スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月27日のtwitterセキュリティクラスタ

昨日はNGPが話題でした。NGNとPGPがあるのでややこしいです。

そしてSSLはもっとややこしいことに。SSLがSSLの脆弱性を発見とかややこしいので絶対にこっちのSSLは使われなくなるだろうなと。
lac_security: 気になるニュース(^む) 今年はスマホか・・ らっこSSLに期待!http://itpro.nikkeibp.co.jp/article/COLUMN/20110106/355868/



ありがたいことに、togetterだけでないSCIS2011のまとめがあります。お疲れさまです。
piyokango: とりあえず書いただけな感じですが。。/NSF2011に行ってきた。 http://bit.ly/hrU5jO



そして、IPAの脆弱性演習ツールAppGoatだそうです。Webアプリと実行ファイルの両方の脆弱性の勉強ができるようで、週末にでもやってみたいと思います。
piyokango: SCIS2011で発表されていた脆弱性演習ツールAppGoatがIPAで公開されていますね。後で試してみたいです。開発はFFRなんですね。 http://bit.ly/goXZ7F

piyokango: AppGoatはPHPで実装されているんですね。終わったら終わったテーマにチェックマークが入るのも分かりやすいですね。

piyokango: セプキャンのXSSのようなのが出てくるかと思っていたら、一般的なタグで動くタイプでした。



ぼくも末席の方に参加させていただきます。サソリとか食べるかもしれません。
moton: 新年会の登録はお早めにー。 #NYP2011 : ATND http://atnd.org/events/12163



あと気になったことはこのあたり。
hasegawayosuke: Metasploit への jjencode のサポートの実装が着々と進んでて笑える。ネタじゃないのかw


HiromitsuTakagi: http://t.co/U2b8XCE 「入札要件に CMMI Level とか P マークとか指定されることがあるわけですが、その入札要件が不適切な参入障壁であると訴えることができそうですね。」 #librahack


Eidwinds: 第1回Soft and Hard CTFは02/26(土) 13:00開始になりそうです。場所は九工大戸畑キャンパス予定。 #secsteel


ockeghem: 日記書いた / CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例 - 徳丸浩の日記 http://htn.to/P3hDRu


hasegawayosuke: ここ数日もりあがってる "issue involving script security in Windows" って、mhtml くらいしか知らないんだけど、これ公開されてから半年以上放置されてるし。他に何かあるのかな。


wata0712: ERPの本来の目的は業務の効率化と情報の一元管理。ということは内部統制や企業リスクに関する情報を効率的に集め一元管理すべきでしょう。ERPいれて手動統制が増えるようではいけません(笑) #ERP #jsox


JSECTEAM: セキュリティ ニュースレターを配信しました。先月号でお知らせしました通り、デザインをリニューアルしています。http://bit.ly/f4DH7M

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

1月26日のtwitterセキュリティクラスタ

寒くてキーボードを打つ手が冷たくて困ります。電気代が心配です。

うれしいことにscis2011のまとめがありました。これで行った気になれます。あとは資料ダウンロードすれば完璧です。



真面目な話、ネットワーク本と比べるとセキュリティ本の売り上げなんて… ということで出せないこともしばしばです(涙)
ChoichiHasegawa: 「悪魔なサラリーマンのセキュリティエンジニア日記」という、わかりやすいクラッキング本を書いても、たぶん売れない。

cchanabo: 小悪魔女子高生のハッカー見習い日記 とかだと、絶対に売れそう。CIO(ちょーいやらしいおさーん)に(笑) RT @ChoichiHasegawa: 「悪魔なサラリーマンのセキュリティエンジニア日記」という、わかりやすいクラッキング本を書いても、たぶん売れない。



意外と<script>消して対策だと思ってるサイトがあってびっくりしますね。
hasegawayosuke: 引用符がU+2018,U+2019なので動かないよねw RT @laccotv: 川口洋のつぶやき 第52回 ~『間違ったクロスサイトスクリプティング(XSS)対策』を公開しました。  http://www.youtube.com/watch?v=xo42JkMXwY4

hasegawayosuke: < 通るけど <script> 消すやつ相手なら、<img onerror> とか注入しますね。攻撃者視点。



あと気になったことはこのあたり。
katsuny3: おはようございます みんなが外出してるときに限ってインシデントが起きる


ntsuji: Facebook、セキュリティーを強化―Social Captchaと常時HTTPS接続を導入 http://jp.techcrunch.com/archives/20110126facebook-security-https-social-captchas/


matsuu: OpenSSH 5.7でサポートされた楕円DSAを試してみた、を日記に書いた http://d.hatena.ne.jp/tmatsuu/20110127/1296086687


ntsuji: サルコジ大統領、マーク・ザッカーバーグがアカウントハックされてるようですね。以前には、こんな人もされていたようです。http://bit.ly/flNpAy

テーマ : セキュリティ
ジャンル : コンピュータ

1月25日のtwitterセキュリティクラスタ

昨日はセキュリティ女子BoFだったようです。興味があるのは僕が女子好きだから… ではなくて、会社員の時ずっと上司が女子(的な人を含むw)だったからですなこれが。
yuri_at_earth: いったん帰社しました。ご参加いただいた方々ありがとうございました。女子会をしたいのではなくて単なる通過点で、今回男子会がネタで終わったように女子会が成立しなくなる社会になるのが目標です。今後の活動にもご期待、ご支援よろしくお願いします! #secuko #nsf2011

yuri_at_earth: ずーっと女性の先輩がほしくてごく最近になってやっと組み込み系コミュSESSAMEで女子会をすることによって得られた。もっと若いうちに知り合えてたらなあと思ってたけど、出会えただけでもすごく恵まれてたんだなあということをセキュリティ系BOFで再認識した。 #secuko



世の中にはこんなにアレなWebサイトがあるのに、思った以上に届出件数が少なくてびっくりです。
jpcert: こんにちは。「ソフトウェア等の脆弱性関連情報に関する届出状況 2010年第4四半期」を公開しました。^YK https://www.jpcert.or.jp/report/press.html



入札とか思った以上に面倒ですが、技術審査があったりするので、まあ、実はいくつか候補があったりするんですよね。
hasegawayosuke: これは興味深い! 「脆弱性情報に係る調整不能案件の公表に関する調査」 http://www.ipa.go.jp/about/kobo/tender-20110125/index.html



