スポンサーサイト
上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
新しい記事を書く事で広告が消せます。
昨日は久しぶりに飲みに行ったらこのありさまです。眠いです。
相変わらずのlibraack。Anonymousに書き込み権限って、20世紀でもそんなになかったようないいお話ですね。
中国って規制が多そうなのにマルウェアの攻撃は赤い壁を通過できたりするのでしょうかね。
いくら気をつけてても普通に感染するものですので、駆除って大切だなあと思います。
誘導されるだけならいいんですが…
ようやくですか。よかったです。
新twitterの件。ぼくのアカウントに新twitterはなかなかやってきませんが、botにはやってきましたよ(涙
相変わらずのlibraack。Anonymousに書き込み権限って、20世紀でもそんなになかったようないいお話ですね。
connect24h: これはひどい。Anonymos ftpに書き込み権限があったって事?高木浩光@自宅の日記 - 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事 http://bit.ly/9FzQ0h
110_: RT @connect24h これはひどい。Anonymos ftpに書き込み権限があったって事?高木浩光@自宅の日記 - 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事 http://bit.ly/9FzQ0h
Ivarn: おおぅ!ナンダコリャ(>_<) 朝日新聞名古屋版「パスワード、管理会社員が解除」の記事 - http://j.mp/beZvVx - 「パスワードがない方が便利」だと!?これは,誤りとかミスとかいうレベルじゃない希ガス(-_-) #librahack
中国って規制が多そうなのにマルウェアの攻撃は赤い壁を通過できたりするのでしょうかね。
gohsuket: マルウェアは多目的可能。でも中国?>Forbe's RT @dangerroom Was #Stuxnet a Chinese attack on Indian satellite? http://bit.ly/9kRVnk @blakehounshell @joshrogin
いくら気をつけてても普通に感染するものですので、駆除って大切だなあと思います。
yumano: @connect24h さんの良記事。実事例はイメージが沸きやすく、イメージしやすいな。実録!コンピュータウィルス駆除大作戦 http://bit.ly/bmpBQd
誘導されるだけならいいんですが…
yumano: ドライブバイしこまれてる気がするような…実物見てない RT @monjudoh: え、ひょっとして偽セキュリティソフトのインストーラダウンロードページに誘導するだけなの? "国内98サイトのバナー広告に「わな」、「偽ソフト」に感染する恐れ http://is.gd/fyVuZ
ようやくですか。よかったです。
yomoyomo: [Security] office氏の帰還 http://bit.ly/b23Whe
新twitterの件。ぼくのアカウントに新twitterはなかなかやってきませんが、botにはやってきましたよ(涙
kinugawamasato: 「&#0;」(実際は全部半角)ってツイートするだけでOpera/IE上のNew TwitterでTLの一部見えなくなったりするし結構困るバグだ。ヌル文字愛用家の人は自粛が求められる。
ymzkei5: 新しいTwitter、まだページのjavascriptの中に、/^(staging\d+ \.local)\.twitter\.com$/i とか、localhost.twitter.com:3000 とか、色々開発中の情報が書かれているw
スポンサーサイト
9月28日のtwitterセキュリティクラスタ
昨日はなんといっても例の図書館が実は利用者の情報を流出させていたということが発覚しました。図書館サイトの不具合を検証したら、実は業者がいろいろグダグダだったようで… 印象的なものをピックアップしましたが、詳しいことはまとめサイトとかtogetterにあると思うので探してみてください。
hoshikuzu: [security] 岡崎市立図書館の利用者情報流出…MDISによる…NHK名古屋の地方ニュースで報道…(via @Vipper_The_NEET )
Vipper_The_NEET: 「岡崎市立図書館の利用者情報流出キター しかも、そのシステムを作ったMDISがやらかした。 今、NHK名古屋の地方ニュースで報道。 もうじきサイトに掲載されるかな。 」とのこと。 #librahack
hoshikuzu: [security] 「三菱電機インフォメーションシステムズ」が設計したコンピューターシステムを使っていますが、この会社が別の会社を通じてほかの公立図書館に貸し出しのためのシステムを販売した際誤って個人情報を消去せずに販売したと言うことです。流出先は全国の30以上の図書館と見られ
ikepyon: なんとなく、SQL文で毎回DB作るのではなく、岡崎に納品したときのDB丸ごとバックアップして、それを他でもリストアしただけだったんだろうな。さすがに、これは普通考えられないけど・・・
_hito_: みんな勘違いしている。ISMSには「自浄作用を保持すること」なんて項目はない! 情報セキュリティインシデントが起きたら速やかに対応するとか書いてあるだけで、「身内に途方もない馬鹿なコードを書くやつがいるけど、自浄作用がなくて検出できない」は未対応でもOKだ!(最悪
ikepyon: MDISはコピペ超人軍団と呼ばれても良いと思うw
ockeghem: 『弊社図書館システムにおける個人情報の混入及び流出について(お詫び)』 http://www.mdis.co.jp/news/press/2010/0928.html #librahack
hasegawayosuke: MDISのサイト内から、「岡崎市」を含むページが軒並み消えてる。 http://www.google.co.jp/search?q=site%3Amdis.co.jp+%E5%B2%A1%E5%B4%8E%E5%B8%82&ie=utf-8&oe=utf-8
こちらにはなかなか出現しませんねえ。10月まで待てばって… すぐそこじゃないですか。
togakushi: 「Pssst... the new version of Twitter is here. Try it now!」って出たぞ。ついに新しいUIだー
Apple TVでもJailBreakできたようで。
risa_ozaki: Jailbreak hole found in Apple TV firmware http://bit.ly/9Uj5cx via @teksquisite
朝からクジラが出たのはそのせいだったのか。スーパーハカーおそろしいです><
hasegawayosuke: .@ucq がTwitterのテストを始めたので over capacity 出た。
はてなの任意スクリプトの実行について。偽ブログパーツで攻撃って流行りそうだなあとか思ったり。
bulkneets: 関係者の名誉のために申し上げますと、前提としてはてなダイアリー上で任意script実行出来ると他のブログよりもリスクが大きい問題があって、加えてブログパーツ自体に問題があるケースと、ブログパーツ貼付けコードのバリデーションに問題があるケースがあります。区別できない奴は言及するな。
パッケージで殴り合ったり、ハッシュの大きさを比べたわけでもなくちゃんと評価されてます。ウイルスバスターが入ってないのは評価以前の問題だったりするのでしょうか。
risa_ozaki: 2010年上半期の最強アンチウイルスソフトが決定 http://j.mp/95NYgS
ウイルスをあまり見つけてくれないので有名だったMcAfee(最近のことは知りません)がURL短縮サービスをはじめたようです。
bakera: [これはひどい] 凄く安全そうな雰囲気をかもし出せてしまいますね。下のフレーム内で遷移しても上の表示が変わらないのもポイント。 http://mcaf.ee/780df<
bakera: [これはひどい] あとで。http://internet.watch.impress.co.jp/docs/news/20100924_395726.html
9月27日のtwitterセキュリティクラスタ
twitterのセッションidがログアウトしても破棄されてないらしい件について。そういやなかなか新UIが現れません。嫌われているのでしょうか。
bulkneets: twitterのログアウトがサーバー側でセッションidを破棄していない件のスクリーンキャプチャとった http://bit.ly/ddAqXy
bulkneets: リモートデスクトップ使って別IPアドレスで試すのもやったけど成功する
bulkneets: パスワード変更でセッション破棄はちゃんとやってるように見えるな、それはDan the なんとか事件の時に問題になったはず(セッション生きてる限りアカウント使い続けられるというので)
もうそろそろ。
kanda_daisuke: 本日は午前11時から岡崎市とMDISによる会見もあります。中身についてはまたのちほど… #librahack
301はいろいろ楽しいですよね。
yasulib: Ettercapを用いてのMITMデモ。PEファイルをダウンロードする時に301でウェブ上の任意のファイルにリダイレクトしてる。 http://securitytube.net/Ettercap-MITM-Attack-Demo-video.aspx
ソーシャルの腕を他で生かせればいいのですが。
kaito834: チャットでパスワード(またはパスワードに繋がる情報)を聞き出した模様。"ネット上の仮想通貨・物品、盗んで転売大もうけ : 社会 : YOMIURI ONLINE(読売新聞)" http://goo.gl/PJJO
IE9のバグ?
masa141421356: <a href="www.example.jp%00microsoft.com">example</a>と書いたリンクを右クリックしてプロパティを表示しようとするとエラーになる >IE9beta
会社の人がお詫び記事を紹介すると、ご自身の会社がお詫びしていると間違えられるよなあとか。
dry2: 弊社利用広告サーバーにおけるセキュリティ問題に関するお詫びとお願い http://as-web.jp/news/info.php?c_id=7&no=29483
文字コード難しいです><
ockeghem: そういえば、MySQLはUTF-8の4バイト表現にまだ対応していないんだよね。𠮷(つちよし、U+20BB7)がきちんと通るというのは、ストレージは何を使っているのかな?
