Open source maintainer pulls the plug on npm packages colors and faker, now what? | SnykPlatformPlatform Snyk AI Security Platform Modern security in a single platform
colorsなどのnpmパッケージに悪意あるコードが含まれている問題について
追記: 2022年1月11日 2:29 JSTにDoS脆弱性としてセキュリティアドバイザーが出されて、悪意あるバージョン(1.4.1や1.4.2)はnpmからunpublishされ、npmの最新は安全なバージョンである1.4.0へと変更されました。 Infinite loop causing Denial of Service in colors · GHSA-5rqg-jm4f-cqx7 · GitHub Advisory Database 2022-01-08 に colors というnpmパッケージにDoS攻撃のコードが含まれたバージョンが1.4.44-liberty-2として公開されました。 GitHub: https://github.com/Marak/colors.js npm: https://www.npmjs.com/package/colors 問題についてのIssu
reCAPTCHA bypass via HTTP Parameter Pollution
tl;dr I reported a reCAPTCHA bypass to Google in late January. The bypass required the web application using reCAPTCHA to craft the request to /recaptcha/api/siteverify in an insecure way; but when this situation occurred the attacker was able to bypass the protection every time. The security issue was fixed “upstream” at Google’s reCAPTCHA API and no modifications are required to your web applica
偽のjQueryを利用した攻撃、「WordPress」「Joomla」を利用するサイトで急増
研究者らによると、ハッカーの手に落ちたウェブサイト上の約7000万におよぶファイルで偽のjQueryスクリプトが見つかっているという。また、「異常とも言える大量のドメイン」が影響を受けている結果、2015年11月以降で累計450万人のユーザーが、改ざんされたウェブサイトにアクセスしているという。 悪意のあるコードが潜在的な被害者や、ウェブサイトへの訪問者に対して尻尾を見せることはない。偽のjQueryスクリプトはウェブページのソースコードを見なければ確認できないのだ。このスクリプト自体は単純であり、いくつかの変数と、悪意のあるドメインによってホストされている別のJavaScriptソースを参照する「if」ステートメント1つで構成されている。 攻撃の引き金となるこれらのコードは、ウェブページがロードされた後、10ミリ秒の遅延時間を置いてから実行を開始する(インジェクション攻撃では、こういった
yohgaki's blog - 画像ファイルにJavaScriptを隠す
Last Updated on: 2014年12月5日前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。 http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ <script src="http://cracked.example.com/cracked.gif"> などとXSS攻撃を拡張する手段に利用可能です。サンプルとしてFlickerにJavaScriptを埋め込んだイメージファイルがアップされています。 このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。 Flickerは
ブロックできないオンライントラッキングツールが人気サイトに浸透
プリンストン大学とルーヴェン・カトリック大学の研究者がまとめた論文「The Web never forgets: Persistent tracking mechanisms in the wild」によると、Canvas Fingerprinting技術を使ったオンライントラッキングツールがAlexaトップサイトに浸透している。同ツールが使われていると、ブラウザユーザーが追跡をブロックするのが非常に難しくなる。 モダンブラウザがサポートするCanvas APIを通じてレンダリングされたイメージには端末ごとのわずかな違いが生じる。これをデバイスの指紋のように用いるテクニックを2012年にカリフォルニア大学サンディエゴ校の研究者が発表し、Canvas Fingerprinting(Canvasの指紋採取)と呼んだ。同技術を採用したオンライントラッキングツールは、ユーザーには見えないテキストを
機密情報を含むJSONには X-Content-Type-Options: nosniff をつけるべき - 葉っぱ日記
WebアプリケーションにおいてJSONを用いてブラウザ - サーバ間でデータのやり取りを行うことはもはや普通のことですが、このときJSON内に第三者に漏れては困る機密情報が含まれる場合は、必ず X-Content-Type-Options: nosniff レスポンスヘッダをつけるようにしましょう(むしろ機密情報かどうかに関わらず、全てのコンテンツにつけるほうがよい。関連:X-Content-Type-Options: nosniff つかわないやつは死ねばいいのに! - 葉っぱ日記)。 例えば、機密情報を含む以下のようなJSON配列を返すリソース(http://example.jp/target.json)があったとします。 [ "secret", "data", "is", "here" ] 攻撃者は罠ページを作成し、以下のようにJSON配列をvbscriptとして読み込みます。もちろ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JavaScriptフレームワークで作成されたランサムウェア登場、SaaS型で身代金額や感染時のコメントなど攻撃者がカスタム可能 
XSS再入門