あと気になったことはこのあたり。
piyokango: MSの情報漏えいリスクシミュレーションツールなんてあるんですね。 http://bit.ly/hnzwFR


bulkneets: そういえばtwitterのセキュリティ貢献者リストにのった(Tシャツはもらってないけど) http://bit.ly/gVAu3X


expl01t: 今後IPAから開発者向け脆弱性実習ツールAppGoatが出るらしい.#scis2011


ymzkei5: opensslで作った証明書を、Fiddler2で読み込ませてサーバ証明書として使うためには、「インターネットオプション」の「コンテンツ」の「証明書」の「個人」から該当の発行先の証明書を削除して、opensslで作った証明書を代わりにインポートする。ただし、サブジェクトの・・・

ymzkei5: (続き)ただし、サブジェクトのどこかに半角スペースか「,」で囲まれた対象サイトのホスト名が必要。例えば、https://example.jp/ならば、CN=example.jp, OU=xxx example.jpとしておけば読み込まれる。


mtakeshi: tsujileaks.comが本当にできてた。


HiromitsuTakagi: 携帯電話向けWebにおけるセッション管理の脆弱性 http://t.co/DHSY5Lf


kjur: 2011.01.23にNICTのNTPサーバーが停電が原因で誤った時刻を配信してしまうというトラブルがあったそうだ。 http://www2.nict.go.jp/w/w114/tsp/PubNtp/index.html と、昨日の会合でIさんに教えて頂いた


kikuzou: THC-Hydra 6 きてます。http://bit.ly/9ypemQ イラストが微(ry


smokeymonkey: 【告知】第6回北海道情報セキュリティ勉強会を開催します。 http://j.mp/i7386F

テーマ : セキュリティ
ジャンル : コンピュータ

1月24日のtwitterセキュリティクラスタ

基本的に引きこもりなのですが、意を決して外に出たらその瞬間に雨が降ってびっくりしました。ガイアが俺に外に出るなと囁いているに違いないので今日も家でゴロゴロしようと思います。

僕はさすがに女子ではないのでよくわかりませんが、いろいろ大変なんだと思いますので(たぶん)がんばってください。
ChoichiHasegawa: 本日の「NSF2011」の「セキュリティ女子BoF」では、 1.女子が少ないことの問題、女子が多いことのメリットは何か、2.男子と女子との違い、3.女子ならではの悩み、4.これからどんな活動を期待するか、などをディスカッションします。こちらでも、ご意見を募集。#secuko

yuri_at_earth: 今日はセキュ女育成BOFの日。がんばりまーす!と思ったら…



なにげに面白そうなシンポジウムです。行けるかな。
hasegawayosuke: 「情報セキュリティ月間」キックオフ・シンポジウム by 内閣官房情報セキュリティセンター 豪華メンバー! http://bit.ly/ihUt47



ウェブ虚業御三家笑える。今年の流行語大賞候補ですね。
sasakitoshinao: 松永さんのペニオク問題まとめ。全体像がよくわかる。「ウェブ虚業御三家」の表現はちょっと笑った。 /2011ウェブ虚業御三家の一「ペニーオークション」は一刻も早く規制を! http://t.co/0oFpJd4



あと気になったことはこのあたり。
moton: Cain & Abelってまだ更新されてるんだw; 4.9.37だそうです。


yarai1978: おお。早いな。 Black Hat DC 2011 Briefings - Papers & Slides https://www.blackhat.com/html/bh-dc-11/bh-dc-11-archives.html


hasegawayosuke: Wizard Bible No.51 出てたのか。 キンユカさん、どこ行ってもうたんや…。 http://wizardbible.org/51/51.txt

mincemaker: Wiard Bible vol.51 に 厨房の怪文書が載っていて笑った。


rocaz: 楽天には rakuten-certがあった それってなに? : セキュリティコラムばかり書いている PRISONER LANGLEY のブログ http://j.mp/f9w9fe


tridentfield: 知ってる? クレジットカード番号の意味と暗算認証術 : ギズモード・ジャパン http://htn.to/QxWn4a


EijiYoshida: 「情報セキュリティ・ワークショップ Feb. 2011」の受講者を募集中!「推測の困難なパスワードを設定してもWindowsのスクリーンロックが数十秒で強制解除される?」(http://goo.gl/Fwe5V)に書いた内容のデモもやります!http://goo.gl/uB1OZ


expl01t: 玉川大 世界初!Y-00暗号の強い安全性の根拠「ランダム暗号性」の検証実験に成功 http://www.u-presscenter.jp/uploads/photos/1911.pdf // SCIS2011の裏のOCS研究会で発表があるらしい.●田先生とNI●Tのアレってry


テーマ : セキュリティ
ジャンル : コンピュータ

1月21~23日のtwitterセキュリティクラスタ

楽天銀行アプリの脆弱性について。スマートフォンのアプリってなんだかいい加減みたいなので今のところ支払いとかには使いたくないですね。
rocaz: 楽天銀行アプリのプロトコル解析ようやく着手。で結論から言うと、クイックログイン時に思いっきりUDID送ってるじゃ無いかよ、どういうことだ。結局嘘だったのか。SSLで守られてるから分かりっこないと踏んでたのかも知れないけど、せっかくだからこれ全プロトコル調べてあげて公表しようかな

rocaz: SSLでも頑張れば何とでも解析できるんだな。いい勉強になった。隠し通せるものなど何もないと言うことだ

rocaz: まる半日かかりっきりだった。疲れた・・。後はのんびりやります。。

rocaz: ブログ書きました: 続: 楽天銀行アプリのセキュリティについて ? プロトコルを解析してみた http://goo.gl/fb/TPqog

rocaz: UDIDを送っているタイミングは2回。初期のログイン時と、クイックログイン時には毎回送る

rocaz: クイックログインはクイックログイン設定時にサーバーで発行した固有トークンあたりとパスを送っているのかと思ったらそうじゃなかった。支店番号と口座番号、パスにUDIDを送っている。つまりどうもアプリから一方的に送られた支店・口座・パスワードをそのまま信じて認証してるように見えるのだ

rocaz: クイックログインの箇所抜粋 VER=1_0_2&CMD=SMP_CMD_0005&CID=SMP_CID_0005& TKN=1e499034eaa3ac81231ec6a4accfcd35&BCHNO=支店番号&ACNO=口座番号& PASSWD=XXXX&UDID=f1…25



@rocazさんの調査にたかぎせんせいも興味津々です。
HiromitsuTakagi: .@rocaz ちょそれ脆弱性!! > 「当初SSLだからと諦めかけていたのだが、パケットキャプチャで仕様を明白にすることにした…恐らく専門家であれば常識的な方法だろう。所謂MIM手法である」< それ、楽天銀行アプリのSSL実装がサーバ証明書の検証を怠ってるってこと。私も…

HiromitsuTakagi: .@rocaz …私も念のため駄目元でそれやってみるかなと思いましたが、まさか今どき本当にそうとは。5年前には、PCアプリのSSL実装でそういうのをいくつか見かけました(例えば古いバージョンのEdy Viewer等)が、iOSアプリも怪しいものが多い可能性が大なのかな。

HiromitsuTakagi: .@rocaz MITMするときに、アプリは警告を出しましたか?(出したなら、まあ、脆弱性とまでは言えない。良くはないがiOS側が悪い。)ちなみに、初期の NAVITIMEアプリは、この方法で解析できませんでした。警告ダイアログなしにSSLが繋がりませんでした。(これが正しい。)

rocaz: @HiromitsuTakagi 最初ミスってた可能性があり出てたかもですが、最終的には出なくなりました。どうもCNしか見てない気がします(付属してくるFakeCertではエラーだったので)

rocaz: @HiromitsuTakagi あ、因みにCA証明書は端末にインストールして信頼している状態です。なのでトラストチェーンは正しい

rocaz: @HiromitsuTakagi 僕も存在は知っていたのですが使い方に気付いていませんでした。iPhone構成ユーティリティというソフトで、企業向けにiPhoneを配布する際に企業内CAcertをあらかじめインストールするのに使われるようですね

rocaz: @HiromitsuTakagi 僕もちょっとした疑問があったのですが、今回のように仮にトラストチェーンが正しくても、一般的にはCNチェックぐらいでいいものでしょうか。ハッシュ値チェックまですれば完璧でしょうが、リニューアルの時に困ったりしますけどね