そして難しさを逆手にとった攻撃の可能性がいろいろあるので、そのあたりをうまく防御する方法について。
ockeghem: 日記書いた『文字コードに起因する脆弱性を防ぐ「やや安全な」php.ini設定 』 http://www.tokumaru.org/d/20100927.html#p01 #phpcon2010
やる気だったのですが、雨が降ってると申し込みたくなくなりますよね。
hasegawayosuke: 「ブラックハットジャパンその後 関西編」のその後に懇親会やりますよ。僕も参加します! http://bit.ly/c2HMzQ
逃げちゃダメだと言われても、さすがに泊まりがけは行かずに逃げたくなりますね。
Akira_Murakami: CISSP TrustedCPE 認定です。@yuzawaws: 10月7日(木)~9日(土)「情報セキュリティワークショップin越後湯沢2010」 今年のテーマは「~逃げちゃダメだ!~ IT社会のBCP・BCM。なう!」です。 http://ht.ly/2KKfT
これからしばらくクラウドに関わりそうな雲行きなのですが、データ消えるとか怖いですね。
connect24h: @dry2さんの記事。sidekickの事例は、10月の講演でもしゃべる予定。データが消えた!!クラウド利用の注意点[1/2] | LAC http://ow.ly/2KbJT
25万件超ってことは必要ないデータもため込んでたということなのかしら。
MasafumiNegishi: RT ユニットコム運営サーバに不正アクセス被害、ツートップ&フェイスのECから25万件超の個人情報流出か 【増田@maskin真樹】 - http://j.mp/byhUqg
ついにXSSもエクストリームスポーツの仲間入りですか。目grepなんかはすでに十分エクストリームスポーツだと思いますが。つか、CTFってエクストリームスポーツじゃなくないですか?
ripjyr: デムパをどう確保するのかと言う方が重要な気がするw QT @office_acer: PCの予備バッテリー必須 QT @ymzkei5: 山に登りながらXSS解くのかと思った。エクストリームXSS。 RT @ripjyr: XSS Cha http://bit.ly/b2VXRp
9月21~26日くらいのtwitterセキュリティクラスタ
休んでいた間にすごいことになっていたのはtwitterのXSSですが、それ以外にもいろいろありました。明日からは正常運転したいところですが、今日はざっくりです。
今年流行のiOS… じゃなくてCISCOの方のDoSいろいろ。
hasegawayosuke: XSS Challenges が再ブームなのか。時代はXSSですよ、みなさん!
Iori_o: 昨日のXSSの件に対して、世の中の道理がひっくり返る程の出来事と評価してる人がいて、結構道理は簡単に返せるんだと教えられた。
mincemaker: ゼロデイではしゃいじゃっても逮捕されなかったらセキュリティ界隈から村八分にされないでクネクネコミュニケーションになっちゃう体質が僕はあまり好きではないので意図的に避けてしまうのです。
gohsuket: 昨日のXSSやったと主張する17歳オーストラリア人登場。おいおい、便乗で有名人狙い? RT @stevesilberman Meet @zzap, the Aussie teen who hacked Twitter ystrday. http://bit.ly/awJprH
tessy_jp: RT @ripjyr: なんと、北陸でXSS Challenges登山だと! QT [北陸エンジニア] XSS Challenges 登山会 > http://bit.ly/aMKGha
kinugawamasato: #つけたのはクリックしてちゃんと飛べるようにするためであって#はXSSに必要ないです。 URLの後に続くスラッシュとスラッシュの間にある@の後のダブルクォートがエスケープされずにタグの中に入る。 http://example.com/@"/
Hamachiya2: こう? http://twitter.com/#@"onmouseover="alert(document.cookie)"style="background:red"/
tyfk: #@"でhrefが終了、それに続くonclickとかのハンドラがそのままa要素の属性として埋め込まれる脆弱性。
gohsuket: w@isologue httpp://a.noo/"kono mouseover=";$('sawagi:de').kon'na(code.gaNAGARE);$('.teru-kedo').ore()" mo="hikkakatta:#to;omoware:#rukana?;/
hasegawayosuke: とりあえず、http://twitter.com/#!//www.google.com でオープンリダイレクタになることはわかったけど、僕には alert は出せなかった。
gohsuket: RT @MasafumiNegishi: RT ロシアで天才ハッカーが育つ裏事情 - http://j.mp/cUSckU
security_info: Twitter Facebook で、最も有効なセキュリティ対策は JavaScript 無効 ...: マツジローのネットワークセキュリティ日記のTwitter Facebook で、最も有効なセキュリティ対策は JavaSc... http://bit.ly/ciRWGE
bakera: しょうがないから「たまたま任意スクリプトは実行できないけどセキュリティに不安がある」ということだけ書いておきました。
ripjyr: I'm reading now:「Yahoo!モバゲーβ版」で障害が発生--一部登録情報が閲覧できる状態に http://japan.cnet.com/mobile/story/0,3800078151,20420502,00.htm?ref=rss
_xcorp_: めも RT @keigo1456: Apache設定のVirtualHost設定を<VirtualHost *:80>で記載している中に、ひとつだけ<VirtualHost 123.456.789:80>のようにIPアドレス指定をまぜると、すべての:80アクセスをぶんどることが分
jpcert: こんちは。サイバークリーンセンターのボット駆除ツールCCCクリーナーが更新されています。 ^AM https://www.ccc.go.jp/flow/index.html 2010/09/22 17:35
sen_u: VMWare Workstationをもう1ライセンス。20%オフクーポン使って$151.2なので12,800円ほどか。円建てで買うと26,306円なのでずいぶん円高メリットがあるな。
kinyuka: トレ○ンドマイクロからXSSが!まっちゃさんに連絡しなきゃ!と思ったらどうもプロキシっぽいな(;´Д`)
mincemaker: はてブがまた1userなのに4294967295 users になっているのがあるぞw
Vipper_The_NEET: 結局ワクチンの更新手順が盛り込まれず,大阪市は翌年ウイルス感染騒ぎを起こしましたとさ。とっぴんぱらりのぷう。
今年流行のiOS… じゃなくてCISCOの方のDoSいろいろ。
packet_storm: Cisco Security Advisory - IOS SIP Denial Of Service http://packetstormsecurity.org/filedesc/cisco-sa-20100922-sip.txt.html
packet_storm: Cisco Security Advisory - IOS NAT Denial Of Service http://packetstormsecurity.org/filedesc/cisco-sa-20100922-nat.txt.html
packet_storm: Cisco Security Advisory - IOS H.323 Denial Of Service http://packetstormsecurity.org/filedesc/cisco-sa-20100922-h323.txt.html
rakugodesi: IISの設定はftpで変更できないからでは!(^^)! RT @biac: 今は http-equiv="Refresh" content="0;URL=hp/index.html" が返ってくる。IISの設定変えんの? QT @keikuma: @Vipper_The_NEET
tomoki0sanaki: 個人的には管理者の自己満足が満たされる程度 RT @ucq 必要以上に情報を与えない方がいいってのはわかるけど、Apacheとかのバージョン隠蔽って実際どのくらい効果あるのだろう。
risa_ozaki: LNK脆弱性を悪用したStuxnetワームはイラン核施設を狙ったマルウェア兵器か?: 7月に報告されたWindowsのLNKショートカットのゼロディを悪用する「Stuxnet」ワームについては… http://bit.ly/d0ySCV via @FSECUREBLOG
MasafumiNegishi: RT 偽セキュリティソフト「Security Tool」感染爆発、原因はマイクロアドの広告配信サーバへの攻撃 - http://j.mp/9qqz2Z
yohgaki: PHPcon二次会でローカルプレゼンしたRIPSというPHPソースコードスキャナは全ての PHPユーザにおススメです。 http://ow.ly/2JYiO 今時のフレームワークを利用したアプリでは必ずしも有効に動作しませんが、非常に参考になるツールです。#phpcon2010
risa_ozaki: MSの個人向け無償セキュリティソフト、中小企業でも利用可能に http://bit.ly/bfwqLx via @slashdotjp
yhitme: 定員は超えたんですが満員までw少し余裕があります。お早めに。RT @IAjapan: 10月9日(土)に大阪にて「現在の日本のセキュリティ~ブラックハットジャパンその後 関西編~」を開催します。 http://j.mp/cxN8qq
connect24h: これはひどい。『私用のパソコンでダウンロードしたソフトを使った。改ざんは見あたらなかったため、そのソフトを使ってFDの更新日時データを書き換えて遊んでいた。』 QT @Akira_Murakami: フォレンジック技術は凄い! http://bit.ly/aR0vqR
tomoki0sanaki: Vista以降には「dir /r」で代替ストリームが表示されるのか!?
