HDD物理破壊サービスの利用者が急増、アキバでサービスを提供しているお店を紹介
知っておかないと驚くかも!CSSにおけるセキュリティの脆弱性について
ネットでは時々、CSSにおけるセキュリティの脆弱性について驚かせるような記事が出回ります。最近話題になったCSSのセキュリティの脆弱性、CSSでできることの可能性、ブラウザの対応状況について紹介します。 CSS Security Vulnerabilities 下記は各ポイントを意訳したものです。 ※当ブログでの翻訳記事は、元サイト様にライセンスを得て翻訳しています。 はじめに 訪問済みリンクの懸念 CSSによるキーロガー CSSによるデータシーフ インラインスタイルブロックのうん○ もっとたくさんあると思います はじめに 記事のタイトルを見て、心配しないでください。CSSにはセキュリティ上の危険な問題はなく、ほとんどの場合、心配する必要はありません。 しかし、時々驚かせるような記事が出回り、CSSでできることの可能性について注意を払う必要があります。最近、話題になった記事をまとめました。
FutureVuls クラウド型脆弱性管理サービス
運用負荷を最小化する 脆弱性管理サービス FutureVulsは、脆弱性管理に関する一連のプロセスを自動化し、運用負荷を大幅に軽減するクラウドサービスです。自社で開発し、世界中で利用されている脆弱性スキャナ「Vuls」をはじめ、さまざまなスキャンツールと連携して脆弱性を特定します。脆弱性の可視化だけでなく、優先順位付けやチケット管理、対応方法の提示まで自動で行います。専門家がいなくても、セキュリティ対策を強化・効率化することができます。 FutureVulsでできることFEATURE 資産管理 システムの構成要素を幅広くカバーするさまざまなツールを用いて資産の構成情報を自動で特定します。 脆弱性検知 関連のある脆弱性だけを誤検知なく可視化します。パッチが提供されないゼロデイ脆弱性も検知可能です。 チケット管理 検知した脆弱性ごとにチケットを自動起票。脆弱性の対応状況を追跡・管理できます。
WordPressプラグインを狙う攻撃が活発化している件をまとめてみた - piyolog
「Yuzo Related Posts」など人気のWordPressプラグインを狙った攻撃活動が観測されているとしてセキュリティベンダが注意を呼び掛けており、また国内でも関連が疑われる被害報告が上がっています。ここでは関連する情報をまとめます。 3月以降脆弱性が確認されたプラグイン 2019年3月以降、脆弱性の悪用が報告されたプラグインは次のもの。 No 報告日 対象のプラグイン インストール数 バージョン 脆弱性 1 2019/03/15 Easy WP SMTP 40万件超 1.3.9以前 管理者への特権昇格 2 2019/03/21 Social Warfare 6万件超 3.5.2以前 XSS(格納型)、任意コードの実行 3 2019/03/30 Yuzo Related Posts 6万件超 5.12.91以前 XSS(格納型) 4 2019/04/09 Visual CSS S
HTTPサイトのドメインを奪われてHSTSを有効化されたら - Qiita
はじめに 最近lovelive-anime.jpドメインが何者かによって移管され一時的にその者の手に渡った。もともとの管理者によってすでに取り戻されたが、攻撃者は一時的にこのドメインに対する全権を握った。この記事では、あくまでも思考実験として攻撃者が他人のHTTPサイトを運用しているドメインの全権を握ったときに、攻撃者がHSTS(HTTP Strict Transport Security)を有効にしてしまった場合どうなるかについて考える。まずはHSTSについて簡単に説明し、そしてその後で今回筆者が考えた攻撃について議論し、最後にまとめを述べる。 この記事を読んでわからないことや改善するべき点を見つけた場合は、気軽にコメントなどで指摘してほしい。 攻撃者によるHSTSの有効化 ここではHSTSに関する説明と、筆者が考える攻撃(?)について説明する。 HSTSとは HSTSとは、HTTPのレ
不正移管によるドメイン名ハイジャックについてまとめてみた - piyolog
2018年9月頃から第三者に汎用JPドメインがのっとられるドメイン名ハイジャックの事例が相次ぎ、これらは不正なドメイン移管手続きにより発生した疑いがあります。ここでは関連する情報をまとめます。 不正移管の手口 のっとり犯が自身が利用するレジストラを通じて他人が所有するドメインの移管申請を行う。 次のいずれか該当する場合に(一時的に)ドメイン移管申請が行われてしまう恐れがある。 指定事業者が承認確認(不承認含む)を行わない(放置する) 登録者または指定事業者がのっとり犯が行った移管申請を誤って承認してしまう 汎用JPが狙われているのは自動承認ルールを悪用しているためとみられる 移管元指定事業者から承認、または不承認が10日以内に確認取れない場合、自動承認となる。 「汎用JPドメイン名登録申請等の取次に関する規則」第11条第2項に則ったものとされる。 第11条(取次にかかる登録申請等に対する決
BadStore.netを使った脆弱性調査 - kyonta1022’s blog
環境構築 仮想マシン BadStoreのisoをダウンロード VMware Workstation 12 Playerで仮想マシンを作成 仮想マシン起動 外部の端末からアクセスできるようにする WEBアプリの脆弱性調査 Quick Item Search DB情報収集 テーブル名とカラム名の推測 SQLiによるユーザ情報抽出 Guestbook 入力可能な文字列の調査 XSSを仕掛ける adminユーザでゲストブックを閲覧する adminとして不正ログイン Place Order SQLiによるクレジットカード情報抽出 BadStoreサーバー全体の脆弱性調査 非公開情報の探索 辞書によるディレクトリ探索 辞書によるパラメータ探索 辞書によるページ探索 公開されたデータベースへのログイン 辞書の用意 metasploitでログイン情報確認 ログインしてみる 総括 WEBアプリ関係の脆弱性調