そして、iOSアプリやAndroidアプリのSSL利用についての疑問が。
HiromitsuTakagi: iOSアプリでSSL利用はどういうAPIになってるんだろ。サーバ証明書検証はフレームワーク側で強制的にやってるだろうと思ってたが、違うのか。アプリ側で何か呼び出さないといけないのかな。SSLを直接使わずにHTTPアクセスのAPIを使えば、https:// のときはフレームワーク…

typex20: 普通はプログラム側で検証しないように指示することもできますよ。Androidはできます。RT @HiromitsuTakagi: iOSアプリでSSL利用はどういうAPIになってるんだろ。サーバ証明書検証はフレームワーク側で強制的にやってるだろうと思ってたが、違うのか。

HiromitsuTakagi: …フレームワークが強制的にサーバ証明書検証しそうだが、もしかして警告ダイアログが出る(不正な証明書の場合に)のか? 万が一、そのAPIで不正な証明書で警告ダイアログなしに繋がってしまうなら、iOSアプリの大半が全滅という大惨事なわけだが。

HiromitsuTakagi: .@typex20 デフォルトはどちらになってます? コード断片で教えて頂けるとありがたいです。

HiromitsuTakagi: @typex20 それはSSLのAPIを使ったときですか、それともHTTPのAPIを使ったときですか、両方ですか。(iOSではなくAndroidの話ですか?)

typex20: @HiromitsuTakagi 手元にコードがないのでご呈示できないのですが、デフォルトでは警告が表示されます。Androidではその警告が表示されないようプログラム側で指示することができるんです。

typex20: @HiromitsuTakagi iPhone側は不勉強でして、これから確認していこうと思います。

typex20: @HiromitsuTakagi すいません。iOSではなくAndroidの話でした。確認しているのはhttpsを使用した時です。Androidでは端末内のroot証明書をユーザが自由に入れ替えられるので、そもそも意味がないと思います。

HiromitsuTakagi: .@typex20 「意味がない」というか、リバースエンジニアリングには活用できるということですね。(それ自体は脆弱性ではない。一般利用者はroot証明書を入れたりしない(してはいけない)ので。)

typex20: @HiromitsuTakagi いつも疑問に思っていたのですが、高木先生はiOSのセキュリティは話題にされますが、Androidのセキュリティについて取り上げられない理由が何かおありなのでしょうか?

typex20: 是非、Androidのセキュリティにもご興味を持って頂ければと思います。 RT @HiromitsuTakagi: @typex20 持ってないからです。

typex20: 高木先生へのinputは終わったみたいなのでよかったです。(^^; RT @HiromitsuTakagi: それはぜひとも。勉強させて頂きます。 RT “@eyasuyuki: Androidセキュリティ部「安全なAndroidアプリ開発の鉄則(仮)」をまとめて…”

rocaz: いいことだー。返す刀でiOSにも影響が伝わるといいなぁRT @HiromitsuTakagi: それはぜひとも。勉強させて頂きます。 RT @eyasuyuki: Androidセキュリティ部で「安全なAndroidアプリ開発の鉄則(仮)」をまとめているのですが、もう少し実例を…



そして、この怪しいアプリをリリースした楽天が第三者機関による安全性の検査しているということについて。第三者機関ってなによ。
HiromitsuTakagi: 楽天CERTは「リリースに際しては第三者機関による安全性の検査も実施している」と回答したそうだ http://t.co/URuwUZM が、それ聞いて一発で胡散臭いと思った。そもそも「第三者機関」というのは一般的にはある程度公的な検査機関を印象づける。CC認証でも取ったのかと。

HiromitsuTakagi: 去年くらいから情報セキュリティ事故起こした企業がリリースで「第三者機関に調査を依頼、報告を受けたので問題ない」などとぬかす事例が多発。どこの第三者機関だよ?と問い合わせてみると、単なる一民間セキュリティ企業の名前を胸を張って回答。アホかお前ら。優良誤認表示的欺瞞行為でしばかれろ。

HiromitsuTakagi: たとえば、ビックカメラの事件、「今般、第三者機関によるセキュリティ診断によりドットコムサイトの安全性が確認されましたので…再開させていただく予定」と発表していたので、電話して「第三者機関ってどこ?」と尋ねると、「セコムトラストシステムズ株式会社でございます」と胸を張って回答。…

HiromitsuTakagi: …「機関というのはどういう意味ですかね?」「あ、機関というのは組織ですね、私ども以外の第三者」「機関というのは公的なところを指す…」「そそ、そうですね言葉としてはちょっとあの、適正に欠いておりました、もうしわけございません」「これ問題あるんじゃないですか?」「あーそうですね」。



そして、他に気になったことをピックアップ。週末なのにいろいろありました。飲み会には行きたいです。

tessy_jp: 新年会のような忘年会?を企画しました(2/1) ま、単なる飲み会ですw http://d.hatena.ne.jp/tessy/20110121



hasegawayosuke: Chromeは文字エンコードを利用者が変更する術がないのがつらい。アドレスバーにjavascript打ち込んでを注入してもダメ。

hasegawayosuke: Google Chrome, chrome://about/gpu/ を表示させるといくつかのパラメータが文字化け。「使用可能」→「菴ソ逕ィ蜿ッ閭ス」とか「汎用 PnP モニター」→「豎守畑 PnP 繝「繝九ち繝シ」とか。


hide_sunohara: ご参照ください。『日本IBM、警察向け「IBM 犯罪情報分析ソリューション」を発表 | 経営 | マイコミジャーナル』 http://bit.ly/gIm0zf


ikepyon: kinectを使ったダンス認証の実装と言うテーマでw RT: @connect24h: 次のセキュリティもみじでは、kinectやりたいなぁ。セキュリティ関係ないけど。


hasegawayosuke: Oracle Security Summit 「SQLインジェクションやクロスサイトスクリプティングといった外部からの攻撃による個人情報漏洩事件も目立ちます。」 XSSで漏洩って皆無じゃないだろうけど…。 http://bit.ly/h52WVK


ntsuji: 経済産業省が標的型攻撃にあって約20台のPCがウイルスに感染していたニュースを母親に教えてもらいましたよ。 http://www.yomiuri.co.jp/national/news/20110122-OYT1T00006.htm


ockeghem: 佐名木本は、escapeshellargよりもescapeshellcmdを推奨しているね

ockeghem: 『escapeshellargは【中略】根拠はないがバグがありそうな感じである』<根拠がないことを堂々と表明する潔さがたまらない。曖昧なことは曖昧であるように書く、と。正しい。


rocaz: 面白い。読ませる文章 "NCSA httpdを作った人間が、ついでにつけたような機能。それがCGI" > ソースでわかるSixapart転落の歴史 http://j.mp/evH4vh


bulkneets: MDISプライバシーマーク一時停止リリースでてる http://bit.ly/hs2IRk


security_info: Podcast緊急特別企画「セキュリティのえらい人に聞いてみよう」 | dpost.jp: セキュリティのえらい人、辻さんに聞いてみた!ていうか雑談。頭にはちょっとだけディズニートークもあるよ。 http://bit.ly/dHq35K