security_info: IPAとNISC、政府機関の情報セキュリティ対策で連携|ウイルス対策 ...: IPAが得た情報セキュリティの脆弱性などに関連する情報のうち、 政府機関でも必要と考えられるものをNISCと共有することで政府機関の情報セキュリティ... http://bit.ly/bGQD7o
yarai1978: 「ポケモン」マジコン用パッチを装う情報流出プログラムが出回る http://headlines.yahoo.co.jp/hl?a=20100921-00000029-zdn_n-inet
ockeghem: [security][charcode][php][event]講演資料アップロードしました。「文字コードに起因する脆弱性とその対策」 http://www.slideshare.net/ockeghem/ss-5283574 #phpcon2010
9月18~20日のtwitterセキュリティクラスタ
連休と祝日の間ですが、普通に仕事です。なお明日は終日会議のため更新できません。きっと次の更新は月曜日になります。
三連休は終わってしまいましたが、今日明日仕事すればまた休みですよ。フリーに休日は関係ないですけどね(涙)
SSDだから何でも良いわけじゃないんですね。セキュリティ系のアプリでたまにあるようにマウスを動かすなど乱数のシードに他のものを使えばいいってことなんでしょうけど。
へえ-。じゃあわざとエラー起こすとDoSできるというわけですか。意味ないですけど。
さすがに修正されてるんでしょうけど、探しちゃダメですからね><
さすがはてな。
先日のアクセス履歴ネットワークの話ですね。広告会社に振り回されないようにしたいものです。
librahackは大ごとになってるみたいなので若干放置気味ですが、図書館法におけるrobots.txtの取り扱いについて。
クラウドだってレンサバだって社内サーバだって、担当者の意識の問題ですからねえ。こればっかりは。
何が起こるんだ…
三連休は終わってしまいましたが、今日明日仕事すればまた休みですよ。フリーに休日は関係ないですけどね(涙)
security_info: ウイルスの脅威からPCを守れ!無料でセキュリティを強化するテクニック ...: サラリーマンには、待ちに待った3連休がやってきた。日頃はなかなかできない家族サービスに勤しむ人も多いと思われるが、自宅でのんびりと過ごす人は、この機... http://bit.ly/b7vvn8
SSDだから何でも良いわけじゃないんですね。セキュリティ系のアプリでたまにあるようにマウスを動かすなど乱数のシードに他のものを使えばいいってことなんでしょうけど。
tomoki0sanaki: 最近、読んだ Web ページだと、/dev/random や /dev/urandom は乱雑性に HDD のシークタイムなどを使っているため、SSD の場合は乱雑性が落ちるという話。
へえ-。じゃあわざとエラー起こすとDoSできるというわけですか。意味ないですけど。
masa141421356: IEの困った動作 HTTPSでFRAMEにしている時に子のFRAMEが通信エラーになってIEのエラー画面が代わりに入るとHTTPではない物が混在していると誤認してダイアログが出てしまう
masa141421356: で、ダイアログなので閉じるまでスクリプトが動かない
さすがに修正されてるんでしょうけど、探しちゃダメですからね><
yohgaki: http://www.opencart.com/ ってどれくらい使われてる?ファイルアップロードでWebルートに任意ファイルがおけるらしい。つまり完全に乗っ取りが可能らしい。
さすがはてな。
mincemaker: はてブがまたintオーバーフローしてる。回帰テストをするつもりが全くないのに安全重視の運営とか言わないで欲しい。
先日のアクセス履歴ネットワークの話ですね。広告会社に振り回されないようにしたいものです。
HiromitsuTakagi: 昨日の講演が西日本新聞福岡ローカル面に出てた。「…高木浩光氏が、個人の…アクセス履歴などが企業に収集され、企業間での売買が始まろうとしている現状を紹介。『安易な売買が横行すれば、悪用する業者が出てくる。法整備や調査、監督する第三者機関の創設など…ルール作りが必要だ』と指摘した。」
librahackは大ごとになってるみたいなので若干放置気味ですが、図書館法におけるrobots.txtの取り扱いについて。
Vipper_The_NEET: これ,まとめからもリンクしておきます。 RT: @tyappi: 毎回説明するのめんどくさくなってきたので、blog に robots.txt に関する法令をまとめておきました。 http://bit.ly/aS3uve #librahack
tyappi: 「Robots.txt に関する法令解釈」をトゥギャりました。 http://togetter.com/li/52133
クラウドだってレンサバだって社内サーバだって、担当者の意識の問題ですからねえ。こればっかりは。
connect24h: これがあるから、クラウドは最終的に信用できないんだよなぁ。Googleプライバシー事件と情報漏えい対策の困難さ【湯川】 http://bit.ly/bTJKDe
何が起こるんだ…
_hito_: ハッ○ー○ャパンのとある記事に「あわしろいくや」ちぅ面白い文字列が入ること確定。
9月17日のtwitterセキュリティクラスタ
先週はガラスの向こうでは泳いでいたというのに、すっかり秋になってしまいました。
電話帳のメールアドレスにカンマがあるとちゃんとメールが送れない携帯電話。発売停止になるのもわかります。区切り文字をスルーしているみたいなので他にコマンドが通ったりもするのでしょうか。テストしようぜー
もしかすると、この携帯だったりするのか、それとも違うアプリなのか。意外とメールって見落とされているのでしょうか。
HTTPヘッダインジェクションの話。Location:にCRLFが突っ込めるということでしょうか。
IE9イベントの資料が公開されています。HSTSをIEで無理矢理使う方法ですが、Betaが取れたときには単体で使えるようになっているかもしれませんね。
そして、NAブログはまっちゃだいふくさんです。秋は勉強会デビューしたいですね。
結局攻撃があったみたいですね。たいしたことはなさげですが。
うわ。ほんとだ。
日本だとAppleStoreみたいにイヤな感じになるのでしょうけど。
原発作る予算の中にアプリ代くらい入れておけよ…
HDCPのマスターキーが流出したのですか。これで無力になったりするのかなあ。
またまたウイルスが喜びそうな…
FTPを止めるってのはセキュリティ的な意味では、ある意味正しいのでしょうけど、なかなか難しいのでしょうかね。つか、今はblogとかアプリ貸しだけにしてHPスペースの提供止めちゃえばいいのに。
電話帳のメールアドレスにカンマがあるとちゃんとメールが送れない携帯電話。発売停止になるのもわかります。区切り文字をスルーしているみたいなので他にコマンドが通ったりもするのでしょうか。テストしようぜー
ktai_watch: [ニュース] ドコモ、「LYNX SH-10B」を一時販売停止 http://bit.ly/cFXmnI
もしかすると、この携帯だったりするのか、それとも違うアプリなのか。意外とメールって見落とされているのでしょうか。
tomoki0sanaki: 先日、SMTP コマンドが通りました。しかもメールの本文で!!アリエネー!というのが、最初の感想でした。更にどんなライブラリつかってんねん!と思いました。
tomoki0sanaki: メールの本文で先頭に「.」を使うとそれ以降が消える、てかバグレポートがすぐにあがるはずだし、そんなベータ版のようなライブラリを使っているなんて・・・orz
tomoki0sanaki: "セキュリティ" と言うテーマで sendmail コマンドの -i オプションの説明のある Web サイト/記事は少ないですね。
HTTPヘッダインジェクションの話。Location:にCRLFが突っ込めるということでしょうか。
ockeghem: .@tomoki0sanaki 佐名木さん、CGI.pmのredirect関数調べたら、HTTPヘッダインジェクションできますねぇ。仕様が変わったのかも【業務連絡】
tomoki0sanaki: あらら、私の実験ミスかな!?...orz RT @ockeghem @tomoki0sanaki 佐名木さん、CGI.pmのredirect関数調べたら、HTTPヘッダインジェクションできますねぇ。
ockeghem: 俗に言うCrLfインジェクション(メールヘッダとHTTPヘッダ)は、本来、高機能API使えば脆弱性対策になる *べき* なんだけど、未だに穴が結構あるのがなんだかなー、という感じです
IE9イベントの資料が公開されています。HSTSをIEで無理矢理使う方法ですが、Betaが取れたときには単体で使えるようになっているかもしれませんね。
hasegawayosuke: 昨日の資料を公開しました。 "HSTS for IE and others" http://utf-8.jp/public/20100916/hstsforie.pdf #ie9j #welcomie9 #welcomeie9
そして、NAブログはまっちゃだいふくさんです。秋は勉強会デビューしたいですね。
security_info: NetAgent Official Blog : 全国で増殖中?! 情報セキュリティ勉強会の ...: 2004年頃より「まっちゃ139」という情報セキュリティに関する勉強会を開催し始め、2008年より弊社でエバンジェリストとし... http://bit.ly/daXftJ
結局攻撃があったみたいですね。たいしたことはなさげですが。
msaitotypeR: むむむ。 警察庁HPにサイバー攻撃か、中国からの可能性 http://bit.ly/c2XONe あ、これも下も読売新聞です。
うわ。ほんとだ。
masa141421356: それだと XSS になるってば。http://ap.atmarkit.co.jp/bbs/core/fjava/24540