バックドア化したASUS Live Updateを通じた攻撃(Operation ShadowHammer)についてまとめてみた - piyolog
Kaspersky LabはASUSが提供するソフトウェア「ASUS Live Update」がバックドア化し、一部ユーザーを対象にマルウエアを配布する攻撃が展開されていたとして調査結果の一部を発表しました。この攻撃を同社は「Operation ShadowHammer」と呼称しています。ここでは関連する情報をまとめます。 Kaspersky Labの調査報告 securelist.com 詳細は2019年4月8日~11日にかけシンガポール開催されるSASで報告される予定。 また同社の調査報告についてMotherboardが取材した記事が公開されている。 motherboard.vice.com 2019年3月21日に取材依頼を行っているがASUSからの返事がない模様。 securelist.com ASUSの反応 Secure your ASUS PC devices now! Down
リンクを作る時の target="_blank" の危険性 - 隙あらば寝る
html で リンクを新しいタブ(やウィンドウ)で開かせたい場合、target="_blank" を指定するが、 この使い方には落とし穴があるらしい。 www.jitbit.com リンクを開いた先の javascript から、開いた元のページを操作できてしまうとのこと。 気になったので確認してみた。 悪用のパターン insecure.html が最初に開くページで、ここに target="_blank" なリンクがある。 このリンクを押すと new_window.html を新しいタブで開く。 この new_window.html に javascript が仕込まれており、元ページを操作されるという話。 具体的には window.opener.location="./evil.html" と実行すると、元タブは evil.html に遷移する。 実際試してみたのが ここ。 リンクを開
Peing脆弱性案件に見る初動のまずさ - orangeitems’s diary
https://peing.net/ 質問箱Peingに脆弱性が発見されメンテナンス中に 現在、下記ツイートに関連して、質問箱Peingのサービスがメンテナンス中となっています。 第三者が勝手にツイートできてしまう問題について対応中で、 明朝までに復旧見込みです。 本事象に関連して第三者がユーザ様のTwitterにログインをしたり、他サービスにTwitterログインされることはありません。 詳細は明日、会社よりお知らせ致します。 ご迷惑をおかけし大変申し訳ございません。 — Peing-質問箱-(公式) (@Peing_net) January 28, 2019 上記の通り、少なくともPeingを連携していたツイッターアカウントに対して、第三者が勝手にツイートできてしまう仕様だったことは間違いないようです。また、だからといってログインできたり、ツイッター連携している他のサービスにログインで
インターネットの安全・安心ハンドブック - NISC
内閣サイバーセキュリティセンター(NISC)では、サイバーセキュリティに関する普及啓発活動の一環として、「インターネットの安全・安心ハンドブック」を公開しています。みんなが安心して使えるネット社会を実現するためには、その時々のサイバーセキュリティに関する正しい知識を身に付け、実行するとともに、家族や友人など身の回りの人達にも伝えていくことが大切です。本ハンドブックは、みなさんにサイバーセキュリティに関する基本的な知識を紹介し、誰もが最低限実施しておくべき基本的なサイバーセキュリティ対策を実行してもらうことで、更に安全・安心にインターネットを利活用してもらうことを目的に制作したものです。 ※このVer.5.00は、2023年1月にサイバー空間の最新動向や、今特に気を付けるべきポイント等を踏まえて改訂されました。 【活用例】 本ハンドブックの著作権は NISC が保有しますが、サイバーセキュリ
WordPressに対する攻撃が進行中--標的は「AMP for WP」プラグイン
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 多くのサイトで利用されている「WordPress」のプラグインの脆弱性を標的にした、新たな攻撃が進行中であることが明らかになった。1週間ほど前にも、WordPressに対する別の攻撃が明らかになっている。 WordPressを専門とするセキュリティ企業Defiantは米国時間11月20日、ブログ記事でこの問題について詳細に報告している。Defiantは11月9日にも、WordPressを使ったサイトに対して、「WP GDPR Compliance」プラグインを使った同様の攻撃キャンペーンが進んでいることを明らかにしているが、今回発表されたのは、それとはまた別のものだ。 最新の攻撃キャンペーンでは、10万以上のサイトにインストールされてい
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Discordにバックドアを仕掛けるマルウェアが発見
高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース/オープンソースで開発。今後はアドオンによる拡張や自動更新機能も
Google Chrome、HTTPS/HTTPの混在禁止 - 年末年始までに対応を
NTT東/西日本の「ひかり電話ルータ/ホームゲートウェイ」に脆弱性
Auth0:誰もが安全にアクセスするために。でも、誰でもというわけではありません。
WPScan Vulnerability Database - WordPress Security Plugin Vulnerabilities
Expired
ゲーム「フォートナイト」の公式サイトに脆弱性、 シングルサインオンに潜むリスクが浮き彫りに