スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

2月15日のtwitterセキュリティクラスタ

まとめをまとめるのは意外と大変なんだなあとか、誰とはなく。

Stuxnetに関することは日本ではあまり盛り上がってない気がするのですが、まさかインフラが攻撃されるとか思ってないんでしょうね。
gohsuket: まだ出るStuxnetの話題。Symantecより RT @BBCNews 'Nuclear virus' targets uncovered http://bbc.in/et2uPm

kimhongsun: シマンテック社のセキュリティレスポンス「W32.Stuxnet Dossier」に関する記事:Stuxnetはイランにある5ヵ所の重要社会インフラを標的に3度にわたり集中攻撃、12時間かけ侵入に成功 …私たちの安全にかかわる問題。社会インフラへのセキュリティ強化が必要です。

hackinthebox: Hackers release decrypted Stuxnet code - but don't panic http://www.hackinthebox.org/modules.php?op=modload&name=News&file=article&sid=40016


そして、Stuxnetのコード流出に関わってるAnonymousについてのよいまとめが。
needle: 英語圏画像掲示板4chan等を主な拠点とする団体Anonymousはその名のとおり匿名個人の群集体で、ウェブサイトにいたずらしたり反サイエントロジーのデモに出没したりする。なのでウェブ投票に組織票して困らせる2ちゃんねらーみたいなもんかと思っていたが、→

needle: →Wikileaks支援の為MasterCardをDDoS攻撃するやら、セキュリティ企業 HBGaryの社長がSNSを解析しAnonymousメンバーの実名を公開すると発表したら報復ハッキングで同社の内部データ・メール数万通(Stuxnetの実物まで!)流出させるやら、→

needle: →挙句流出で同社の不正行為が発覚する始末。実際のところ一部のメンバーは正真正銘のスーパーハカーなようで、いや、2ちゃんねらーの数倍恐ろしいわAnonymous…という話だが、何故日本のメディアは(略 #nazemedia http://ow.ly/3X9XM

needle: 遂にはAnonLeaksなるリークサイト立ちあげちゃうとな。HBGary社もStuxnet持ってたのはともかく、バンカメにWikileaks攻撃を持ちかけてたやら、何故かbotnet売ろうとしてたやら…スパイ映画の世界だ… http://ow.ly/3Xa87


実はIRCなんかにコミュニティがあるのかもしれませんが、誰でも見られるセキュリティ情報としては今twitterがいちばん流通量が多いのかなと思っています。まずはお金のもらえるgoogleのセキュリティホールに関する考察です。
s_hskz: http://d.hatena.ne.jp/masatokinugawa/20110207#p1 の件。検索結果によらず、http://bit.ly/dEsDwQ あたりでもイケてたんだろうか?

s_hskz: もうけそこなったという意味ではない。わら

kinugawamasato: @s_hskz }*{width:expression(alert(0))}がHTML内にそのまま入ってるのでイケてたでしょうね!



そして、もう1つgoogleのバグについて。日本人大活躍ですね。
kaito834: https://market.android.com から logout するときにリダイレクトされる http://www.google.co.jp/accounts/Logout2 にて、meta 要素の content 属性でシングルクォートが無駄にエスケープされていた。

kaito834: うーん、バグの範疇だと思うんだけど、セキュリティ窓口に報告しておくか。

kaito834: Google Security Team 宛にメールしたら、数十分で返信がきた。早いな。とりあえず確認してもらえるみたいだ。


ありがちですよね。
tomoki0sanaki: IPA に「XSSがあるよ」とずっ~と前に指摘し、先日IPAから「サイト管理者から再現しないって言われた」とメールが来たので、そのWebサイトにアクセスしたら、Webサイトが既にリニューアルしていました・・・とさ...orz


オープンリダイレクタについての興味深い考察です。オープンリダイレクタが脆弱性でないならCookie使ってないサイトのXSSみたいなものはあまり脆弱ってないことになるのかな。
kaito834: パターン1D, 1E, 1Fが興味深い挙動だ。「[セキュリティ]オープンリダイレクト検査:Locationヘッダ編」http://d.hatena.ne.jp/teracc/20110212#1297490743



あと気になったことはこのあたり。
JVN: Microsoft Windows にバッファオーバーフローの脆弱性 http://jvn.jp/cert/JVNVU106516/


JVN: Microsoft Internet Explorer に任意のコードが実行される脆弱性 http://jvn.jp/cert/JVNVU634956/


sen_u: 2月23日の@ITセキュリティソリューションでアフターパーティーを開催。講演者の方々も参加!参加者募集中。昼の部は無料なのにランチ付きですよ。 http://atnd.org/events/12665 #atitlunch


hasegawayosuke: 川口メソッドで記事書いた。 http://www.netagent-blog.jp/archives/51752634.html


risa_ozaki: 「SHA-1+salt」はパスワードに十分だと思いますか?: アナーキーなインターネットグループ「Anonymous」が先頃、HBGary Federalとルートキットテクノロジの分析と開発に専心しているオンラインフォーラム... http://bit.ly/hJssUm


hir0_t: ジャパンネット銀行のワンタイムパスワードトークンは今年で有効期限を迎えるのか。http://bit.ly/dGeQ7R

スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
10-2017
SUN MON TUE WED THU FRI SAT
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31 - - - -

09   11

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。