日本だとAppleStoreみたいにイヤな感じになるのでしょうけど。
miryu: これは良いかも。 / IE9に新セキュリティ技術 DLするファイルを「評判」で判定 - ITmedia News http://htn.to/8Asyjg
原発作る予算の中にアプリ代くらい入れておけよ…
gohsuket: ライセンスエラーが稼動予定イラン原発のシーメンスWinCC画面に RT @mikkohypponen: Remember to renew your software licenses. Especially if you are… http://bit.ly/9vZIS1
HDCPのマスターキーが流出したのですか。これで無力になったりするのかなあ。
BlackHatEvents: RT @schneierblog: Master HDCP Key Cracked: The master key for the High-Bandwidth Digital Content Protection standard -- http://bit.ly/cqNZA0
またまたウイルスが喜びそうな…
security_info: Windows LSASSのActive Directoryリモートセキュリティ問題(CVE-2010 ...: 情報セキュリティブログ(unixfreaxjp.blogspot.comのミラーサイト) http://bit.ly/9jaj3N
FTPを止めるってのはセキュリティ的な意味では、ある意味正しいのでしょうけど、なかなか難しいのでしょうかね。つか、今はblogとかアプリ貸しだけにしてHPスペースの提供止めちゃえばいいのに。
tdaitoku: とあるISPがサイバーテロ攻撃対策としてFTPによるHP更新機能を停止させるそうな・・・。何か違うような気もするが危機意識を持って対応されてるということですね。だったら、いっそのこと全部止めちゃえばいいのに・・・。って、それって奴らに屈したということかw
9月16日のtwitterセキュリティクラスタ
涼しくて雨で、そういや秋ってこんな感じだったなあとか思い出した昨日でした。そろそろ半ズボンは寒くなる気がしますが、がんばってください。
さて、IE9ベータが出ました。いきなりセキュリティ的なテストをしてる人が数名いらっしゃったので、まとめておきました。だんだんよくなっているみたいですね。個人的にはIE7、8と使ってないのでちょっとよくわかりませんが。
結局、DDoSは誤報だったということでよろしいのでしょうか。あんま意味なさそうですしね。
組織とは関係なさげだと思いますが、改ざんはされてるみたいですね。実は某図書館みたいにAnonymousでアクセスできたのかもしれませんがw
L2で検知って、フレームの宛先と頻度だけチェックするんですかね。ウイルス感染して接続しまくりは排除できると思いますが、どうでしょう。
WindowsというかIEの設定に書かれているものの、ちょっとよくわからないアレですね。
UIが新しくなっただけじゃなくて、XSSも修正されてよかったです。
twitterボットネットですか… 人が増えると使って悪いことしようとする人も増えてきますね。
頻繁にアクセスすると威力業務妨害に問われますよとか。
さて、IE9ベータが出ました。いきなりセキュリティ的なテストをしてる人が数名いらっしゃったので、まとめておきました。だんだんよくなっているみたいですね。個人的にはIE7、8と使ってないのでちょっとよくわかりませんが。
結局、DDoSは誤報だったということでよろしいのでしょうか。あんま意味なさそうですしね。
furumai_yoshiko: 【中国のツイート】「昨夜、公安局が尖閣抗議デモの申請を受け付けたという情報が流れ、一時中国語TLが騒然となったが、元は朝日新聞の記事だったらしい。デモの主催者とされた機関、そして公安局はその事実を否定」// じゃ、否定したからにはだれが主催するのかな~~?とww
kaito834: 実際にDDoSが行われるかはグレーかな。 RT @kaokaokaokao: きょうにはこういうニュースも流れているので、サイバー攻撃は中止みたい? http://www.enet.com.cn/article/2010/0915/A20100915728462.shtml
組織とは関係なさげだと思いますが、改ざんはされてるみたいですね。実は某図書館みたいにAnonymousでアクセスできたのかもしれませんがw
47news: 中国ハッカーの攻撃か 金沢大付属高のHP改ざん http://bit.ly/cUPaXh
L2で検知って、フレームの宛先と頻度だけチェックするんですかね。ウイルス感染して接続しまくりは排除できると思いますが、どうでしょう。
ntsuji: 検知精度と遮断までの流れがが気になる子ちゃんですよ。 社内PCのセキュリティ対策をレイヤ2スイッチで実現 - @IT - http://bit.ly/coFKVf
WindowsというかIEの設定に書かれているものの、ちょっとよくわからないアレですね。
bakera: [メモ] たぶん誰も使っていない「Javaアプレットのスクリプト」について。 http://download.oracle.com/javase/1.4.2/docs/guide/plugin/developer_guide/js_java.html
UIが新しくなっただけじゃなくて、XSSも修正されてよかったです。
kinugawamasato: Twitter widgetのXSSが修正された。これが→http://bit.ly/axGCun こうだった→http://gyazo.com/ebd71eaff11b9a4d0d2ae2ab132bc949.png
twitterボットネットですか… 人が増えると使って悪いことしようとする人も増えてきますね。
hackinthebox: Mexican Twitter-Controlled Botnet Detected - https://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=37894
頻繁にアクセスすると威力業務妨害に問われますよとか。
rryu2010: ウェブサイトの強度は見た目では分からないので、トップページに「当サイトは段ボールハウス並みの強度なので、優しくアクセスするようご配慮をお願いいたします」と書いておくべきですね。 / ぜんぜん知らないおじさんオフィシャルブログ Power… http://htn.to/eGXASJ
9月15日のtwitterセキュリティクラスタ
今日もまたまた雨です。季節の変わり目はいろいろ大変ですね。
昨日開催されたオプトのセミナーに対する高木先生のつぶやきが興味深かったのでまとめておきました。行動ターゲッティング広告のデータを共有するらしいです。個人情報のない番号で管理するから安心、という話ですが、各社それに対応する個人情報を握っているので紐付けは簡単にできそうですね。
JailBreakしてなくても使えるんですね。タダなので使い途はないけどとりあえず入れてみようかと思います。
ニッチな資格ですが、何人くらい取得するのでしょうか。
うまいこと言おうとして、より難しくしているのが痛々しいですね。
中国はどうしちゃったのでしょうか。USJのサイトにDDoSしても日本に何の影響もないと思いますが。
そして18日に攻撃が来そうなフラグがw
昨日開催されたオプトのセミナーに対する高木先生のつぶやきが興味深かったのでまとめておきました。行動ターゲッティング広告のデータを共有するらしいです。個人情報のない番号で管理するから安心、という話ですが、各社それに対応する個人情報を握っているので紐付けは簡単にできそうですね。
JailBreakしてなくても使えるんですね。タダなので使い途はないけどとりあえず入れてみようかと思います。
kikuzou: Nessus の iPhoneアプリ。http://bit.ly/cg4tSu うちのチームはこれでiPhone必須となりましたwww
ニッチな資格ですが、何人くらい取得するのでしょうか。
connect24h: クラウド・セキュリティの認定資格「CCSK」 http://hase-sec.cocolog-nifty.com/blog/2010/08/ccsk-9a6f.html
うまいこと言おうとして、より難しくしているのが痛々しいですね。
lac_security: .@laccotv 川口のつぶやき 「ファイアウォール(FW)のログはどう見るべきか?重要なのはInbound(入り鉄砲)ではなく、Outbound(出女)」 (^ま) http://www.youtube.com/watch?v=lwlpi9bRaC4
中国はどうしちゃったのでしょうか。USJのサイトにDDoSしても日本に何の影響もないと思いますが。
connect24h: 中国のハッカー集団が攻撃予告、日本政府やTDL、USJも対象 http://news.searchina.ne.jp/disp.cgi?y=2010&d=0914&f=national_0914_113.shtml
そして18日に攻撃が来そうなフラグがw
lac_security: 現場の一言。中国から日本に対するDDoS攻撃の予告がされていますが、SOCでは現時点で予兆はありません。引き続き動静を見守っています。また、18日はTさんの結婚式のようですので、出来ることなら攻撃は止めていただきたいところです。 (^あ)
ymzkei5: くっそー。みんなして幸せになりやがってっ。私がDoSかけたい気分だよ…。(うそw) RT @lac_security: 18日はTさんの結婚式のようですので、出来ることなら攻撃は止めていただきたいところです。 (^あ)
9月14日のtwitterセキュリティクラスタ
急に涼しくなってきました。夜も冷え込んでびっくりですね。
今年もBlackHat Japanは開催されないものの「ブラックハットジャパンその後」が開催されるそうです。遠いけど10月なら行けるような行けないような… 誰かに誘われたら行こうかな。
