GoogleはJavaScriptで隠匿したメールアドレスを読み取り、検索結果に表示している? | スラド IT
メールアドレスをウェブページに公開する場合、アドレスをHTMLでそのまま書いてしまうとスパム業者の格好の的となってしまう。これを避けるには、アドレスをgifやjpegなどの画像で表示させたり、分断して記述したアドレスをウェブページでは一続きに表示させるようなJavaScriptを使用することが有効であるとされてきた。projecthoneypot.orgではスパム対策として、このようなJavaScriptを自動生成してくれるツールも公開している。 しかし、GoogleはこのようなJavaScriptからメールアドレスを構築し、ウェブページのサマリーにアドレスを表示してしまうようになったとの報告が本家/.にて取り上げられている。 元記事であるbaxil.livejournal.comによると、HTML上ではJavaScriptで改変して記述してあるアドレスが、検索結果できちんとアドレスとして
JavaScriptを使わずにWebブラウザの閲覧履歴を盗む | スラド セキュリティ
bugzilla.mozilla.org では JavaScript を使う exploit も使わない exploit も Bug 147777 [mozilla.org] として扱っています。この bug のコメント中、 JavaScript を使わない例は、はっきりしたものとしては 2006 年 12 月の Comment 71 [mozilla.org] が初出でしょうか。 2005 年 6 月の Comment 48 [mozilla.org] もそれっぽいですが。 まだ正式版どころか RC も出ていないので一般の人にはお勧めしませんが、人柱の人は Firefox 3.5 Preview を使って about:config から layout.css.visited_links_enabled を false にすると、リンクが visited かどうかによってスタイルを変えるの
エキサイトブログのトップページが改ざんされ、悪意のあるスクリプトが埋め込まれる | スラド セキュリティ
驚いた、現在でもスクリプトが埋め込まれている、要注意。 (送られてきているもの自体は、404表記のHTMLに見えるけど、詳しく追ってないので本当に404なのかは不明) それと、safariで「cawjb.com」を(URL入力して)表示させようとすると、「ヤバいところにつなごうとしているよ!!」って教えてくれるのに、こういう方法で読み込まれちゃうと、何もメッセージがでないんだね。 意味半減だよね… この jp.js ページをダウンロードして OS/2システムエディタで開いてみましたが、 <html><head><title>Object Not Found</title></head><body><h1>HTTP/1.1 404 Object Not Found</h1></body></html> としか書かれていませんでした。すでに撤収済み? ただGoogle Safe Browsin
高木浩光@自宅の日記 - 新はてなブックマークの登録ブックマークレットは使ってはいけない
はてなブックマーク(以下「はてブ」)がリニューアルされ、ブラウザからブックマークレットでブックマーク登録(以下「ブクマ登録」)しようとすると、図1の画面が現れるようになった。「こちらから再設定をお願いします」と指示されているが、この指示に従ってはいけない。ここで提供されている新型ブックマークレットは使ってはいけない。(この指示には従わなくてもブクマ登録はできる。) 新型ブックマークレットを使用すると図2の画面となる。ブクマ登録しようとしているWebサイト(通常、はてな以外のサイト)上に、はてブの画面のウィンドウが現れている。これは、Ajaxと共に近年よく使われるようになった「ページ内JavaScriptウィンドウ」である。(ポップアップウィンドウとは違い、ウィンドウをドラッグしてもブラウザの外に出すことはできず、あくまでも表示中のページ上のコンテンツであることがわかる。)
URLをコピペしたら悪質サイトに――乗っ取り被害が続出
クリップボード機能の乗っ取り被害の報告が相次いでいる。Windows、Macユーザーの両方が被害に遭っているもようだ。 どんなサイトのURLをコピーしても、悪質サイトのURLがペーストされてしまう――。テキストなどのコピー&ペーストに使われるメモリ領域「クリップボード」が乗っ取られる被害が続出している。被害報告はWindows、Macユーザーの両方から寄せられているという。セキュリティ企業の英Sophosが8月19日のブログで伝えた。 Sophosによると、ネットの掲示板には被害に遭ったというユーザーからの報告が相次いでいる。「URLを選択して“ctrlとc”でコピーし、ペーストしようとするたびに、ウイルスと思われるリンクが出てくる」「例えば、http://www.google.com/というURLをWindowsのクリップボードにコピーして、ペーストすると問題のURLになる。ウイルス対策
