Twitter XSS 騒動 - Yaks
(2009/04/12 6:40 pm 追記しました) (2009/04/12 7:24 pm 再度追記しました) 先ほどから Twitter上にて XSS のよる被害が出ています。 既に海外のブログなどでも取り上げられています。 HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既に XSS の部分は改修されて大分収まったようですが、念のために書いておきます。 内容としては、 1. StalkDaily.com を宣伝するつぶやきが勝手に投稿される 2. プロフィールの Web が改ざんされる 3. 改ざんされたユーザーのページを見ると、自分のプロフィールも
TOMOYO Linux 2.2.0 を含んだ Linux カーネル 2.6.30-rc1 がリリースされました。
一時期「 Web 2.0 」なんていう言葉が流行ったようですが、その後も Web アプリケーションに関するセキュリティ問題は尽きませんねぇ。 熊猫さくらは、最初からこうなることをスラドで予想していました。 そもそも、HTMLという「指示された通りに動く言語」を使っているから振り込め詐欺に騙される隙を与えてしまうのであって、HTMLを使わないようにすれば Web システムのユーザが被害にあう原因の多くを解消できるはずです。 「帳票入力アプリケーションの見直しについて」では、sshプロトコルを使うことを提案しました。まぁ、ファイアウォールの設定によりsshプロトコルを利用できないからhttpプロトコルを渋々使っているという場合もあるでしょう。でも、httpプロトコルを使ってHTML形式以外のデータをやり取りしてはいけないという規則はありません。 「ブラウザ」という「接続相手に指示された通りに動
GIFを隠れ蓑に悪性Javaを勝手に実行
クライアント・パソコンを狙った攻撃が巧妙さを増し,対策はますます難しくなってきている。中でもJavaScriptやFlashのぜい弱性を悪用した,スクリプトを使う攻撃は極めて厄介である。スクリプトは静的なWebページだけでなく,動的コンテンツ,画像,ファイルに含まれていることがあり,攻撃を受けた時期の特定が難しいからだ。 そんな中で,今後大きな脅威になると見られている攻撃手法の一つに,「GIFAR」がある。2008年8月に報告された攻撃手法で,2009年2月にホワイトハット・セキュリティのCTOであるジェレミア・グロスマンをはじめとするWebセキュリティの専門家が選ぶ「Top Ten Web Hacking Techniques of 2008」の1位に選ばれた。日本ではあまり話題になっていないが,いつやって来るか分からない。今後の影響範囲を考えると,特にWebアプリケーション開発者は知っ
XSSは本当に危ないか?日本のセキュリティ意識は過剰? | スラド セキュリティ
日本のセキュリティ対策会社として著名な「株式会社ラック」にお勤めの方が書かれた、@ITの記事「世間の認識と脅威レベルのギャップ——XSSは本当に危ないか?」が少し話題を呼んでいる。 著者は「いま、あえて問います。世間でいわれているほど、XSSは危ないのでしょうか?」、「おしかりを覚悟で書きます」、「XSSってそんなに危ないのか? 認識にギャップがないか?」と疑問を投げかけている。その理由として著者は、これまでセキュリティ対策の現場で働いた経験からして、「企業の株価が暴落したり、ビジネスを脅かすようなXSSは見たことはありません」とのことで、「SQLインジェクションと比べたら微々たるもの」といった根拠を挙げている。 XSSは罠を仕込んで被害者を誘い込む必要があり、攻撃の手間が大きいために実際の攻撃は多く発生していないということのようだ。その上で、次のように想いの丈を述べられているのだが、スラ
Safari、侵入コンテストにおいて数秒で“陥落” | スラド
CNET Japan、ZDNet Japanの記事より。3月18日、カナダで開催されたセキュリティ・カンファレンス「CanSecWest 2009」の侵入コンテスト「PWN2OWN」において、あるセキュリティ専門家がSafariブラウザの脆弱性を突き、わずか数秒でMac Bookの制御を握ることに成功したそうだ。 この専門家Charlie Miller氏は、昨年の同コンテストにおいても同じようにSafariの脆弱性を突き、Leopardに30秒未満で侵入することに成功している。また、2007年のiPhone発売直後に、モバイル版Safariの脆弱性も発見している。 今回同氏が利用した脆弱性は「ユーザーに悪質なURLをクリックさせるだけで、攻撃者が遠隔からマシンの制御を得ることができるというもの」であり、「容易ではないが、(Safariブラウザにおいて)1回クリックするだけでできてしまう」と
クリックジャッキング対策 - IT戦記
var allowed = false; if (parent != window) { // 自分がフレーム内なら document.addEventListener('click', function(e) { if (!allowed && confirm('クリックジャック?')) { e.stopPropagation(); e.preventDefault(); } }, true); } window.addEventListener('message', function(e) { if (e.origin == 'http://example.com/') { // example.com からは許可 allowed = true; } }, true); とかじゃダメかに?既出? http://internet.watch.impress.co.jp/cda/news/
クリックジャッキングってこうですか? わかりません
↑ この透過されているiframeは、ブラウザの最前面に配置されています ※はてなにログインしていると、どのようにボタンが被っているのかわかりやすくなります
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
主要ブラウザすべてに影響する「クリックジャッキング」攻撃とは