タグ「脆弱性」 - はてブログ

タグ脆弱性

新着順人気順 5 users 10 users 50 users 100 users 500 users 1000 users

(1 - 25 / 59件)

次の25件 »

【やじうまPC Watch】ジャネット・ジャクソンのMVでPCがクラッシュする脆弱性

2022/08/19 648 users ジャネット・ジャクソンやじうまPC Watch

“まだ作成していないユーザーアカウント”を先回りして乗っ取る攻撃　米Microsoftなどが指摘

2022/07/06 562 users ユーザーアカウント論文米Microsoft アカウント

セキュリティ研究者Avinash Sudhodananさんと米Microsoft Security Response Centerの研究者が発表した「Pre-hijacked accounts: An Empirical Study of Security Failures in User Account Creation on the Web」は、まだ作成していないWebサービスのアカウントを乗っ取る攻撃をテストし脆弱性を示した論文だ。具体的... 続きを読む

Webサービスにおけるログイン機能の仕様とセキュリティ観点 - Flatt Security Blog

2022/01/25 626 users セキュリティ観点 Flatt Security Blog

はじめにこんにちは。株式会社Flatt Securityセキュリティエンジニアの村上 @0x003f です。本稿では、Webアプリケーション上で実装される「ログイン機能」の実装パターンをいくつか示し、その「仕様の中で起きうる脆弱性」とその対策について解説していきます。「ログイン機能」はToB、ToC問わず多くのWebアプリケー... 続きを読む

社内で好評だったSQLインジェクションの資料を公開します – Webセキュリティの小部屋

2020/03/15 552 users SQLインジェクションスライド割合 Webセキュリティ

先日(2020年2月21日)に、社内のとある会議でSQLインジェクションについてプレゼンしてきたのですが、割合と好評だったようなのでここでも公開してみます。スライドのタイトルをクリックすると拡大したスライドで見ることができます。実際には、SQLインジェクションの脆弱性があるとアカウント情報が漏洩して、システム... 続きを読む

ローマ法王庁のスマートロザリオに脆弱性 - ITmedia NEWS

2019/10/23 506 users ローマ法王庁 Twitter ITmedia News 身長

ローマ法王庁に属する組織がAcer子会社と共同開発したスマートロザリオ「Click To Pray eRosary」に、メールアドレス、電話番号や身長、体重などの個人データを簡単に盗まれてしまう脆弱性が存在すると、セキュリティ企業のFidus InfoSecurityがTwitterで指摘した。 eRosaryは十字架と10個の珠を備えたロザリオで、スマ... 続きを読む

SQLインジェクション対策不備の責任　東京地判平30.10.26（平29ワ40110） - IT・システム判例メモ

2019/08/30 512 users SQLインジェクション対策 IPA IT・システム判例メモ

SQLインジェクション対策をしていなかったことについて開発会社の責任が問われた事例。事案の概要 Xは，Yに対し，Xの提供する車・バイクの一括査定システム（本件システム）の開発を約320万円で委託し，平成24年9月に納品を受けた。その後Xは，平成28年12月に，IPA*1から，中国のサイトに本件システムの脆弱性に関する... 続きを読む

狙われた7pay｢外部ID連携｣の脆弱性の全貌。急遽“遮断”した理由 | BUSINESS INSIDER JAPAN

2019/07/15 750 users 全貌遮断張り紙掲出窃盗容疑

7payの新規登録停止を知らせる張り紙。全国津々浦々のフランチャイズ店舗にまで掲出を行き渡らせるのは簡単なことではない。撮影：7pay取材班 7payの不正使用をめぐって、その脆弱性が背景にあるとの見方が強まっている。窃盗容疑などで複数の中国籍の容疑者らが逮捕されているが、実態にはまだ不可解な部分が少なくな... 続きを読む

「脆弱性は見つからなかった」　セブン・ペイ緊急会見の“甘すぎる認識” (1/2) - ITmedia NEWS

2019/07/04 611 users セブン・ペイ緊急会見 ITmedia News

残高チャージ、新規登録を停止　決済機能はそのまま 7payは、1日のリリース当初から登録者が殺到し、アクセスしづらい状況に。3日ごろには、不正利用の報告がTwitterなどで相次いだ。ログインIDとパスワードを入手した第三者がアカウントを乗っ取り、残高チャージやセブン-イレブン店頭での支払いができる状態だった。 ... 続きを読む

SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記

2018/12/05 565 users SSRF GCE 徳丸浩徹底入門 SSRF脆弱性

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254についてSSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例SSRFを利用したメール送信ドメインの乗っ取り「CODE BLUE 2018」参加レポー... 続きを読む

「さようなら ImageMagick」の考察 - Qiita

2018/08/25 622 users ImageMagick Qiita 考察 entry アシスト

はじめにサイボウズさんの ImageMagick の利用をやめる記事について少し思う所を書きます。否定でなくアシストのつもりです。 http://blog.cybozu.io/entry/2018/08/21/080000 さようなら ImageMagick 「ImageMagick を外した理由」脆弱性 ImageMagick には脆弱性が大量に存在します。 2017 年に報告された ImageMagic... 続きを読む

エンジニアなら脆弱性情報を読めるようになろう | Tech Blog

2018/01/30 563 users エンジニア Tech Blog 脆弱性情報岡崎お陰

こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。１，脆弱性情報の見方... 続きを読む

HashDoS脆弱性との戦い！ Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ - エンジニアHub｜若手Webエンジニアのキャリアを考える！

2018/01/10 564 users 卜部昌平 RubyコミッターコミッターエンジニアHub

2018 - 01 - 11 HashDoS脆弱性との戦い！ Rubyコミッター・卜部昌平が明かすプログラム堅牢化のノウハウ過去、HashDosの影響を受けたRuby。言語開発者はいかにしてこうした問題に対応してきたのでしょうか。コミッターである卜部氏の貴重な記録を公開します。 Ruby 卜部昌平セキュリティ Tweet 2011年の末頃、 HashDoSという脆弱性が公表され、Rubyもこ... 続きを読む

Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net

2018/01/05 1171 users ゲーマー CPU 捧ぐ net meltdown

Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめライター：米田聡一般メディアにもニュースとして取り上げられたので，2017年末からにわかに騒がれだした「CPUの脆弱性」については，4Gamer読者も多くが聞き及んでいるだろう。海外では，「 Spectre 」（スペクター）や「 Meltdown 」（メルトダウン）といったおどろおどろしい名前が... 続きを読む

CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog

2018/01/04 737 users piyolog SPECTRE meltdown CPU 名称

2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。脆弱性の概要報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre ( またはこちら ) 3つの脆弱性の概要をまとめると次の通り。脆弱性の名称 Meltdown Spectre ... 続きを読む

WPA2の脆弱性 KRACKsについてまとめてみた - piyolog

2017/10/16 646 users piyolog KRACKs プロトコル盗聴改ざん

2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。脆弱性タイムライン日時出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。その後... 続きを読む

WPA2の脆弱性「パッチで対応可能」　Wi-Fi標準化団体が見解 - ITmedia NEWS

2017/10/16 569 users バッチ見解 Wi-Fi WPA2 ITmedia News

「WPA2」の脆弱性は、ソフトウェアアップデートで解決できる――Wi-Fiの規格標準化団体が見解を発表。 Wi-Fiの暗号化技術「WPA2」（Wi-Fi Protected Access II）にセキュリティ上の脆弱性見つかった問題で、Wi-Fiの規格標準化団体であるWi-Fi Allianceは10月16日（米国時間）、「簡単なソフトウェアアップデートによって解決できる」と発表した。既に... 続きを読む

Wi-Fiを暗号化するWPA2に脆弱性発見～対応のあらゆる機器が影響 - PC Watch

2017/10/16 800 users Wi-Fi WPA2 機器脆弱性発見 PC Watch

講演の予告　Wi-Fiの暗号化に使われるWPA2プロトコルに脆弱性があり、攻撃を受ける可能性があることが明らかとなった。12月4日～7日にイギリス・ロンドンで開かれるセキュリティイベント「black hat Europe 2017」で、博士研究員のMathy Vanhoef氏が、この件に関する詳細を解説する。　これによれば、WPA2セキュリティプロトコルにキー管理に関するいくつかの脆弱性があり... 続きを読む