JavaScriptを使ってイントラネット内を外から攻撃する方法:Geekなぺーじ
「Hacking Intranet Websites from the Outside」という講演が2006年にありました。 Black Hatでの講演です。 以下に説明する手法は既に公開されてある程度時間が経過している情報なので、ご存知の方にとっては既に古いとは思います。 詳細はプレゼン資料をご覧下さい。 概要 ファイアウォールなどに守られたイントラネットやホームネットワークの内部を攻撃する手法が解説してありました。 JavaScriptの基本仕様を組み合わせて情報を収集するというものでした。 最終的には、プリンタから印刷を行ったり、ルータの設定を変更するなどの攻撃が可能になるようです。 それ以外にも、Web経由で設定変更が出来るものは状況によっては影響されるかも知れません。 プレゼン後半ではCSRF(XSRF, cross-site request forgery)も解説されていました
HDDをフォーマットするブラクラ まとめwiki
パソコンに詳しくない方は、スレッドに書かれる対応策を鵜呑みにせず 冷静な行動を取りましょう。報告にも偽のものがあるようなので注意。 感染した恐れのある場合は再起動やシャットダウンをしてはいけません。 各スレで人柱による対策が検討されています。 とにかくPCをそのままの状態にしておきましょう。 普段からセキュリティに気を付けている方であればまず大丈夫です。 概要まとめ 2007/12/28(金)、gigigi(アップローダー)にてエロ画像がUPされる。 (初出は http://sakura01.bbspink.com/test/read.cgi/ascii/1198102303/701 の模様。) 2007/12/30(日)Download板にて報告、ニュース速報板にスレが立ち拡大中。AV監督(愛媛県) 画像は拡張子はjpgだが、中身はHTMLとJavaScriptであり、これをクリックする
yohgaki's blog - 画像ファイルにJavaScriptを隠す
(Last Updated On: 2014年12月5日)前回のエントリでイメージファイルにスクリプトを埋め込んで攻撃する方法について記載しましたが、最近イメージファイルにスクリプトを埋め込む事例が話題になったためか ha.ckersにJavaScriptをイメージファイルに隠す方法が紹介されています。 http://ha.ckers.org/blog/20070623/hiding-js-in-valid-images/ <script src="http://cracked.example.com/cracked.gif"> などとXSS攻撃を拡張する手段に利用可能です。サンプルとしてFlickerにJavaScriptを埋め込んだイメージファイルがアップされています。 このイメージファイルは上手く細工しているので画像としても表示され、JavaScriptも実行できます。 Flicke
Webアプリケーションを作る前に知るべき10の脆弱性 ― @IT
Webアプリケーションが攻撃者に付け込まれる脆弱性の多くは、設計者や開発者のレベルで排除することができます。実装に忙しい方も、最近よく狙われる脆弱性のトップ10を知ることで手っ取り早く概要を知り、開発の際にその存在を意識してセキュアなWebアプリケーションにしていただければ幸いです。 Webの世界を脅かす脆弱性を順位付け OWASP(Open Web Application Security Project)は、主にWebアプリケーションのセキュリティ向上を目的としたコミュニティで、そこでの調査や開発の成果物を誰でも利用できるように公開しています。 その中の「OWASP Top Ten Project」というプロジェクトでは、年に1回Webアプリケーションの脆弱性トップ10を掲載しています。2004年版は日本語を含む各国語版が提供されていますが、2007年版は現在のところ英語版のみが提供さ
5大検索エンジン、検索結果の4%は危険なリンク――検索連動の広告サイトへのリンクはさらに危険度アップ | OSDN Magazine
