1月27日のtwitterセキュリティクラスタ

CSRFが話題ですが、SQLインジェクションの方がダメージは大きそうですね。

太田社長と梶芽衣子とELTが印象深かったものの最近競馬中継のあとヴューティートークをやらなくなったのですっかりご無沙汰だったヴァーナルですがSQLインジェクションでやられちまったようです。

piyokango:SQLインジェクションだそうで。／不正アクセスによる情報漏洩のお詫びとご報告　株式会社ヴァーナル / “apologized.pdf” http://htn.to/qFahNx

Yomiuri_kyushu:ヴァーナル顧客情報流出、サイバー攻撃 カード悪用も kyushu.yomiuri.co.jp/news/national/…

SankeiShimbun:【事件】 サイバー攻撃で情報流出　化粧品通販１４９３人分: 　化粧品製造販売「ヴァーナル」（福岡市博多区）の通販サイトがサイバー攻撃を受け、顧客１４９３人分の氏名やクレジットカード番号など個人情報が外部に流出していたことが２... http://bit.ly/AhmOQ0

SankeiIZA:[事件] サイバー攻撃で情報流出　化粧品通販１４９３人分:... http://bit.ly/yxP2SE

OS8のころはMacだけウイルス対策ソフトが入ってWindowsは安全というかんじでしたが、時は変わってまた元に戻るということでしょうか。

kitagawa_takuji:「Macだから安全」は過去の話――巧妙化したMacマルウェアが横行した2011年|セキュリティ・マネジメント|トピックス|Computerworld computerworld.jp/topics/563/%E3… Macを狙った初の偽ウイルス対策ソフトも登場

26日にツイートされてた大阪府警ページのXSSのPoCが他に転載されたりしてちょっと話題になっていたようです。

hasegawayosuke:"【速報】　大阪府警のHPがハックされる" awabi.2ch.net/test/read.cgi/…

bulkneets:タイトルおかしいですね http://togetter.com/li/247993

が、警察の威信をかけて修正されたようです。そういや小沢一郎せんせいのアレはまだ直ってないみたいですが大丈夫なのでしょうか。直してくださいよ…

bulkneets:大阪府警の修正されたっぽい http://police.pref.osaka.jp/js/top.js if(name.match("//")) return; が入ってる

hasegawayosuke://example.jp/ じゃなく \\example.jp でも通用するブラウザがあってですね…。

bulkneets:@hasegawayosuke Osaka fukei ni TEL しないと!

tomoki0sanaki:IE8 だと、\\ は通らないんだけど・・・やり方が間違っているのかな!?

tomoki0sanaki:if(hash[s].match(/^[a-z_\-\.\/]+$/i))・・・・というコードがあるので、「\」は埋め込めないんだな・・・ふむふむ

tomoki0sanaki:if(hash[s].match(/^[a-z_\-\.\/]+$/i))・・・・というコードがあるので、タブも埋め込めないんだな・・・ふむふむ

hasegawayosuke:queue.push 通らないんでとりあえず安全かな。

bulkneets:\\で通るのMacのSafariとOperaだな

bulkneets:まあオープンリダイレクタがなければ大丈夫じゃね。

bulkneets:意図しないクロスドメイン読み込みに起因するXSSはjQuery mobileのbeta版にあった。他に過去数例見たことがある(珍しい) subtech.g.hatena.ne.jp/mala/20110711/…

そのほか気になったことはこのあたり。

itmedia:[News]Twitter、政府要請のツイート削除を国家限定に http://bit.ly/Aq4Tew

lennyzeltser:REMnux 3 review by @koenvervloesem - "a treasure chest for the malware-curious" http://j.mp/yevoTv in @LinuxUserMAg

kinugawamasato:記事書いた、今度からこっちでブログ書きます。 GoogleからTシャツをもらった masatokinugawa.l0.cm/2012/01/google…

monjudoh:Now browsing: "ソニーが開発した暗号技術「CLEFIA」、国際標準規格に採択 - クラウド Watch" http://is.gd/reBcDy

HiromitsuTakagi:osaka.yomiuri.co.jp/e-news/2012012… の図からすると、CSRF攻撃だったっぽい。CSRF攻撃が不正指令電磁的記録供用に当たるという話は、法案成立前から言われていたこと。

kjmkjm:Windows Phone 7 Internals and Exploitability - ホワイトペーパー (フォティーンフォティ技術研究所) fourteenforty.jp/research/resea…

wired_jp:【NEW】ハッカーが米鉄道会社システムに侵入、運行に混乱 http://go.wired.jp/ycg1Kc #wired_jp

ockeghem:DMのURLをクリックしただけで自アカウントでDMさせられたならtwitterの脆弱性(CSRFなど)だけど、OAuthでAllowしちゃったのかな?皆さん気をつけましょう / “[Twitter][Blog]ダイレクトメールに届いた…” http://htn.to/qGN1nJ

bulkneets:fc2 ユーザー生成コンテンツから ".fc2.com" のcookie抜けるけど、IPアドレスが違う場合はセッションハイジャックできないようにしてるっぽい。