core 化はよ」みたいな文脈です。 Visual Studio は .NET 製アプリの中でも大規模なものの1つなわけで、ドッグフーディング的な意味で早く .NET Core 化してほしいというのもありますし。 .NET Framework → .NET 5 → .NET 6 → .NET 7 と、毎度2・3割は速くなってるというベンチマークがあるわけで合計すると2倍以上速いかもしれず、 普通にパフォーマンス上の理由でも早く .NET Core 系になってほしかったりもします。 そしてもう1個、 実は .NET Framework の方は Unicode 8.0 で止まっているという話があっ
そのURLはそっくりさん?~ミスリードURLに注意~
こんにちは。NECサイバーセキュリティ戦略本部セキュリティ技術センターの鈴木です。突然ですが、URLに関する“ホモグラフ攻撃”や、それらを利用してURLをミスリードさせる攻撃をご存知でしょうか?あえてミスリードするようなURLについては正式な名前の定義が無いと思われますので、本ブログでは便宜上「ミスリードURL」と記述します。これは主に正規URLと見分けが難しい文字列で偽装したURLのことを指します。 昨今はフィッシング攻撃の件数増加など脅威が増しているため、今回はそのテクニックの1つである「ミスリードURL」とそれを実現する手法の1つである「ホモグラフ攻撃」について事例等を踏まえて解説をしたいと思います。 2020年に、Googleとイリノイ大学アーバナ・シャンパーン校の共同研究の論文 [1]が発表されました。この論文の中にはミスリードURLについてどの程度の誤認識が発生するかという観点
フィッシングによる AWS ログインの MFA 認証の回避と事例 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS マネジメントコンソールに焦点を当てたフィッシングによる MFA (Multi-Factor Authentication) 認証の回避や事例、セキュリティ対策について紹介します。 1. 始めに 免責事項 想定読者 2. AWS マネジメントコンソール MFA (Multi-Factor Authentication) 3. フィッシング (Phishing) MITRE ATT&CK 4. フィッシングによる AWS ログインの仮想 MFA デバイス認証の回避 5. フィッシングによる AWS ログインの SSO 認証の回避 6. AWS ログインをターゲットにしたフィッシングの事例 事例1 (Google 検索) 事例2 (メール) 事例3 (メール) 7. その他 Web アプリケーションにおける MFA 認証の回
本物と偽物のウェブサイトを見分けるのは難しい。そこで悪意のあるウェブサイトを特定し、自らの身を守るのに有効な方法を紹介する。 一日のうちに数十から数百のウェブサイトを閲覧する人もいるだろう。毎日のようにニュース記事やソーシャルメディア、動画配信サイトの番組、そして友人から送られたリンクをクリックしている。しかし、開いたウェブサイトのすべてが安全で、フィッシングサイトではないと確信できているだろうか? 本記事では、個人情報漏えいのリスクを避け、デバイスがマルウェアに感染しないよう、ウェブサイトの安全性を確認する簡単な方法について解説する。 URL内のスペルミスや、紛らわしい文字列に注意 同音異義語を使った攻撃(ホモグラフ攻撃とも呼ばれる)や、URLにスペルミスや紛らわしい文字を混ぜて悪意のあるウェブサイトへ誘導させる攻撃は、一般的によく知られた手法のひとつである。辞書と格闘するような名前に聞
オープンソースソフトウェアを介したサプライチェーン攻撃には十分な危険性がある。ソフトウェア開発者向けにどのような対策があるのか、WhiteSourceが解説した。 オープンソースセキュリティとライセンスコンプライアンス管理プラットフォームを手掛けるWhiteSourceは2021年6月10日(ポーランド時間)、オープンソースソフトウェア(OSS)を介したサプライチェーン攻撃の危険性に警鐘を鳴らし、ソフトウェア開発者がこうした攻撃を防ぐための9個の対策を紹介した。これがDevSecOpsの第一歩となるのだという。 ソフトウェア開発者がオープンソースソフトウェアを使用する際に特に注意しなければならない点がある。「npm」「PyPI」「RubyGems」といったパッケージ管理システムやソフトウェアリポジトリを用いてパッケージやライブラリをインストールしようとすると、それだけで悪意あるコードが仕込
はじめに アプリやゲームにおいて、「自由入力」のテキストボックスやそれを表示するラベル (ユーザ名・コメント欄・etc.) などを安易に設置すると、想定の斜め上を行く妙な文字(列)を入力され、意図しない表示・処理になることが多々あります。 本稿では、そのテストに使えるような文字(列)を記載していきます。なるべくコードポイント (U+xxxx) も併記するようにしました。 想定環境は主に PC ・スマートフォンで動作するクライアント (もっと具体的には Unity の TextMeshPro InputField) です。 Web やデータベース周りでは、例えば古典的な XSS や 寿司ビール問題 など別種の気を付けるべきポイントがあるかもしれませんが、あまり詳しくないのでここには記載しません。 なお、特に注記がない場合は Unicode / UTF-8 であるものとします。 環境によっては
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードレス技術の現状と未来について | フューチャー技術ブログ
脆弱性診断につかえる実践的なテクニックを列挙してみた - shikata ga nai
URLが本物そっくりな詐欺サイトに注意! 「ホモグラフ攻撃」などの手法を知っておこう【だまされないように注意!】
パスワード付き (暗号化) ZIP廃止の考え方と対策 | IIJ Engineers Blog
Visual Studio の .NET Core 化まだー?
怪しいウェブサイトをどうやって見分ければいいのか
OSSを介したサプライチェーン攻撃、どうすれば防げるのか
Unicode の入力・表示テストに使える文字(列) - 屋根裏工房改