スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

1月27日のtwitterセキュリティクラスタ

CSRFが話題ですが、SQLインジェクションの方がダメージは大きそうですね。

太田社長と梶芽衣子とELTが印象深かったものの最近競馬中継のあとヴューティートークをやらなくなったのですっかりご無沙汰だったヴァーナルですがSQLインジェクションでやられちまったようです。
piyokango:SQLインジェクションだそうで。/不正アクセスによる情報漏洩のお詫びとご報告 株式会社ヴァーナル / “apologized.pdf” http://htn.to/qFahNx

Yomiuri_kyushu:ヴァーナル顧客情報流出、サイバー攻撃 カード悪用も

SankeiShimbun:【事件】 サイバー攻撃で情報流出 化粧品通販1493人分:  化粧品製造販売「ヴァーナル」(福岡市博多区)の通販サイトがサイバー攻撃を受け、顧客1493人分の氏名やクレジットカード番号など個人情報が外部に流出していたことが2... http://bit.ly/AhmOQ0

SankeiIZA:[事件] サイバー攻撃で情報流出 化粧品通販1493人分:... http://bit.ly/yxP2SE


OS8のころはMacだけウイルス対策ソフトが入ってWindowsは安全というかんじでしたが、時は変わってまた元に戻るということでしょうか。
kitagawa_takuji:「Macだから安全」は過去の話――巧妙化したMacマルウェアが横行した2011年|セキュリティ・マネジメント|トピックス|Computerworld Macを狙った初の偽ウイルス対策ソフトも登場



26日にツイートされてた大阪府警ページのXSSのPoCが他に転載されたりしてちょっと話題になっていたようです。
hasegawayosuke:"【速報】 大阪府警のHPがハックされる"

bulkneets:タイトルおかしいですね http://togetter.com/li/247993


が、警察の威信をかけて修正されたようです。そういや小沢一郎せんせいのはまだ直ってないみたいですが大丈夫なのでしょうか。直してくださいよ…
bulkneets:大阪府警の修正されたっぽい http://police.pref.osaka.jp/js/top.js if(name.match("//")) return; が入ってる

hasegawayosuke://example.jp/ じゃなく \\example.jp でも通用するブラウザがあってですね…。

bulkneets:@hasegawayosuke Osaka fukei ni TEL しないと!

tomoki0sanaki:IE8 だと、\\ は通らないんだけど・・・やり方が間違っているのかな!?

tomoki0sanaki:if(hash[s].match(/^[a-z_\-\.\/]+$/i))・・・・というコードがあるので、「\」は埋め込めないんだな・・・ふむふむ

tomoki0sanaki:if(hash[s].match(/^[a-z_\-\.\/]+$/i))・・・・というコードがあるので、タブも埋め込めないんだな・・・ふむふむ

hasegawayosuke:queue.push 通らないんでとりあえず安全かな。

bulkneets:\\で通るのMacのSafariとOperaだな

bulkneets:まあオープンリダイレクタがなければ大丈夫じゃね。

bulkneets:意図しないクロスドメイン読み込みに起因するXSSはjQuery mobileのbeta版にあった。他に過去数例見たことがある(珍しい)


そのほか気になったことはこのあたり。
itmedia:[News]Twitter、政府要請のツイート削除を国家限定に http://bit.ly/Aq4Tew


lennyzeltser:REMnux 3 review by @koenvervloesem - "a treasure chest for the malware-curious" http://j.mp/yevoTv in @LinuxUserMAg


kinugawamasato:記事書いた、今度からこっちでブログ書きます。 GoogleからTシャツをもらった


monjudoh:Now browsing: "ソニーが開発した暗号技術「CLEFIA」、国際標準規格に採択 - クラウド Watch" http://is.gd/reBcDy


HiromitsuTakagi: の図からすると、CSRF攻撃だったっぽい。CSRF攻撃が不正指令電磁的記録供用に当たるという話は、法案成立前から言われていたこと。


kjmkjm:Windows Phone 7 Internals and Exploitability - ホワイトペーパー (フォティーンフォティ技術研究所)


wired_jp:【NEW】ハッカーが米鉄道会社システムに侵入、運行に混乱 http://go.wired.jp/ycg1Kc #wired_jp


ockeghem:DMのURLをクリックしただけで自アカウントでDMさせられたならtwitterの脆弱性(CSRFなど)だけど、OAuthでAllowしちゃったのかな?皆さん気をつけましょう / “[Twitter][Blog]ダイレクトメールに届いた…” http://htn.to/qGN1nJ


bulkneets:fc2 ユーザー生成コンテンツから ".fc2.com" のcookie抜けるけど、IPアドレスが違う場合はセッションハイジャックできないようにしてるっぽい。
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
07-2017
SUN MON TUE WED THU FRI SAT
- - - - - - 1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31 - - - - -

06   08

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。