ncrack0.3について、いろいろできることが増えたみたいなのですが、まだ触ってないので時間作って触ってみたいなあ。
個人で他人のカード情報を知ってても、あんまり使い途がないのですが、大きな組織で世界を股にかけることでいろいろ隠せるんでしょうね。
IPAにはもうちょっとがんばってほしいものですね。
これが中国ハッカーからの日本攻撃に使われたりするのでしょうか。
またですか。これでiOSにFlash採用の道はまた遠くなったような。
裏では変態紳士養成キャンプだったりしたのでしょうか><
今年もBlackHat Japanは開催されないものの「ブラックハットジャパンその後」が開催されるそうです。遠いけど10月なら行けるような行けないような… 誰かに誘われたら行こうかな。
ripjyr: 予告をしていた、10月09日の関西での勉強会「現在の日本のセキュリティ ~ブラックハットジャパンその後 関西編~」が募集開始しました!はせがわさん、鵜飼さん、岡谷さんが講演!僕も参加しますので、お会いできるのを楽しみにしています!>http://bit.ly/cSYUIL
yumano: 新潟にいるからいけない(T-T RT @amidaku: 「ブラックハットジャパンその後 関西編」参加します http://d.hatena.ne.jp/isol/20100914/1284468838
hasegawayosuke: ニセ脆弱性とニセセキュリティを満載した虚言まみれのプレゼンがほぼ完成。あとは Conclusionだけだ。70ページくらいかな。
hasegawayosuke: 「ブラックハットジャパンその後」で話す内容についてブログ書いた。 http://d.hatena.ne.jp/hasegawayosuke/20100914/p1
ncrack0.3について、いろいろできることが増えたみたいなのですが、まだ触ってないので時間作って触ってみたいなあ。
ntsuji: ncrack-0.3ALPHA入れてみました。ヘルプにはMODULESにRDP,SMBの表記がないですが「-V」するとでてきましたよ。
ntsuji: ncrackのオプションを真面目に読み始めましたよ。色々と柔軟な記述ができるのねということが分かってきましたよ。nmapの結果を読み込ませられるのもよいですね。
個人で他人のカード情報を知ってても、あんまり使い途がないのですが、大きな組織で世界を股にかけることでいろいろ隠せるんでしょうね。
gohsuket: 個人情報保護、プライバシー議論の関係者は必読 RT @MasafumiNegishi: RT 解説:システマチックに大量流通--クレジットカード情報を売買する「闇サイト」の実態 - http://j.mp/9JjLF8
IPAにはもうちょっとがんばってほしいものですね。
Akira_Murakami: いわゆる脆弱性情報等に関して連携をしたっていことですかね? RT @cchanabo: RT @cnet_japan: IPAとNISC、政府機関の情報セキュリティ対策で連携 http://bit.ly/d9DSjH
これが中国ハッカーからの日本攻撃に使われたりするのでしょうか。
yumano: 阿拉丁UDP洪水攻?器2.1 http://www.cnxhacker.com/Soft/hacker/ddos/200608/546.html 単純なUDP floodっぽい
またですか。これでiOSにFlash採用の道はまた遠くなったような。
MasafumiNegishi: RT Flash Playerにもパッチ未提供の脆弱性、これを悪用した攻撃も発生 - http://j.mp/afQP5V
裏では変態紳士養成キャンプだったりしたのでしょうか><
yumano: 読んでわかったこと⇒キャンプは変態の集まり RT @tyage: [セプキャン] / @IT:そこはコンピュータ版「精神と時の部屋」(1/3) http://htn.to/s8V3Wm
9月10~13日くらいのtwitterセキュリティクラスタ
引きこもりのはずなのに出張という甘い言葉に誘われてつい外に出てしまったものの、行き先はタコ部屋でした。
仕事って大変ですね。ということでようやく脱出してきましたが、まだちょっと忙しくて困ったものですよ。
ぼくも脆弱性を検査しようと思ってKindle3を買いました。ポートは1つも開いてませんが、USBストレージに見えるから、ウイルスだって混入するかもしれません><
ということでUSBストレージに見えたのではないかと思われるルータにウイルス混入だそうです。昔はBBルータってデフォルトでインターネットからデフォルトパスワードで入れるものがあったりしましたが、今はどうでしょう。
Linuxのサポート切れについて。まあ、Windowsってサポート切れるまではWindows Updateがあるものの、昔のLinuxにはそんなものはなく、担当が手動でがんばるイメージで、しかもパッチも提供されなくなったらそれは大変痛いなあとか。
会議中に短縮URLをクリックすると、たまに大変なページが表示されてあせりますね。
仕事って大変ですね。ということでようやく脱出してきましたが、まだちょっと忙しくて困ったものですよ。
ぼくも脆弱性を検査しようと思ってKindle3を買いました。ポートは1つも開いてませんが、USBストレージに見えるから、ウイルスだって混入するかもしれません><
hasegawayosuke: 「%s を買えば %s の脆弱性を研究できますよ。」←人に新しいガジェットを買わせるときに便利なテンプレ。
ockeghem: あなたの場合は、自分が新しいガジェットを買う際の言い訳(自己正当化)では?www RT @ymzkei5: RT @hasegawayosuke: 「%s を買えば %s の脆弱性を研究できますよ。」←人に新しいガジェットを買わせるときに便利なテンプレ。
ということでUSBストレージに見えたのではないかと思われるルータにウイルス混入だそうです。昔はBBルータってデフォルトでインターネットからデフォルトパスワードで入れるものがあったりしましたが、今はどうでしょう。
kalab1998: このルータはUSBストレージに見えるということかな?QT @nikkeibpITpro: バッファロー、NTT東日本のモバイルルーターにウイルス混入(ニュース) http://j.mp/cM58tL #itprojp
Linuxのサポート切れについて。まあ、Windowsってサポート切れるまではWindows Updateがあるものの、昔のLinuxにはそんなものはなく、担当が手動でがんばるイメージで、しかもパッチも提供されなくなったらそれは大変痛いなあとか。
ockeghem: Windows2000のサポート切れ問題に対して、Linuxにすればという意見はもっともだと思いつつ、サポート切れのRed Hat Linux使い続けているところも相当あるようなので、実は似た状況はLinuxにもあるんです
ockeghem: 脆弱性診断でPHPのバージョンが古いから更新してくださいと報告した際に、「検証が大変だからできない」という答えは予測の範囲だったが、実際に帰ってきた答えが「Redhat更新するお金がないからできない」だったのは僕には新鮮な驚きだった。彼らにはPHPも無料じゃないんだ
hebikuzure: @ockeghem 結局スキルやスキルを獲得する時間を金で買った以上、どこまでもお金を使うしかない状況になるという事が正しく認識されていないのだなあ。
ockeghem: ですね。だからそういう人に「CentOSやUbuntuなら無料です」とは勧めにくいです RT @hebikuzure: @ockeghem 結局スキルやスキルを獲得する時間を金で買った以上、どこまでもお金を使うしかない状況になるという事が正しく認識されていないのだなあ。
hebikuzure: これからスキルを上げようという人 (組織) ならいいんですけどね。まあ Windows ならスキル無くてもいいのかというとそれはまた違うんですが ww QT @ockeghem: ですね。だからそういう人に「CentOSやUbuntuなら無料です」とは勧めにくいです
connect24h: VMware ESXi USBパススルー評価記事。blog書きました。@ShigeoKagami 自宅サーバ使いに贈るVMware ESXiがUSBパススルー機能によりネ申木幾に昇格した瞬間 http://ow.ly/2AChT
MasafumiNegishi: RT 車載コンピューターをハッキングされてハンドルもブレーキも利かなくなる恐怖! - http://j.mp/aMMyRu
yumano: EMETを用いた脆弱性対策。普通の人には無理不可能!! http://japan.cnet.com/news/service/story/0,3800104747,20419900,00.htm
ntsuji: ncrackにRDPやSMBモジュールが追加されて、ブランクパスワードへの対応もなされた模様ですよ。 http://nmap.org/ncrack/
sen_u: 紅客連盟中国が18日までに日本政府機関Webサイトを攻撃する方針を発表。そのターゲットリスト http://www.cfdd.org.cn/bbs/thread-71680-1-1.html
hasegawayosuke: 愛甲さんところはマカフィーか。金トコさんところはトレンドマイクロのが危険サイトっていう警告だしてたな。
会議中に短縮URLをクリックすると、たまに大変なページが表示されてあせりますね。
ockeghem: マジレスすると、見えないiframe内に恥ずかしい商品表示させたら、ばれにくいですね。 CSRFといえなくもない RT @ntsuji: オススメポイゾニングと命名したいです。 RT @reptone: amazonの恥ずかしい商品の短縮URL踏ませておすすめを汚す嫌がらせ
お休みのお知らせ
出張のため月曜日までお休みさせていただきます。
あしからずご了承ください。
あしからずご了承ください。
mattn_jp: HTMLのcharsetやtypeで偽装するなんて当たり前になってきたから、そろそろユーザ指定の属性なんて廃止して全部Guessで行こうぜ!このゲス!