テーマ : セキュリティ
ジャンル : コンピュータ

1月20日のtwitterセキュリティクラスタ

LACがスマートフォンセキュリティ研究所を開設したそうですが、略称がSSLと、きっと略称で混乱させて社内の生産性を落とそうとしている高尚な戦略に違いないと思うのですが、凡人には理解しがたい感じです。
lac_security: ラッコはあらたに、スマートフォンセキュリティ研究所を開設しました。(^む) http://www.lac.co.jp/news/press20110120.html

sen_u: ラックさんがスマートフォンセキュリティ研究所を開設してる。楽しそうなお仕事。 http://www.lac.co.jp/news/press20110120.html

ymzkei5: 略称SSLなのね。まぎらわしい~。社内で、「SSLがさぁ・・・」と話していたら、「どっちの?」ってなりそうw

hasegawayosuke: 異性からもモテそうなほうのSSLと、非コミュが好んで使いそうなほうのSSL。 RT @ymzkei5: 略称SSLなのね。まぎらわしい~。社内で、「SSLがさぁ・・・」と話していたら、「どっちの?」ってなりそうw

ockeghem: 富士通SSLさんのことも忘れないでほしい



ChromeのXSS検知機能について。
hasegawayosuke: Google Chromeの「XSS検知機能」、「有効にする」という表示は有効に設定されてることを示しているんじゃなく、これをクリックすることで有効になる、ということを示してるのね。わかりにくいUIだなー。


hasegawayosuke: Google Chrome、XSS検知機能を有効にしてるけど、まともにこれが働いた試しがない。ふつうに素通りするけど、こんなもんなの?


Androidアプリのリバースエンジニアリングについて書かれています。こういうの読むとAndroidほしくなりますね。
kinyuka: ブログ書いたヽ(´ー`)ノ http://tinyurl.com/4gnmolz



あと気になったことはこのあたり。
ikb: Microsoft、ソフトウェアのセキュリティを検証する新ツール発表 - ITmedia News http://t.co/tF8iwF1 -- #security インストールしたソフトウェアが何を変更するかを確認するツール。


a4lg: SHA-1 のクラッカーといっても、実のところ 2ch の 12 桁トリップ専用なんだけどね。(だから力ずくの総当たりに意味があるし、それへの最適化にも意味がある。)

テーマ : セキュリティ
ジャンル : コンピュータ

1月19日のtwitterセキュリティクラスタ

もう1月も2/3が終わってしまいました。1月のうち1/3は正月。1/3は風邪で寝込んでたため、ほぼなんにもしてません。あと1/3でいろいろやりたいものです。


3DSの予約開始日でした。さすがにもうどこも予約受付は愁傷してるみたいですが、Amazonは瞬殺ってほどでもなかったみたいでした。
lumin: 3DSをamazonで必ず予約できるようにするプログラムを作った。これで明日の予約は確実。プログラムがほしい人は@で。

lumin: 明日の3DS予約はわからないけど、amazonの瞬殺はおそらく5分~10分ぐらいかかるだろうから、30数秒ごとにチェックでその範囲に必ず入るだろうという想定で作っています。 F5で目視なんて素人なことはしません。これで転売屋対策もバッチリ。http://bit.ly/fMcld4


あと気になったことはこのあたり。
masa141421356: IE9がXML宣言でエンコーディングがShift_JISになっているXMLを読めないのって自分ところだけ?


HiromitsuTakagi: しかしWEBRONZAのブクマ数、Tweet数、少ないなあ。まるっきり読者層が分離してるんだろうか。http://t.co/gkDPJ2u http://t.co/rs1wfJa


risa_ozaki: iPad利用者情報漏えい事件、ハッカー2人逮捕: 米連邦検察当局は18日、昨年6月にAT&Tのサーバのセキュリティ上の欠陥からAppleのiPadの利用者約12万人のメールアドレスを含む個人情報を集めた疑いでハッカー2人を逮捕。 http://on.wsj.com/es4Wcc


kikuzou: inguma がバージョンアップされたようです。某誌ではボロクソに書きましたが、今回のバージョンはどう進化したのか試して見ねば。 http://bit.ly/dLZuxP


masa141421356: 今日知ったこと <a href=\"abc\">abc</a>の解釈がブラウザによって違う


jpcert: こんにちは。Weekly Report 2011-01-19を公開しました。^YK https://www.jpcert.or.jp/wr/2011/wr110201.html


ikb: Microsoft、ソフトウェアのセキュリティを検証する新ツール発表 - ITmedia News http://t.co/tF8iwF1 -- #security インストールしたソフトウェアが何を変更するかを確認するツール。


テーマ : セキュリティ
ジャンル : コンピュータ

1月18日のtwitterセキュリティクラスタ

何とか風邪は治ってきたようなので、今日から溜まっていた仕事を気持ちだけ再開することにします。健康って大切ですね。

危険度を判定する人と判定を見て何とかする人は違うんだよなあとか。
ockeghem: 脆弱性診断やっていると、お客様の中には、高危険度しか対処しない企業から、低危険度でも対処する企業があるので、その企業のセキュリティの取り組みの指標になるかもしれない。「弊社は低危険度の脆弱性にも対処します」、とか…まぁ、危険度判定の基準がベンダーによってまちまちなんですけどね

ntsuji: @ockeghem TRACE Enableであるだけで「中」というのもベンダーもあったりしますね。最近では「低」や「Info」に落としているところも多いようです。



自力でファーム吸い出して解析して突きつけるしかないのでしょうかね。
keyboardmania: Buffaloにソースコード請求したら大変困ったメールが返ってきた http://htn.to/JdzExw



やはり秘密の質問の答えはいつものパスワードにするしかないのでしょうか。
NOTE_MAN: 【気になる記事】パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 http://ow.ly/3GaaY


ハードウェアぶっこ抜きですか。
tamiyata: 怪談レベル。/あるデータセンターで起きた嘘のような本当の事件:三輪信雄「ここが変だよみんなの対策」 - http://bit.ly/gofotR


その他気になったことはこのあたり。

kenji_s: 「Facebookは…承認を得た外部サイトやアプリケーションが共有できるユーザー情報に、住所と携帯電話番号も含めたことを…明らかにした」 Sophosは「今すぐFacebookのプロフィールから住所と電話番号を削除することを勧める」と忠告 http://ow.ly/3FwLf


bakera: 「安全性について疑問視」という感じではないですね。 RT @ockeghem: 『専門家からは情報管理の安全性について疑問視する声も出ている』<専門家って誰?専門家ならば実名でコメントして欲しい/「専門家」は岡村久道弁護士だそうで http://goo.gl/AN6dY /


tomoki0sanaki: おぉ!エスケープシーケンスとは!格好良過ぎる! QT Ruby Version Manager におけるエスケープシーケンスインジェクションの脆弱性 http://jvn.jp/jp/JVN30414126/


ockeghem: セキュアプログラミング講座の旧版のevalインジェクションのサンプルが、実は脆弱でない http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a04_02.html 理由は、式を単一引用符で囲っているため


laccotv: 川口洋のつぶやき 第51回 ~『スパマーにも人気の「ペニーオークション」』 を公開しました。 http://www.youtube.com/watch?v=DIrO9j9GMoU どうみても怪しいビジネス!


