放棄ドメインの大量取得によるスクリプトの乗っ取りについて - tike blog
はじめに 既に役目を終えたドメインの遺産はリンク切れという形でインターネット上に残ることがあります。 ここでいう遺産とは、放棄ドメインに紐付くリソース(画像、外部スクリプトなど)を指します。 閲覧者の目に直接触れるリソース(画像や動画など)が存在しない状態になったことを閲覧者自身が認識することはさほど難しくはありません。 その一方、外部スクリプトなどの目に見えないリソースについては、それが存在しないことを閲覧者が認識することは難しいのではないかと思います。 このような放棄ドメインに紐付いた「存在しない」リソースを閲覧者に気付かれないように引き継ぎ、別の用途に悪用する事象がいくつか確認できましたので、本ブログで共有したいと思います。 不審な JavaScript 先日、不審な挙動を示す以下のJavaScriptを目にしました。 Cookieを含むいくつかの情報を king[.]connect
サンドラッグの仮登録通知騒動とその後の展開について - tike blog
はじめに 2018年11月30日早朝、サンドラッグ e-shop本店 (https://ec.sundrug.co.jp/top/) (以下、サンドラッグECサイト) から、身に覚えのない仮登録通知が多数配信されるという事象が発生しました。 news.biglobe.ne.jp 本記事ではこの事象の概要をお伝えするとともに、今後発生し得る展開ついても記載したいと思います 仮登録通知とは 仮登録通知とは、サンドラッグECサイトで会員登録を行う際に送信されるメールのことを言います。 ユーザが会員登録を行う際に連絡先として登録したメールアドレスに対して、サンドラッグECサイトが会員登録処理を継続するためのURLを送付することで、メールアドレスの持ち主でない人物による"なりすまし"を防ごうとするものです。 会員登録操作を行っていない複数のユーザに対してこの仮登録通知が届いたことから、今回の騒動に
SEOポイズニングの手法を使用した偽ECサイトについて - tike blog
はじめに 今年3月、リクルートテクノロジーズ社が偽サイトへの誘導を目的としたSEOポイズニングに関する記事を公開しました。 recruit-tech.co.jp 脆弱性を突くなどして他のサイトに検索エンジン(Google等)のクローラのみがアクセスできるページを不正に設置し、このページを踏み台として攻撃者が運用する偽サイトにユーザを誘導しようとする試みに関する記事です。 同様の試みは、現在も活発に行われています。 本記事では、SEOポイズニングの手法を使用した偽ECサイトに関して、現時点で確認できていることを纏めてみたいと思います。 SEOポイズニングの手法について 偽ECサイトへの踏み台として不正に設置されるページは、日本国内で一般的に認知されている組織のWebサイトをコピーしたもののようです。 検索エンジンで、このようなWebサイトのCopyright部分をキーワードとして検索すると、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