hasegawayosuke: 昔,IEがPNGをHTML扱いしてたときの理由がそれ。「サーバから送られてきた Content-Typeが信頼できないのでIEが自分でファイルタイプを判断する」って。アホかと思った。 https://twitter.com/mattn_jp/status/23867076757
9月7日のtwitterセキュリティクラスタ
昨日までのクソ暑い日々から一変して、今日は土砂降りの雨です。落差が激しいですね。
twitterのXSSです。まだまだありますね。
展開されるURLはこんなかんじ。
http://dev.twitter.com/search?query=%25C0%3C/script%20%25C0%3E%25C0%3Cscript%20%25C0%3Ealert%281%29//%25C0%3C/script%20%25C0%3E
そして、これじゃないようですが、TwitterのXSSで、閲覧者のCookieが狙われているみたいです。
日本語記事があるようなので追加しておきます。
プロの目からもやはりいろいろおかしいみたいなので、これからもまだいろいろ起こるかもしれません。
ルートサーバーに続き、いよいよjpドメインにもDNSSECが導入されるようです。そして、DNSSECって使われてるの?の答え。
TechCrunchのヨーロッパ版が乗っ取られていたようです。日本でアダルトサイトになったのはtechnoratiでしたか。
最近、実験クライアントとして古い時計のおかしいPCを引っ張り出してきたのですが、すべてのSSLアクセスで証明書が期限が未来過ぎておかしいって出て泣きそうになりました。時計って大切ですね。
高木先生からSFCの人に問題提起。近日中に情報セキュリティじゃないけど関係者に会うので聞いてみよっと。
まあ、それなら公開鍵認証じゃなくてもいいんじゃないかということですね。
高木先生の批判のきっかけとなった、このサービスが紹介されているエントリがこちら。
http://d.hatena.ne.jp/daigaku-syokuin/20100905/p1
そして、参考になるエントリがこちら。
http://d.hatena.ne.jp/y-kawaz/20100907/1283849508
そしてこちらははせがわさんからの問題定義。こっちは難しくてよくわかんないです。
IPAによると、職場のパソコンが感染してしまった中年サラリーマンから「どうしたらいいんだ」「何とかしてくれ」と、助けを求める電話が相次いでいるという。って中年限定かよw
twitterのXSSです。まだまだありますね。
kinugawamasato: dev.twitter.com XSS still hasn't been completely fixed. http://bit.ly/dvpJyO #XSS #twitter
展開されるURLはこんなかんじ。
http://dev.twitter.com/search?query=%25C0%3C/script%20%25C0%3E%25C0%3Cscript%20%25C0%3Ealert%281%29//%25C0%3C/script%20%25C0%3E
そして、これじゃないようですが、TwitterのXSSで、閲覧者のCookieが狙われているみたいです。
MasafumiNegishi: RT Attackers Target Twitter XSS Bug - http://j.mp/a71ygf
MasafumiNegishi: RT Twitter XSS in the wild - http://j.mp/cyJ24j
日本語記事があるようなので追加しておきます。
tdaitoku: RT Twitterで悪質なスクリプトが流通、cookie盗難の恐れ http://bit.ly/9gY3sj
プロの目からもやはりいろいろおかしいみたいなので、これからもまだいろいろ起こるかもしれません。
hasegawayosuke: Twitterは文字コード周り、やっぱりおかしいね。
ルートサーバーに続き、いよいよjpドメインにもDNSSECが導入されるようです。そして、DNSSECって使われてるの?の答え。
Murashima: JPドメイン名サービスへのDNSSEC導入、2011年1月16日に決定 -INTERNET Watch http://goo.gl/Tgdn
MasafumiNegishi: RT DNSクライアントによるDNSSECのリクエスト量 - http://j.mp/aHSILq
TechCrunchのヨーロッパ版が乗っ取られていたようです。日本でアダルトサイトになったのはtechnoratiでしたか。
RosehrMarketing: TechCrunch Europe hacked, serving malware http://ow.ly/2ApZK #News #Info #Security
最近、実験クライアントとして古い時計のおかしいPCを引っ張り出してきたのですが、すべてのSSLアクセスで証明書が期限が未来過ぎておかしいって出て泣きそうになりました。時計って大切ですね。
gohsuket: ん?httpsで? RT @izuizu: chromeでtwitterのURLにどくろマークが・・・なにこれこわい・・・ http://twitpic.com/2m0fvj
高木先生からSFCの人に問題提起。近日中に情報セキュリティじゃないけど関係者に会うので聞いてみよっと。
HiromitsuTakagi: 慶應SFCの学生(特に情報セキュリティ関係)に試練の課題。2週間以内にこのサービス https://itcsecure.sfc.keio.ac.jp/ssh/ の中止を実現せよ。(ただし「秘密鍵生成をサーバ側で行うのが不適切」という指摘は誤りなので注意すること。)
HiromitsuTakagi: ヒント: 大学側への要望書には次の3点を説明する必要がある。(1)SSH公開鍵認証を使う意義、使わない場合との差は何か(技術的観点)。(2)このサービスの存在によってセキュリティは低下するか否か(技術的観点)。(3)それなのになぜこのサービスの中止が必要なのか(社会的観点)。
HiromitsuTakagi: ヒント: (2)の説明には少なくとも次の事実確認(とその考察)を含む必要がある。(i)鍵登録後のログイン手段、(ii)鍵登録後に強制パスワード変更があるか否か、(iii)鍵登録作業の全員への強制の有無と(i)の将来予定、(iv)当該機能を利用可能なネットワーク上の範囲。
まあ、それなら公開鍵認証じゃなくてもいいんじゃないかということですね。
kinyuka: KO大学の鍵の件、何が問題なんだかいまいちわからない… 最近はSSLの鍵も生成してもらう時代だし… http://jp.globalsign.com/service/ssl/skip/
kinyuka: 公開鍵の自動登録をしちゃうのか それはまずいな
高木先生の批判のきっかけとなった、このサービスが紹介されているエントリがこちら。
http://d.hatena.ne.jp/daigaku-syokuin/20100905/p1
そして、参考になるエントリがこちら。
http://d.hatena.ne.jp/y-kawaz/20100907/1283849508
そしてこちらははせがわさんからの問題定義。こっちは難しくてよくわかんないです。
hasegawayosuke: JSONPを返すAPIにて攻撃者がJSONPフォーマットを壊して自由にJSを埋め込めるとしたらどんな脅威がある? そのままJSONPをブラウザで開いてもHTML扱いされないのでXSSは発生しない場合。
hasegawayosuke: (続き) JSONPの破壊が持続性を持つような場合だと、そのJSONPを呼んでいる他のサイトに対するXSSか。JSONPの破壊が反射的な場合は実害なし? 例えば callbak 名に好きな文字列が入る、みたいな。
IPAによると、職場のパソコンが感染してしまった中年サラリーマンから「どうしたらいいんだ」「何とかしてくれ」と、助けを求める電話が相次いでいるという。って中年限定かよw
ymzkei5: IPAセキュリティセンターの加賀谷さんのコメントあり。>■会社PC危ない!アダルトサイト詐欺急増、衝撃の手口(ZAKZAK(夕刊フジ)) http://news.livedoor.com/article/detail/4992024/
9月6日のtwitterセキュリティクラスタ
今日も暑いです。なんとかならないのでしょうか。
.LNKの脆弱性を使って自動実行を無効にしても実行されてしまうStuxnetウイルスについて。こいつは大変そうです。Webを見たり、共有フォルダを覗くだけでも感染するのですね。
USBメモリやファイル共有からDLL呼び出しできるようで、次にウイルスの対象になりそうなDLL Preloading Attackについて。まあ、Active Directoryな会社はファイル共有ありまくりでしょう。
Niktoってずいぶん昔のものの印象があったのですが、まだ更新されているのですね。
意味はよくわかりませんがこの表現はどこかで使ってみたいです。
銀行って右クリック禁止が多い印象が。あと僕の使ってる銀行でもソフトウェアキーボード使わないとアラートが出て非常にウザいです。
高円寺あたりでもやらないものでしょうか。もしくは阿佐ヶ谷とか野方とか。
レポート読んでると行きたくなりますよね。
どこなんだ…
前任者から引き継ぎなく回ってきたものに手を入れて、それをまた引き継いで…
NTTもいろいろやってるよなあとか。
RubyのWebアプリの脆弱性検査フレームワークですか。
.LNKの脆弱性を使って自動実行を無効にしても実行されてしまうStuxnetウイルスについて。こいつは大変そうです。Webを見たり、共有フォルダを覗くだけでも感染するのですね。