ockeghem: IEの「ドメイン間でのデータソースのアクセス」というオプションを初めて有効にしてみたら、本当にクロスドメインでXHRアクセスができるのね。びっくり。でもiframeではできない。いやー、本当にIEって便利ですねぇ(棒読み)


テーマ : セキュリティ
ジャンル : コンピュータ

1月17日のtwitterセキュリティクラスタ

引き続き風邪で基本的に椅子かベッドかコタツでゴロゴロしながら仕事してます… っていつもといっしょやん! あ、でもいつもはベッドでってのはないですね。

セキュリティエンジニアって案外よくわからない職種なのですが、検索窓にコードを入力する簡単なお仕事だったりするのでしょうか。
bulkneets: そういえば人事の偉い人に俺が新規開発に集中できるようにセキュリティエンジニアほしい→紹介してよみたいなことを言われたので勝手に募集します、各種言語のレガシーコード読めるとポイント高い、応募したい方はlivedoorか大手サイトの XSS見つけて報告してください。

hasegawayosuke: Livedoorに就職したいひとのためにXSSを探すアルバイト、が成り立つかを考える。



こういう暇つぶしをする人が応募すればいいと思いました。
nao_pcap: 頭痛いから暇つぶしにと思って遊んでたら、alert動くサイトぞくぞく出てきてまた頭痛が・・><



ちょっと気になるので本屋に行ってみるかな…
tomoki0sanaki: 弟子からの指摘。「SoftwareDesign 2011/01月号 P114 の Ajax/JavaScriptハッカー要請講座の CSRF 対策が面白い」と・・・

bakera: 良い意味でですか? それとも……? RT @tomoki0sanaki: 弟子からの指摘。「SoftwareDesign 2011/01月号 P114 の Ajax/JavaScriptハッカー要請講座の CSRF 対策が面白い」と・・・



あと、気になったところはこのあたり。
taguchi: いかに車をハックするか、の子供向けワークショップがロスで開催されたようです - http://bit.ly/fRgMwN


tsuri_jp: JPRS、DNS応答の偽造防止する「DNSSEC」を導入: JPドメインの登録者は、鍵情報をJPRSに登録することが可能となり、DNS応答の偽造によるフィッシングなどを防止できる。 同社では、各国のDNS運用関係者と協力し ... http://bit.ly/fXLfSZ


ockeghem: セキュアプログラミング講座の旧版のevalインジェクションのサンプルが、実は脆弱でない http://www.ipa.go.jp/security/awareness/vendor/programmingv1/a04_02.html 理由は、式を単一引用符で囲っているため


sonodam: これオフレコじゃないよなw?>以前聞いた話だけど、昔流行ったTBSのハッカードラマ、技術監修がせっかくしっかりしたロジックのもとに映像用意してるのに、尺だとか演出だとかの理由でリアリティを構成する大事な要素をがしがしカットされまくったとか。


tomoki0sanaki: CSRF。トークンの生成方法とか、ぶっちゃけどうでもいいかな。だって、診断対象はほとんど CSRF対策していない。あまりに分かりすぎる乱数はアウトとしても、まぁまぁ解読できないような乱数ならそれはそれでアリだと思う。というか、トークンの解読にそんなに時間をかけられないよ。


donz80: 会社携帯宛に来るspamを観察。ところで、この手のspamの送信ドメインは、それは立派に SPFの宣言をしている。で、いくつか追跡していると、デバッグ用なのかSPFレコードにco.jpドメインがincludeされてる。そのドメインを見に行ってみると、「モバイル広告事業」。ふーん…


ie6bot: |;ω;`) (´;ω;`) (´;ω;`) (´;ω;`) 全滅だー【レビュー】IE6、IE7、IE8、IE9をクラッシュさせる方法 | エンタープライズ | マイコミジャーナルhttp://bit.ly/he2hVb

テーマ : セキュリティ
ジャンル : コンピュータ

1月14~16日のtwitterセキュリティクラスタ

週末はずっと風邪で寝込んでました。そしてまだ治ってません。いろいろ心配ですがとりあえず寝込んでます。健康って大切ですね。

ということで週末気になったことをざっと。

行きたいなあと思っているうちに埋まってしまいましたね。
Akira_Murakami: #29SEC2011 29Sec2011 ~集え!老若男女! 日本のセキュリティを考える~ http://atnd.org/events/11955 続々参戦表明ありがとうございます。

Akira_Murakami: 詳細プログラム調整中です。もうしばらくお待ちください。同時にLT募集します。ATNDコメントにLT参加表明をしてください。(一人5分) 多い場合は調整します。~集え!日本のセキュリティを考る。 #29SEC2011 http://atnd.org/events/11955


ロケタッチをちょっと使ってみたのですが、うちの近所の今はない店が大量に登録されてて悲しくなりました。
prof_morii: 「食べログ」訴訟、店の要望受け入れ情報削除/佐賀のニュース http://goo.gl/OTJGb この取材、昨日の17:30頃に受けた。ちょうど国内最大の書店にいるときで、大急ぎでトイレに向かい、そこで小声でコメントしました^^;


いよいよCBTはじまりますか。仕分け共々気になるところです。
k4403: ITパスポートのCBT試験が17日からはじまるよ! watching: 情報処理推進機構:情報処理技術者試験:新着:記事 - http://www.jitec.jp/1_00topic/topic_20101220_cbt.html


その他気になったことはこのあたり。
ntsuji: 色々なエンコード、デコードをするツール「Coder」 http://bit.ly/f6tVfG は、Symantec Endpoint Protectionでは、Adware.Lop http://bit.ly/ibN2O1 として検出されるようになったんですね。


k4403: 基調講演 "Librahack"事件を総括する http://htn.to/JPEY1P


masa141421356: Safari ってスクリプトが document.write を実行して HTML 構造が壊れた場合もエラーログが出るので出来の悪いスクリプトの発見の役に立つ。正しい HTML 書けない奴は正しいエスケープも出来ないからセキュリティホールも一緒に見つかったりする。


k6_6l: ウィルスバスターから届いた封筒が やたら怖い件… http://p.twipple.jp/PC47H


fumitake1969: サーバー侵入し営業秘密取得容疑 「嫌がらせ目的」で初摘発(日本経済新聞) http://goo.gl/Zn77w


ockeghem: 『同ショップではオープンソースのカートシステムを利用していたが、脆弱性の報告を見逃し、アップデートパッチを適用していなかった』<どれだろ / セキュリティ通信|セキュリティ関連ニュース 電子楽器のWebショップに不正アクセス、顧客情報流… http://htn.to/eQ2F3i