これは同社が毎年行っているもので、米国の主要な検索サイト5社(「Google」「Yahoo!」「MSN」「AOL」「Ask」)を対象に、検索結果にどのくらい危険なWebサイトへのリンクが含まれているかを調査したものである。 同社では、「Google Zeitgeist」や「Yahoo! Buzz」といった検索キーワード・ランキングなどから抽出した2,300語を利用して検索を行い、上位50件に表示されたWebサイトへのリンクに、危険なWebサイトへのリンクがどれだけ含まれているのかを、同社の「SiteAdvisor’s Web safety」を利用して調査した。 なお、この場合の危険なWebサイトとは、アドウェアやスパイウェアを勝手にインストールしたり、攻撃コードが仕込まれていたりするWebサイトを指す。 同調査の結果、検索結果として表示されるWebサイトへのリンクの4%は、危険なリンクであ
アップロード可能掲示板(いわゆるあぷろだ、ファイル置き場)を設置していると、誰かが著作権法違反をする以外にも犯罪に巻き込まれてサーバを押収されることがある - 駄文待避所
(2.27追記) 当時の状況が少し分かりました。2.27の記事もご覧ください。画像をちょっと貼られたくらい、という認識は激甘でした。 (2.26追記) 以下の文章は2007/2/24に書いたものでありますが、当日の動揺と、自分のミスを認めたくない気持ちが入り混じって不正確、不明瞭な点があります。管理が行き届いていない自宅サーバの危険性と、アップローダーを放置することの危険性についても混ざってしまっているので追記により修正する予定です。消すことはしません。 これを読んだ自宅サーバーを立てている人、ファイルアップローダーを設置している人は今すぐ自分の管理状況を見なおしてください。お願いします。 家宅捜索されました。マジに。 結論からいうと、自分がある2chのスレのために3年前くらいに自宅サーバに提供していたあぷろだに、海外で不正アクセス事犯で捕まった被疑者が何かの画像(恐らくイスラム教関係、ら
“インターネットの危機” 活発化する「ボットネット」 - Impress Enterprise Watch
2007年、インターネットの世界では「ボットネット」が極めて大きな問題になるという。セキュリティ企業各社が警告しているほか、世界の指導者や経済人が集まって今日の課題を討議する「世界経済フォーラム」(ダボス会議)でも取り上げられ、“インターネットの根幹を揺るがしかねない脅威”としてクローズアップされた。 1月、スイスのダボスで開催された「世界経済フォーラム」では、“インターネットの父”Vint Cerf氏が、ボットネットに関する衝撃的な警告を発した。Cerf氏は「ネットワークに現在接続された世界の6億台のコンピュータのうち、1億台から1億5000万台がすでにボットネットの一部に組み込まれている」と述べた。世界のコンピュータの4分の1、通常考えられているよりはるかに高い比率だ。Cerf氏はボットネットの広がりを「pandemic」(流行病)に例えた。 このパネルで、the New York T
フリーメールの盲点
検索サイトやポータルサイトなどが提供するフリーメールを利用するユーザーが増えている。従来,フリーメールには「POPが使えない」「広告が入る」などの使いにくさがあった。しかし,いまではそれらが改善されるとともに,メールボックス容量の拡大やウイルス・チェックなどサービス内容が充実してきている。 そのため,フリーメールをメインに使う,メインとまではいかなくても使い込むユーザーが増えている。しかし,フリーメールを使ううえで注意すべきポイントがある。一部のフリーメールは,一度割り当てたメール・アドレスをそのユーザーが利用中止したあとにほかのユーザーに割り当てることである。いわゆる再利用を認めているサービスがある。 ISPが提供する有料のメール・サービスは,ユーザーが退会したらそのメール・アドレスは永久欠番としているところが大半である。永久欠番ならば,同じメール・アドレスをほかのユーザーが使うことがな
ITmedia Biz.ID:優れたパスワードの選定と記憶法
100個のパスワードを覚える必要はない。100個のパスワードを生み出す1個のルールがあればいい。(Lifehacker) 【この記事は、2006年7月5日付で米ブログメディア「Lifehacker」に掲載された記事を翻訳したものです。】 安全で記憶しやすいパスワードを設定すれば、自分は簡単に思い出せて、他人には推測されにくい。 →ほかのLifeHack(ライフハック)関連の記事はこちら 最近は、至るところでパスワードの登録を求められる。何十ものサイトでログインの際に入力を求められるパスワード。ATMで必要なキャッシュカード暗証番号。ワイヤレスネットワークにログインするためのパスワード。皆さんは、どのように新しいパスワードを設定しているのだろう? いや、もっと重要なこととして、どのように記憶しているだろうか。 「すべてに同じパスワード」はダメ すべてに同じ1つのパスワードを使うやり方の問題点
AAで図解!ずばり一目で全く解らないコンピュータセキュリティ