connect24h: うわーん。こんなの出てきたら、いまからセキュリティ訓練のコンテンツに追加しなきゃいけなくなるじゃないかー。新たな攻撃手口で、USB メモリなどを介して感染拡大するウイルスが出現!http://ow.ly/2zSmQ
MasafumiNegishi: RT 「オートラン機能無効化」が効かないUSBメモリ感染ウイルス?IPAが注意喚起 - http://j.mp/bkcgJA
USBメモリやファイル共有からDLL呼び出しできるようで、次にウイルスの対象になりそうなDLL Preloading Attackについて。まあ、Active Directoryな会社はファイル共有ありまくりでしょう。
kaito834: DLL Preloading Attack では、WebDAV や SMB 接続での CWD の DLL 呼び出しが危険視されているけど、USB メモリ経由の方が危険ではないか。
kaito834: 現状 Fix It を適用すれば、WebDAV や SMB 経由の CWD の DLL 呼び出しを防げるけど、USBメモリ経由では防げない。CWDIllegalInDllSearch を 0xFFFFFFFF にする選択肢もあるけど、副作用が心配。
kaito834: 根本的には影響を受ける各アプリケーションが修正する必要があるわけだけど、すべてのアプリケーションがすぐに修正されるわけではないだろうし。LNK ファイルの脆弱性(MS10-046 で修正)も知る限りだと、USB メモリ経由での悪用事例しかない。
ucq: @kaito834 自分もそう思ってるのですが、あまり言われてませんよね。LNKの方の影響が大きくてってのもあるのかもしれませんが。
ucq: 前からDLLの検索順位はたびたび話題になってたけど、ここまでひどくなるもんだと思ってなかったなぁ。。。
kaito834: @ucq なんでですかね。WebDAV や SMB を使ったインターネット経由のファイル共有って、どこまで使われているのかが疑問です。少なくとも、自分では業務でも使うことないので、悪用されて成立するの?という感じですね。
Niktoってずいぶん昔のものの印象があったのですが、まだ更新されているのですね。
MasafumiNegishi: RT Nikto 2.1.3 released - http://j.mp/anUd7i
意味はよくわかりませんがこの表現はどこかで使ってみたいです。
ucq: なんだと!? >「当サイトへのリンクは不正アクセス禁止法で制限できます。 」
銀行って右クリック禁止が多い印象が。あと僕の使ってる銀行でもソフトウェアキーボード使わないとアラートが出て非常にウザいです。
ockeghem: 北國銀行さんのオンラインバンキング、今時右クリック禁止とかソフトウェアキーボードとか、意味のない「セキュリティ対策」を律儀にやっている感じですね
高円寺あたりでもやらないものでしょうか。もしくは阿佐ヶ谷とか野方とか。
ripjyr: IT勉強会において、神奈川による逆襲が始まった。めっちゃくちゃ増えてきた気がする。
レポート読んでると行きたくなりますよね。
smokeymonkey: 愛甲さんが面白い話してたのかwこれは見たかったなぁ。 Watching:エフスタ!!&東北情報セキュリティ勉強会 レポート - ふぁいんでぃんぐねもの日記 http://bit.ly/dfEUMU
どこなんだ…
bulkneets: あらtwitter未修正のXSSさらされてる
前任者から引き継ぎなく回ってきたものに手を入れて、それをまた引き継いで…
bugbird: ヒント:手段が目的になってしまっているから RT @bakera: 何が目的なのか全く理解できないセキュリティポリシーが多すぎる。
NTTもいろいろやってるよなあとか。
hir0_t: 大湊さんでてる RT @ntsuji 第9回 NTTグループの「NTT-CERT」――研究所の活動として運営,研修開きノウハウを伝授 http://bit.ly/ctoEdj
RubyのWebアプリの脆弱性検査フレームワークですか。
kikuzou: Arachni - Web Application Vulnerability Scanning Framework http://bit.ly/doviAd
9月3日のtwitterセキュリティクラスタ
あっという間に週末です。貧乏暇無しですね。
名前がややこしいiTunesのPingですが、プライバシー的には結構問題みたいですね。iTunesの情報はカード情報と紐付いていることが多いので、できれば明かされたくないのですが…
最近仕事で某SaaSに関わってますが、ハニーポットとか構築すると激怒されそうですw
いよいよサービスレベルでもv6なんですかね。某v6の本場ではアプリケーション層とLANに関しては悲観的ですが、どうなんでしょうね。
つか、いつでもなんでも情報収集しておくに越したことはないと思いますが。
名前がややこしいiTunesのPingですが、プライバシー的には結構問題みたいですね。iTunesの情報はカード情報と紐付いていることが多いので、できれば明かされたくないのですが…
abfly: Ping、デフォルトで実名と住所(市区まで)が公開になってます。もしまだでしたら住所は消した方がいいかも。名前は変えるとクレジットカードの請求名が変わってしまうので変えると厄介な事に RT @Mkikai: iTunesのPing登録してみたけど、なんだかまだよく分かんね。
Mkikai: 住所はぼかしました。名前は実名漢字表記をローマ字(実名)に直しましたけど、これでもカード関係まずいですかね?RT @abfly: Ping、デフォルトで実名と住所(市区まで)が公開になってます...名前は変えるとクレジットカードの請求名が変わってしまうので変えると厄介な事に
abfly: .@Mkikai どうなんでしょうね。ローマ字なら大丈夫ではないかと。クレジットカードとのひも付け、やめてほしいんですけどね。実名制にしたいのでしょうけど……
abfly: まてよ……。Ping、名前クレジットカードの名義とひも付けされてるという事は………Lady GAGAってクレカの名義ガガなのか!?
yumano: やっぱ、google buzzなみのセキュリティホールが・・・ orz RT @abfly: Ping、デフォルトで実名と住所(市区まで)が公開になってます。もしまだでしたら住所は消した方がいいかも。名前は変えるとクレジットカードの請求名が変わってしまうので変えると厄介な事に R
Mkikai: 実名制は自分的にはOKなんですが、クレカとかその辺と切り離せないのは恐いですねー RT @abfly: @Mkikai どうなんでしょうね。ローマ字なら大丈夫ではないかと。クレジットカードとのひも付け、やめてほしいんですけどね。実名制にしたいのでしょうけど……
最近仕事で某SaaSに関わってますが、ハニーポットとか構築すると激怒されそうですw
kensukesan: さくらのVPS、カーネルレベルのKVMで完全仮想化なので、ハニーポッドの運用とかにいいかも? http://tinyurl.com/27jeysf #spcamp
いよいよサービスレベルでもv6なんですかね。某v6の本場ではアプリケーション層とLANに関しては悲観的ですが、どうなんでしょうね。
otsune: IPv6の大規模トライアル、ドワンゴ、ミクシィ、ヤフーらが参加 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20100902_391168.html
つか、いつでもなんでも情報収集しておくに越したことはないと思いますが。
topitmedia: Windowsのショートカット処理に関する脆弱性などを例に。/「新手のサイバー攻撃には情報収集が不可欠」、IPAが注意喚起 - ITmedia エンタープライズ http://ow.ly/2yWLU
9月2日のtwitterセキュリティクラスタ
忙しく仕事している間にもう週末ですよ。忙しいって大変だなあ。
いろいろなところからレポートが発表されているDLLハイジャッキング脆弱性ですが、ようやく回避ツールが出たようです。
引き続きcalc.exeについて。遠回しにドコモがバカにされているのが面白いです。
そして、こっちもまずいんじゃないかと思うQuicktimeの脆弱性です。ビデオは相変わらず電卓。
確かにエラーが出なければSQLインジェクションって人からは見つけられないかもしれませんが、エラーを見ないツールやボットは関係ないかも。
いいだしっぺが作る法則なのでしょうか。
ネットにつながってると何でも危険な可能性があるということなのでしょうか。気にしすぎって気がしなくはないですが。
CISCOじゃないみたいです。
ちょっと楽しみです。以前もこういうイベントありましたよね。
いろいろなところからレポートが発表されているDLLハイジャッキング脆弱性ですが、ようやく回避ツールが出たようです。
msaitotypeR: Microsoft、DLL読み込みの脆弱性について回避策適用ツール「Fix it」を公開 -INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20100901_390757.html?ref=rss
引き続きcalc.exeについて。遠回しにドコモがバカにされているのが面白いです。
hasegawayosuke: calc.exe を実行禁止にしておけば、バッファオーバーフローも怖くないですね!
ockeghem: ドコモがXSS対策としてalertを殺したように、マイクロソフトがバッファオーバーフロー対策としてcalc.exeをバンドルしなくなる日も近いか
そして、こっちもまずいんじゃないかと思うQuicktimeの脆弱性です。ビデオは相変わらず電卓。
yumano: calc.exeが起動しない・・・orz ie6 + quicktime 7.6.7 じゃダメなのかな?