totoromasaki: もう一度晒しておく。http://こんなドメイン.を.取得して.みました.今後はこのドメインで.遊んでみたいと.思い.ます.net/

テーマ : セキュリティ
ジャンル : コンピュータ

1月13日のtwitterセキュリティクラスタ

久しぶりの風邪でダウンしてます。大変です。

クラウドによって辞書攻撃が高速にできるようになったっぽいというお話。脆弱性があったわけではないのですね。
zusanzusan: クラウドを使って WPA-PSK を攻撃。ブルートフォースっぽい。 RT @threatpost: Researcher cracks WPA in about 20 minutes with Amazon's cloud. http://ow.ly/3CxNo

onix105: 多分辞書攻撃。 RT: @zusanzusan クラウドを使って WPA-PSK を攻撃。ブルートフォースっぽい。 RT @threatpost: Researcher cracks WPA in about 20 minutes with http://ow.ly/3CxNo

zusanzusan: なるほど。辞書攻撃をクラウドでやったら早かった!ということですね。SHA-1 なんて関係ないじゃんw そのうち、SHA-1 が破れたとか言われる気がします。 @onix105

expl01t: えっ? 「比較的高度な暗号化アルゴリズム『SHA-1』を破ることに成功したという。」watching: クラウドを利用しWi-Fi パスワード破り http://t.co/AsAug3U via @jic_news

zusanzusan: いずれにしても「SHA-1を破った訳ではない」ですね。

onix105: @expl01t Roth said he cracked 14 hashes from a 160-bit SHA-1 hash with a password of between one and six characters in about 49 minutes.

onix105: @expl01t 引用元書き忘れました…http://www.theregister.co.uk/2011/01/11/amazon_cloud_wifi_cracking/

onix105: @zusanzusan それかWPAの鍵生成に用いるパスフレーズを意図的に短く設定して全数探索をやってるのかなぁと思ってます。だからLANに侵入はOK 他の人の通信は見れないんじゃないかなぁ。想像ですけど。



あと気になったことはこのあたり。
roman_soft: OWASP ZAP Web Inspection Proxy 1.2.0 released. http://code.google.com/p/zaproxy/downloads/list (forked ParosProxy + Andiparos = ZAP)


ockeghem: 『同ショップではオープンソースのカートシステムを利用していたが、脆弱性の報告を見逃し、アップデートパッチを適用していなかった』<どれだろ / セキュリティ通信|セキュリティ関連ニュース 電子楽器のWebショップに不正アクセス、顧客情報流… http://htn.to/eQ2F3i


hasegawayosuke: found open redirector in microsoft.com.

テーマ : セキュリティ
ジャンル : コンピュータ

1月12日のtwitterセキュリティクラスタ

今週は忙しい中で立て続けにルータ、自転車の鍵、ドライヤーと故障して、トラブル対応に追われ、大変な目に遭っています。困ったものです。


セキュリティ大喜利とかやってもいいかもしれませんね。
ockeghem: 【緩募】パスワードリマインダの秘密の質問と解答の良い例

hebikuzure: 質問「どんなパスワードですか?」 答え「いつも良く使うパスワード」 ww QT @ockeghem: 【緩募】パスワードリマインダの秘密の質問と解答の良い例

vulcain: 「そんなバズワードで大丈夫か?」「大丈夫だ、問題ない」という流行語に則したものとか?w RT @ockeghem 【緩募】パスワードリマインダの秘密の質問と解答の良い例



わざとなのか偶然なのかはわかりませんが。
isidai: サイバーディフェンス研究所の方々がストリートビューにwwwww http://ux.nu/E1plSF



Windows Updateの日なのか…
happy_and_rich: 早めに対応しましょうね! MSが1月の月例パッチ2件を公開、Windows関連の修正 -INTERNET Watch http://m.internet.watch.impress.co.jp/docs/news/20110112_419733.html

kaito834: MS11-001(http://is.gd/kCgnN)では Windows Backup Manager の DLL Hijacking が修正されている。exploit-db.com の DLL Hijacking Vulnerable Applicationsに該当あり。



あと気になったのはこのあたり。
risa_ozaki: 2011年初のWindows脆弱性: 新しい年にWindowsの新しい脆弱性が登場した。昨日Microsoftは、「最近発見された」脆弱性の調査を行っていることを認めた。同脆弱性のエクスプロイトコードは既に入手可能であると報告されている… http://bit.ly/heE9N9


tomoki0sanaki: ということで、再度宣伝してみよう。「セキュアWebプログラミングTips集 (http://amzn.to/dIJUHd)」の著者です。よろしく!


bakera: secure.softbank.ne.jpの廃止が2011年6月末に延期。 http://mb.softbank.jp/mb/information/details/101015.html


Akira_Murakami: 企画素案: 肉節句(29SEC) 2000年2月9日は我が国の各官庁のホームページがサイバー攻撃?によって改ざんされた日でもあり、情報セキュリティに関わる若人たちが、集い互いの情報交換と連携を深め、我が国の情報セキュリティについて議論を深める日?(ついでに懇親会は肉を食う)


tomoki0sanaki: 「NTTCom SOC セキュリティレポートhttp://bit.ly/faZqwJ 」公開しました。「.NET Framework上の SMTP Command Injectionについて http://bit.ly/eGTwqW 」です。


miryu: 「平成22年度 ISO/IEC国際標準化入門研修」 / 人材育成・研修|日本規格協会 http://htn.to/NVmtUZ

テーマ : セキュリティ
ジャンル : コンピュータ

1月7日のtwitterセキュリティクラスタ

休みが終わったと思ったらまた3連休です。個人的には休み明けから忙しくなりそうなので、このままずっと休みが続けばいいなあと思ってますが。

一昨日から話題のIEの仕様によるXSSに関連して、X-ほにゃららのレスポンスヘッダについて早速まとめられています。
hasegawayosuke: 「1分でわかる「X-ナントカ」HTTPレスポンスヘッダ」 http://d.hatena.ne.jp/hasegawayosuke/20110107/p1 昨日話題にしてたのをちょっとだけまとめました。



次のXSSのネタは偽装pdf埋め込みのXSSについてです。勉強になります。
ockeghem: えーっと、Content-Typeがapplication/pdfなんだけど、閲覧ユーザがAdobe Readerインストールしていないという前提で、偽装pdf埋め込みのXSS防ぐ方法あったっけ? IE7以前という前提で。Content-Disposition以外で。

hasegawayosuke: @ockeghem 正攻法はないですね。「HTMLと解釈されても無害なようにPDF内をサニタイズ」「PDF置くドメインを分ける」くらいしか。

hasegawayosuke: ていうか、Content-Type 無視のXSSって、ぼくも手探りなんだけど、ぼく以上に詳しい人他にいないの?

ockeghem: @hasegawayosuke あるべき論から言えば、MSの中の人なんでしょうが…

hasegawayosuke: @ockeghem 書き忘れてましたが、攻撃者に推測されないような使い捨てURL、というのもアリだと思います。

ockeghem: @hasegawayosuke やはりそうですか。『当サイトはIE7以前だと、IEのバグのためXSSの危険があります。IE8にアップグレードしてから閲覧ください』と告知するとか…やらなさそうですね ^^;

ockeghem: @hasegawayosuke 別ドメインが一番現実解のような気がしてきました。安上がりで安全という意味で

ockeghem: @hasegawayosuke ありがとうございます。URLはワンタイム使い捨てということでしょうか?