カーネルエクスプロイト入門 - Linuxカーネル解析の基礎 - - るくすの日記 ~ Out_Of_Range ~

2017/07/13 611 users Out_Of_Range エクスプロイト BSD カーネル

2017 - 07 - 13 カーネルエクスプロイト入門 - Linuxカーネル解析の基礎 - Tweet 0. はじめに本記事は、 Linux を対象としたカーネルエクスプロイトの入門記事です。カーネルエクスプロイトというのは、 Linux や* BSD 、 Windows を始めとするカーネル自身の脆弱性を突くエクスプロイトです。基本的にカーネルはシステム内で最高権限... 続きを読む

サンコー、誰でもエルフになれるエルフ耳型イヤフォン～ただしおっさんが装着するとゴブリンにクラスチェンジする脆弱性 - PC Watch

2017/07/05 563 users サンコーイヤフォンピクシブ百科事典肌色ゴブリン

サンコー株式会社は、エルフの耳をかたどったイヤフォン「妖精に変身! エルフ耳イヤホン」を発売した。価格は1,980円。　先端がとがったエルフ独特の耳型のイヤフォン( ピクシブ百科事典の説明 )。イヤフォン本体やケーブルまで含め肌色で統一されており、人肌になじむむよう配慮されている。　耳部分のサイズは70×100×12mm(幅×奥行き×高さ)、重量は37g。プラグは3.5mmの4極ステレオミニプ... 続きを読む

ウェブセキュリティの最近の話題早分かり

2017/07/01 734 users ウェブセキュリティ WebDav アジェンダ徳丸 API

ウェブセキュリティの最近の話題早分かり 1. ウェブセキュリティの最近の話題早分かり EGセキュアソリューションズ株式会社徳丸浩 2. アジェンダ • 最近の侵入事件に学ぶ – メルカリ CDNキャッシュからの情報漏えい – WordPress REST API の脆弱性 – GMOペイメントゲートウェイのクレジットカート情報漏洩事件 – 日本テレビの侵入事件 – パイプドビッツ WebDAV... 続きを読む

ウェブセキュリティの最近の話題早分かり

2017/07/01 738 users ウェブセキュリティ WebDav アジェンダ徳丸 API

世界各地で発生したランサムウェア WannaCry の感染事案についてまとめてみた - piyolog

2017/05/13 774 users piyolog セキュリティベンダ CSIRT NSA 各国

2017年5月12日頃から、世界各地でランサムウェアに感染する被害が相次いで報告されています。ランサムウェアはWannaCry 2.0等と名前が付けられているもので、これに感染する原因として、Windowsの脆弱性、及びその脆弱性を用いたNSAが開発したツールが関係している可能性があると各国のCSIRTやセキュリティベンダが注意喚起等を公開しています。Microsoftは今回の感染事案を受け、Wi... 続きを読む

原理原則で理解するbashの仕組み - Qiita

2017/03/21 681 users bash Qiita タブソート処理原理原則

はじめに以前書いたエントリー、重大な脆弱性(CVE-2017-5932)で少し話題になったbash4.4の補完機能の便利な点で、bash4.4からでないとタブの補完機能のソート処理が制御できないという問題について、ソースコードレベルで調べた結果をまとめていたのですが、bashの実装そのものを深く掘り下げ過ぎてしまい、内容が膨大になったので、何回かに分けて書こうと思います。今回はbashが起... 続きを読む

本の虫: ダイヤルQ2風の電話番号でInstagramやGoogleやMicrosoftから金をむしりとれる脆弱性

2016/07/17 715 users Microsoft Google 電話番号

セキュリティ研究者が、とても興味深い脆弱性を報告して報奨金をもらった記事が上がっている。 How I Could Steal Money from Instagram, Google and Microsoft – Arne Swinnen's Security Blog プレミアムナンバーという電話上のサービスがある。これは一時期日本で行われていたダイヤルQ2と同等の仕組みを持つサービスで、プレ... 続きを読む

あなたのサーバは本当に安全ですか？今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita

2016/04/29 931 users Qiita CVE サーバイケ悪魔

はじめにサーバ管理をしている身としては、セキュリティは常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわから... 続きを読む

(1 - 25 / 59件)

次の25件 »