最終更新日: Wednesday, 29-Nov-2006 02:46:05 JST Webバグ CSRF (Cross Site Request Forgeries) DoS (サービス拒否) サニタイズ オレオレ証明書 Cookie Monster SQL インジェクション HTTP Response Splitting (レスポンス分割) HTTPのページのフレームにHTTPSのページを表示 バッファオーバーフロー フィッシング Forceful Browsing (強制ブラウズ) クロスサイトスクリプティング ゼロデイ(0day)攻撃 ディレクトリトラバーサル セッションハイジャック 権限昇格 OS コマンドインジェクション オープンプロキシ Webバグ \ __ / _ (m) _ビーコーン |ミ| / `´ \ ('A`
pharming(ファーミング)――オンライン詐欺は「釣り」から「農業」へ? : IT Pro 記者の眼
2005年1月,米国ITメディアのいくつかが「pharming(ファーミング)」という言葉を使い始めた。オンライン詐欺「phishing(フィッシング)」の“進化形”と説明している。phishingがfishing(釣り)に基づいた造語であるのに対して,pharmingはfarming(農業,農場で栽培する)をもじったものだ(注1)。 注1:「医薬品成分を含んだ遺伝子組み換え植物を栽培すること」「遺伝子組み換えによって医薬品成分を含んだ動植物を作ること」などもpharmingと呼ばれる。こちらは,「栽培する」のfarmと「薬学」のpharm(pharmacy)を組み合わせた造語。 ただし言葉は新しいものの,ファーミングの内容自体は目新しいものではない。フィッシング“対抗”で無理やり作られた単語に思える。一部のセキュリティ・ベンダーがユーザーをあおるために作った感が強い。とはいえ,今後は国内
「XSS脆弱性は危険,Cookieを盗まれるだけでは済まない」専門家が注意喚起
「クロスサイト・スクリプティング(XSS)脆弱性を悪用された場合の被害例としては『Cookieを盗まれる』ことがよく挙げられる。しかし,実際にはもっと深刻な被害を受ける恐れがある。管理者や開発者はその危険性を十分に認識して,対策を施す必要がある」――。京セラコミュニケーションシステムのセキュリティ事業部 副事業部長である徳丸浩氏は11月10日,ITproの取材に対して,XSS脆弱性の脅威を強調した。 さまざまなWebサイト(Webアプリケーション)において,XSS脆弱性が相次いで見つかっている。その背景には,開発者などの認識不足があると徳丸氏は指摘する。「適切に対策を施すには,XSS脆弱性のリスクを把握する必要がある」(徳丸氏)。しかしながら,実際には,XSS脆弱性のリスクを過小評価しているケースが少なくないという。 例えば,「(自分たちが運営している)携帯電話向けサイトでは(携帯電話上で
日々是横着 - 「サーバ」に対する誤った認識
最近、常時接続というのが当り前になり、自宅サーバを立てることを 勧めるような書籍や Web ページが非常に多く出てきているので、 自分でもサーバを立ててみたいと思っている人を多く見受けます。 しかし、サーバを立てる際に気をつけるべきことを全く認識せずに 立てようとしている例も非常に多く見受けられます。 ここは、インターネットに公開するサーバを立てる際に一般の方が 勘違いしがちなこととそれに対する(私の個人的な)回答を、 世の中に溢れる「自宅サーバ立てよう!」系の書籍/Web ページには あまり書かれない 「自分でサーバを立てるのは大変だからやめよう!」 という視点で行い、 サーバ運営の現実をしっかり認識して頂くための ページです。 対象とする読者は基本的に 「サーバを自分で立てようと思っている人全員」で す。特に 「あまりコンピュータに詳しいわけじゃないけど、 なんだか自分で立てられるって
@IT: 「ぼくはまちちゃん」 ――知られざるCSRF攻撃
ある日、大手SNS(Social Networking Site)のmixiの日記にこのような書き込みがあった。それも1人だけでなく、同日に数多くのユーザーの日記に同じ文面が掲載されていた。 これは、単にこのような文章がはやり、ユーザー自身が意図して掲載したのではなく、ある仕掛けによってユーザー自身が気付かないうちに引き起こされた現象なのである。その仕掛けとは、CSRF(Cross-Site Request Forgeries)と呼ばれる攻撃手法の一種だ。 編集部注: 現在、「はまちちゃん」トラップは、mixi運営者により対策されています。上記のサンプルは、mixi風に再構成したものです。 本稿の内容を検証する場合は、必ず影響を及ぼさない限られた環境下で行って下さい。また、本稿を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPA セキュア・プログラミング講座