hasegawayosuke: @ockeghem 攻撃者に漏れないのであればワンタイムでなくてもいいとは思いますが…。こういう、運用に近い部分に関しては、徳丸さんのほうが知見ありますよねw

ockeghem: @hasegawayosuke ワンタイムにする必要はないけど、セッション毎にURLを変化させる必要はありそうですね。攻撃者は自分のURLは分かるけど、第三者のURLは分からない、という意味ですね



そして、これの対策を@ockeghem氏がが提案されています。これでうまくいくのでしょうか。
ockeghem: ブラウザが直接表示できないコンテンツのXSS対策を考えていた。UIの工夫で対処できるような気がしてきた…がまだ検証していない

flano_yuki: @ockeghem ちょっとXSSとUIが関係するという、イメージが沸かないのですが、どういうものでしょうか?

ockeghem: @flano_yuki 前提が複雑なのですが、(1)PDFダウンロードの際にContent-Typeをapplication/pdfにすると通常はPDFとしてダウンロードします。しかし、(続く)

ockeghem: @flano_yuki (続き)しかし、IEでかつAdobe ReaderをインストールしていないPCの場合、HTMLとして読ませるワザがありPDFに偽装したファイルにJavaScriptを仕込むとXSS攻撃が可能になります。このシナリオに対して適当な対策がないという(続く)

ockeghem: @flano_yuki (続き)適当な対策がないという問題があります。しかし、PDFダウンロード時にRefererをチェックするというアイデアを思いつき、かつ適当なUIにより、HTML表示時にダウンロードするタイミングを制御することで(続く)

ockeghem: @flano_yuki (続き)タイミングを制御することでXSS攻撃を防止できないか考えていました(終わり)

ockeghem: まぁ、Refererをチェックすること自体があまり良くないわけですけどね

flano_yuki: @ockeghem 解説ありがとうございます!!そんな攻撃があるんですね初めて知りました.完全に理解してないのですが、悪意のあるユーザがpdfをアップロードして,そのpdfにアクセスさせるのをRefererを見て抑制するイメージで大丈夫ですか?正しいRefererはどうなんですか



ループかよ…
ymzkei5: ちょw→“ホストコンピューターから端末に接続される構内情報通信網(LAN)ケーブルの両端が、誤って同じ接続機器につなげられていた。” >■119番不具合は回線誤接続…想定外の人為ミス http://bit.ly/hhYbbP



新年早々またまたWindowsに脆弱性ですね。Macにしたくなります。
lac_security: 気になるニュース(^む)パッチはまだのようです。 Windowsに新たな脆弱性が発覚、Webやファイルを開くだけで被害の恐れ http://itpro.nikkeibp.co.jp/article/NEWS/20110106/355843/?ST=security


とりあえずPCたくさんあるとタダがいいです。
Murashima: マルウェアの感染を防ぐ--無償のセキュリティ対策ツールお勧め10選 - ZDNet Japan http://goo.gl/ccJIk

テーマ : セキュリティ
ジャンル : コンピュータ

1月6日のtwitterセキュリティクラスタ

昨日は2ちゃんねるの管理者アカウントが漏れたらしく、いろいろ大変なことになっていたみたいです。
itsec_jp: 【緊急:注意喚起】2chの管理者アカウント(正確にはキャップ)が漏洩。意図しないページ遷移なども確認されました。未確認ですが専用ブラウザでも発生するという情報も上がっています。公式な見解が出るまで近づかないことを推奨します。 #ITSec_JP

itsec_jp: 【2chの話し続き】一応捕捉として。専ブラも攻撃対象というのは、専ブラのエンジンが Javascript実行可能なものや、httpヘッダーを処理できるものが対象と思われます。HTMLも書き換え可能かもしれないので、騒動が収まるまでは近づかないことを推奨します。 #ITSec_JP

asiacooper: 2chの運営アカウント漏洩のまとめ~ 【今北用】今回の騒動まとめ2~ http://2ch-ranking.net/cache.php?thread=raicho.2ch.net/news4vip/1294311182/



phpは攻撃されたくなければphpを使ってないふりをすればいいじゃない、と公式に言われている件について。
ockeghem: 拡張子をphpからpyに変更してPythonを名乗れば攻撃にあいにくい…とPHPの公式マニュアルに書いてあります(Pythonのほか、ASPやPerlも) / PHP: PHPの隠蔽 - Manual http://htn.to/tKd2ho

nouvellelune: わからんでもないが公式で言っちゃダメだろw RT @ockeghem: 拡張子をphpからpyに変更してPythonを名乗れば攻撃にあいにくい…とPHPの公式マニュアルに書いてあります(Pythonのほか、ASPやPerlも

ockeghem: 拡張子をphpからpyやpl等に変更したくなるような人には、PHPを使って欲しくないですね。僕にはPHPを使わせない権限はありませんがw

tomoki0sanaki: ですよねー。でも、これがPHP品質かと個人的に思ったりします。 QT @ockeghem 拡張子をphpからpyに変更してPythonを名乗れば攻撃にあいにくい…とPHPの公式マニュアルに書いてあります



X-Content-Type-Options: nosniffについて昨日の続報です。はせがわさんが記事を書かれたと言うことで、またまた盛り上がりました。
hasegawayosuke: 記事書いたけど、やっつけ記事すぎる。 http://d.hatena.ne.jp/hasegawayosuke/20110106/p1

mattn_jp: X-Content-Type-Options: nosniff つかうとモテるらしい

ockeghem: 【業務連絡】www.tokumaru.orgとwww.hash-c.co.jpは、Header set X-Content-Type-Options nosniff を吐くように設定しました



新旧たくさんのセキュリティ系ディストリビューションのリストです。使ったことがないものもあるので使ってみたいですね。
M1n0x: 纏めてるサイトあった。どの程度網羅されてるかわからないけど結構な数あるな。//http://www.securitydistro.com/security-distros/



あと気になったことはこのあたり。
ymzkei5: ■エフセキュアブログ : やっぱり出てきた!Androidボット http://blog.f-secure.jp/archives/50534385.html


wasaist: これはだめでしょう / DTIのVPSの大部分がオープンプロキシになっていた件について - Magical Diary http://htn.to/rwoX9s


moton: 世界的にスパムの内容ががワンクリック詐欺にシフトしているらしい。 RT @darkoperator World's Largest Spam Botnet Switched to Click Fraud http://bit.ly/gJ7iFb

テーマ : セキュリティ
ジャンル : コンピュータ

1月5日のtwitterセキュリティクラスタ

仕事も始まったばかりでそれほど忙しくないのか、楽しそうな話で盛り上がっていました。美人とITってあまり結びつかないのですが、美人Linuxもあるのであんまり考えないことにします。
k_morihisa: 美人なんとかというWebサービスが流行っているのだろうか? 美人株価(SBIホールディングス) http://sbif.jp/bijin/bijin.cgi?code=0000

sen_u: ウチも美人セキュリティニュースなどをリリースすべきか。w RT @shin3: SBI Holdings 美人株価をリリース http://bit.ly/eTt6eA

cchanabo: 美女で釣ってるあたりが、すでにセキュアではない気もするのだが。。。 RT @ymzkei5: http://bit.ly/gOADvN RT @sen_u: ウチも美人セキュリティニュースなどをリリースすべきか。w