yumano: あれ、計算機をちゃんと立ち上げてるのになぁ http://www.youtube.com/watch?v=iCN02i713CY&feature=youtu.be&a
kikuzou: @yumano WinXP SP3 + IE8 + QuickTime 7.6.7 の環境では動作しました。
yumano: @kikuzou IE6->IE8にしたら行けました。Test OKと書いてあるけど、動かなかったのはどうしてだろ。それにしても、DEP ONで突き刺さるのはス(ry
確かにエラーが出なければSQLインジェクションって人からは見つけられないかもしれませんが、エラーを見ないツールやボットは関係ないかも。
ikepyon: そういや、この間「SQLインジェクションの危険性があります」といったら、「検証環境なんで、エラー表示があったから見つかったんですよね。本番環境ではエラー表示が無いからみつから無いですよね?」みたいなこと言われたorz
ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz
gutei: 気付かない(ふりの出来る)ことは存在しない RT @ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz
ikepyon: 知らぬが仏って奴ですねorz RT: @gutei: 気付かない(ふりの出来る)ことは存在しない RT @ikepyon: エラーメッセージが出るかどうかでSQLインジェクションはなくなるもんじゃないよorz関係なく見つけ出せるよorz
いいだしっぺが作る法則なのでしょうか。
ikepyon: 結合テスト後のセキュリティテスト方法はLASDECのWeb健康診断をやれば良いと思うけど、単体テストでの指標なりテンプレート、ツールが欲しいなぁと思っている今日この頃
ネットにつながってると何でも危険な可能性があるということなのでしょうか。気にしすぎって気がしなくはないですが。
lac_security: IPAさんから 「デジタル複合機の脆弱性に関する調査報告書の公開~多機能化するデジタル複合機に潜む脆弱性の多角的な調査~」がでてますね。 (^む) http://www.ipa.go.jp/about/press/20100830.html
CISCOじゃないみたいです。
lac_security: 気になるニュース セキュリティ責任者のユーザー会「日本CISO協会」が発足 (^む) http://itpro.nikkeibp.co.jp/article/NEWS/20100901/351687/
ちょっと楽しみです。以前もこういうイベントありましたよね。
MasafumiNegishi: RT 研究者が宣言、「有名ソフトの『ゼロデイ脆弱性』を毎日公開する」(ニュース) - http://j.mp/bd4RjD
9月1日のtwitterセキュリティクラスタ
新しいiPod nanoと、iPod touch、とiPod shuffleが発表されたようです。特に使い途もないのですが、ほしくなりますね。
そういやUNYUNさんがWindowsの脆弱性突き始めた頃から実行するのは電卓でしたね。なんでだろ。
つか検出方法の方が気になりますが。
ソーシャルエンジニアリングについて。社会工学っていう訳語と実際にやることの乖離は気になりますよね。
なりすましのやり方が簡潔に解説されています。参考に… せずに防御に役立てましょう。
実装できないかどうかはともかくこれを機会に止めちゃうアカウントが多そうなので、そいつらはリムーブしたいですが探すのも面倒ですし。
QuickTimeって使わないのに入れられてることが多いので、こいつは流行りそうですね。
信頼性とか考えてると短縮URLって危険すぎて使えないですよね。
今のところAmazonからしか買えないのですか。そうですか。流通絞るって大切ですね。
OSのバージョン指定までされて… XSS廃人限定問題ですね。
そういやUNYUNさんがWindowsの脆弱性突き始めた頃から実行するのは電卓でしたね。なんでだろ。
ntsuji: デスクトップ上にcalc.exeが上がっていると任意のコードを実行したんだーと思ってしまいますよ。
ockeghem: 任意のコードが実行されるって、実は理解されにくいんだけど、「任意というのは電卓のことか」と思われても困りますね~ XSSのalertも似た感じだけど
yumano: それ以外でcalc.exe立ち上げることないし・・・ RT @ntsuji: デスクトップ上にcalc.exeが上がっていると任意のコードを実行したんだーと思ってしまいますよ。
つか検出方法の方が気になりますが。
hasegawayosuke: プライベートブラウジングがリモートから検出可能になると、プライベートブラウジングでは通常の動作をしない、ひねくれたWebアプリが出てくる可能性が。「堂々と見てくれ。ちゃんと履歴に残して、再訪してくれ。」という主張で。
ソーシャルエンジニアリングについて。社会工学っていう訳語と実際にやることの乖離は気になりますよね。
uta46: この講師の仕込んだキーは 2501 かもねというような所から攻めるのがソーシャルエンジニアリングです。 #itkeys
tama_nara: そういわれてみるとソーシャルエンジニアリングについて詳しくは講義していません。これもちゃんと教えないと行けないですよね... RT @uta46: この講師の仕込んだキーは 2501 かもねというような所から攻めるのがソーシャルエンジニアリングです。 #itkeys
uta46: .@tama_nara ソーシャルエンジニアリングを日本語にすると社会工学と書いてあることが多いのですが、社会でも工学でもなく、社交工作くらいの方が適当なのではないかと思っています。 #itkeys
なりすましのやり方が簡潔に解説されています。参考に… せずに防御に役立てましょう。
tdaitoku: RT 巧妙化する「なりすまし犯罪」、サイバーと伝統的な手口から身を守る方法 http://bit.ly/brCrPo
実装できないかどうかはともかくこれを機会に止めちゃうアカウントが多そうなので、そいつらはリムーブしたいですが探すのも面倒ですし。
mincemaker: Basic認証のTwitter Botしか実装できない人達がサービス終了しているみたいなのでアカウント纏めとか欲しいな。
QuickTimeって使わないのに入れられてることが多いので、こいつは流行りそうですね。
kikuzou: QuickTime 7.6.7 の脆弱性(CVE-2010-1818) ですが、任意のコマンドが実行されることを確認しました。きれいに動くのでヤバそうです。
MasafumiNegishi: RT Backdoor discovered in QuickTime - http://j.mp/d9Ka6x
信頼性とか考えてると短縮URLって危険すぎて使えないですよね。
sugusugu77: twitter で使っている tiny URL のマッピングが信頼性を持って行われていることは、どう保証しているのかな。昨日の議論で、かなり気になった。どうなんだろう。
今のところAmazonからしか買えないのですか。そうですか。流通絞るって大切ですね。
miryu: お、出ましたか / 情報処理推進機構:情報セキュリティ:情報セキュリティ白書2010 http://htn.to/rELYdN
OSのバージョン指定までされて… XSS廃人限定問題ですね。
hasegawayosuke: XSSチャレンジ…。 4問目がさっぱりわかんないな。 http://sla.ckers.org/forum/read.php?24,35534,35534#msg-35534
8月31日のtwitterセキュリティクラスタ
懸念されていたことですが、いよいよ9月が始まったようです。8月は仕事ばかりしていたので9月は休みたいです。
延期されていたOAuthへの全面移行がいよいよ来てしまいました。私の使っているサイトやツールはすでにOAuthなのですが、これを機会にやめちゃうところとか、
国内販売できるようにするにはソースコード提出させたりするのでしょうか。そして数年後には似たような製品が中国メーカーから発売されたり。
脆弱性を報告することで、相手に修正に費用をかけさせたり恨まれたりするというリスクは心の片隅に留めておかなきゃいけませんね。
全部のサイトで証明書が有効になったりしちゃうのでしょうか。
60万ドルかあ、いいなあ。ほしいなあ。
暗号化キーとか何とかなっちゃうもんなんですね。やってみたいです。もちろん電波法違反ですけどね。
ここで新バージョンですか… 原稿書いているのでうれしいようなうれしくないような。
ネットゲームとかマイクロペイメントなものはアカウント取るだけでいろいろできそうですし、注意したいものです。
クロスドメインでリソースを読み込むタグについて。いろいろあるんですね。
延期されていたOAuthへの全面移行がいよいよ来てしまいました。私の使っているサイトやツールはすでにOAuthなのですが、これを機会にやめちゃうところとか、
itmedia_news: Twitter、8月31日からAPI認証をOAuth方式に全面移行し、BASIC認証を終了^海外担当 http://bit.ly/bK9mXn
国内販売できるようにするにはソースコード提出させたりするのでしょうか。そして数年後には似たような製品が中国メーカーから発売されたり。
uemat7: 中国の規制強化で外国セキュリティ・ベンダーが締め出されるおそれ http://www.computerworld.jp/topics/vs/189091.html
脆弱性を報告することで、相手に修正に費用をかけさせたり恨まれたりするというリスクは心の片隅に留めておかなきゃいけませんね。
Vipper_The_NEET: もし,ばけらさんとか俺とかがIPA通じて報告したような脆弱性云々で修正費用発生してたらと思うとなんかキツイな。
Vipper_The_NEET: 図書館にコスト負担させるつもりでやってるわけじゃないんだけどなあ・・・
mutsuki99: そこの誤解は解かないとまずいですね。頑なに敵視されるのは避けたい。コストが発生したとしてもきっかけと原因は別ですし。 RT @Vipper_The_NEET: 図書館にコスト負担させるつもりでやってるわけじゃないんだけどなあ・・・
Vipper_The_NEET: IPA経由なので誤解は避けられると思いたいですが,結果としてそうなってしまうのは心外・・・ RT: @mutsuki99: そこの誤解は解かないとまずいですね。頑なに敵視されるのは避けたい。コストが発生したとしてもきっかけと原因は別ですし。
全部のサイトで証明書が有効になったりしちゃうのでしょうか。
secuniadvisory: [2/5] Mozilla Firefox NSS Certificate IP Address Wildcard Matching Vulnerability http://secunia.com/advisories/41244/
60万ドルかあ、いいなあ。ほしいなあ。
risa_ozaki: Hackers Steal $600000 from Catholic Diocese http://ow.ly/18NykR via @WebSecurityNews
暗号化キーとか何とかなっちゃうもんなんですね。やってみたいです。もちろん電波法違反ですけどね。
connect24h: 勝手にケータイの基地局を立ち上げて、全通話を盗聴可能にしちゃいました! http://bit.ly/aSIA6H
ここで新バージョンですか… 原稿書いているのでうれしいようなうれしくないような。
hebikuzure: "Wireshark 1.4 does not support Windows 2000" 仕方ないか... QT @hebikuzure: Wireshark 1.4.0 リリース。1.3 ってのは無かったんだ。http://www.wireshark.org/
ネットゲームとかマイクロペイメントなものはアカウント取るだけでいろいろできそうですし、注意したいものです。
antiphishing_jp: 緊急情報:PlayOnline(プレイオンライン)を騙るフィッシング(2010/08 /31)を掲載しました。https://www.antiphishing.jp/alert/alert456.html
クロスドメインでリソースを読み込むタグについて。いろいろあるんですね。
hasegawayosuke: CSSを介したクロスドメインでの情報漏洩は、ブラウザ側が修正すべき問題であり、Webアプリ側で対策する必要はないと思うので、書籍には「過去にはそういう問題もあった…」程度でよいように思います。
hasegawayosuke: クロスドメインでリソースを読み込み可能なのって他に何があるだろう。 CSS,<script>,<img>,<iframe>,<object>,<embed>,<input type="image">,importScripts,XHR,...
azu_re: <APPLET>と<BGSOUND>はクロスドメインなもの読み込めたっけ?
hasegawayosuke: @azu_re なるほど。最近だと、 <video> あたりもそうですね。
hoshikuzu: んー。<image> 。 RT @hasegawayosuke: クロスドメインでリソースを読み込み可能なのって他に何があるだろう。
masa141421356: @hasegawayosuke iじゃない frame、あと、XHRで読み込んだ XML の DTD もいけた気がする