ChoichiHasegawa: 実はイケメンセキュリティも狙ってたりしますが・・・。 RT @sen_u 美人セキュリティに続々と反響が。www

katsuny3: よし新しいの考えた!美女IPアドレス → v4全部の美女65025人の写真を使って、お客様にIPアドレスを通知するサービス RT @sen_u: ウチも美人セキュリティニュースRT @shin3: 美人株価をリリース http://bit.ly/eTt6eA

ntsuji: well known port girlなんてどうでしょうw RT @sen_u: すごい人数が必要に。RT @katsuny3: よし新しいの考えた!美女IPアドレス → v4全部の美女65025人の写真を使って、お客様にIPアドレスを通知するサービス

ockeghem: well known portなら思い入れも込めやすいですねw @ntsuji: well known port girlなんてどうでしょうw RT @sen_u: すごい人数が必要に。RT @katsuny3: よし新しいの考えた!美女IPアドレス → v4全部の美女…

ntsuji: @mtakahas えぇ?!街に繰り出しちゃうんですか?そして、女性の見た目とサービスで紐づけしちゃうんですか?!

ChoichiHasegawa: となると、FTPやSNMPなどは双子にするとか。 RT @ntsuji .@ykwsm @mtakahas 面白そうですよね。「この人は22だろ?」「いいや。この飾り気のなさは23だ!」とかとかとかw

mtakahas: @ntsuji @ykwsm 気は優しくて力持ちの20番とか、恥ずかしがり屋の22番とか……絵師さん探してきますっ!

ntsuji: proxy系とか扱いに困るポートも… RT @ChoichiHasegawa: となると、FTPやSNMPなどは双子にするとか。 RT @ntsuji .@ykwsm @mtakahas 面白そうですよね。「この人は22だろ?」「いいや。この飾り気のなさは23だ!」とかとかとかw


PDFに偽装したJavaScriptを使ったXSSについて。IEの親切心って本当に過剰ですね。
ockeghem: IE8で動かないと思っていたアップロードファイルのXSSサンプルがIE8でも動く。だが、設定依存のような気がする。

hasegawayosuke: @ockeghem どういうのですか?

ockeghem: @hasegawayosuke PDFに偽装したJavaScriptをダウンロードする時に、アプリケーション側がContent-Type: application/x-pdfと間違えていて、PATHINFOで/a.htmlをつけて呼び出すパターンです。

hasegawayosuke: @ockeghem ああ、なるほど。Content-Type がIEにとって未知の場合はPATH_INFOでファイルタイプが決定されますからね。X-Content-Type-Options: nosniff で防げると思います。

hasegawayosuke: @ockeghem ちなみにURL内の拡張子が*.exeや*.cgiのときはPATH_INFOだけでなくQUERY_STRINGでもファイルタイプの強制が可能です。

ockeghem: @hasegawayosuke ダウンロードの際は(IE8以降の判定はせずに、常に)X-Content-Type-Options: nosniff を指定するとよい、と説明しようと思います

hasegawayosuke: @ockeghem 「ダウンロードの際には」ではなく「HTML以外のコンテンツに対しては」のほうがいいと思います。ダウンロード指令と関係なくXSSできるので。

hasegawayosuke: あるいは、HTMLを含む全コンテンツで(という記述はいらんけど) X-Content-Type-Options: nosniff をつけるように、で。


脆弱性の報告って気を遣いますよね。国内だとIPAに投げれば何とかしてくれるのですが、使ってるサービスは海外のものが多くて困ったものです。
hasegawayosuke: メジャーな海外のサイトのXSS見つけたけど、IPAに投げても不受理になりそう。どうしようかなあ。

Vipper_The_NEET: @hasegawayosuke あーー・・・・・それは無理そうですねえ・・・・・ 直接サイトの管理アドレスにメールするとかしかなさげ。

hasegawayosuke: @Vipper_The_NEET 日本語で書かれたサイトの場合はガイドラインの「主に日本からのアクセスが想定される」に該当しそうですが、今回のは日本人も使ってるけど日本語化されてない、明らかに海外サイトですので。以前は、Twitterでさえも海外サイトであると不受理になりましたし

hasegawayosuke: 脆弱性を見つける以上に、その報告先を見つける手間がかかるようなサイトは、正直言うとスルーしてしまいたい。と思いつつ誕生日なども含めてアカウント情報登録しているサイトなのでマジメに連絡先を探してメールだしたオレ新年から偉い。



年賀状とか新年の挨拶ってミスるとしばらく恥ずかしいことになって困ります。
ymzkei5: 弊社の「サイバー七福神」の年賀ハガキ&シールを見せてもらった。それぞれの神様が、検査・監視・コンサル・研究所・教育・緊急対応・構築に対応している(オデコに「検」と書いてあったりw)のだが、構築の神様だけ手違いで普通の大黒様になってしまっているらしいw

テーマ : セキュリティ
ジャンル : コンピュータ

1月4日のtwitterセキュリティクラスタ

あけましておめでとうございます。今年もよろしくお願いします。
今年こそは去年できなかった新年初出社を目指していこうと思いますが、どうなることやら。

さて、休み明けのリハビリ代わりに初投稿です。正月もいろいろな話題があったようですが、ぼんやりしていたので基本スルーですよ。その中でもちょっと気になったことをピックアップ。

ntsuji: 昨日、今日は仕事はじめ。各種パスワードを忘れてる人が多いのではないでしょうか。


ockeghem: 解説ありがとうございます。際どい攻撃ですが、諸般の事情により成立してしまうところがなんとも / CakePHPのSecurityComponentの脆弱性で任意のPHPコードが実行できる仕組み - disり用。 http://htn.to/HWQFzN


tdaitoku: RT Windowsに新たな脆弱性――不正なサムネイルで悪用の恐れ http://www.itmedia.co.jp/enterprise/articles/1101/05/news012.html


xagawa: ゲーハーの方ではPS3の署名実装バグが話題なようだが、セキュリティ業界には飛び火していない様子。


yasulib: nicter格好いいな~ 「ネットワーク攻撃可視化・分析技術 - nicter : DigInfo」 http://youtu.be/jLYs52OBh_A


ockeghem: 日記書いた / PHPのescapeshellcmdの危険性 - 徳丸浩の日記 http://htn.to/Fr8izP


gohsuket: 知られてないのが在ったら困る RT @_nat: 記念日ですな。 RT @TechCrunchJAPAN: [New]: Androidに初めてのボットネット型マルウェア(トロイの木馬)が出現 http://bit.ly/hhr08P


ymzkei5: ■妻のメール盗み見で浮気が発覚...も、不正アクセスで訴えられて懲役刑に! : ギズモード・ジャパン http://www.gizmodo.jp/2010/12/post_8254.html


ymzkei5: http://blog.seesaa.jp/js/jlisting/search_frame.js の createSearchForm の iframedoc.writeln() の中の this.query あたりに問題がありそうな予感。XSS。>@yousukezan

テーマ : セキュリティ
ジャンル : コンピュータ

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
01-2011
SUN MON TUE WED THU FRI SAT
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -

12   02

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。