放浪玉葱

旅行やIT系(主にセキュリティ)の記事を中心としたブログです

10/10 セキュリティトピック

技術書典があったみたいですね。私は家で寝てました( ˘ω˘)スヤァ

▼ Bypassing WAFs and cracking XOR with Hackvertor
https://portswigger.net/blog/bypassing-wafs-and-cracking-xor-with-hackvertor

HackvertorというBurpエクステンションの紹介

▼ Laravel においてヘッダ情報のアンシリアライズ処理の不備を悪用して遠隔から任意のコードが実行可能となる脆弱性(Scan Tech Report)
https://scan.netsecurity.ne.jp/article/2018/10/10/41473.html

watch!

▼ Joomla 3.8.13 Release
https://www.joomla.org/announcements/release-news/5747-joomla-3-8-13-release.html

5つの脆弱性を改修してますね。

awesome-vscode
https://github.com/viatsko/awesome-vscode

vscodeに関するawesome

▼ Quick SQL Cheatsheet
https://github.com/enochtangg/quick-SQL-cheatsheet

10/9 セキュリティトピック

ねむい

▼ Bypassing Web Cache Poisoning Countermeasures
https://portswigger.net/blog/bypassing-web-cache-poisoning-countermeasures

お、新しい情報かな?

▼ opsxcq/docker-tor-hiddenservice-nginx
https://github.com/opsxcq/docker-tor-hiddenservice-nginx

NginxをTorネットワークに立てるDockerコンテナ!

クラウドファンディング参加者の個人情報含むURLが流出 - アニソン野外イベント
http://www.security-next.com/098586

同社では本来、共有フォルダにアクセス制限を設定し、個人情報など含むファイルを保存しないルールとなっていたが、イベントのためスタッフが一時的にファイルを保存。外部よりアクセスできる状態で、何者か同社業務システム内にファイルへアクセスするためのURLを書き込み、インターネット上に転載したものと見られている。

内部犯行でない場合、頻繁にサイトをクローリングしていたのか・・・。
それともエンジンのクローラーがたまたま見つけてしまったのか・・・。

▼ 30-seconds/30-seconds-of-code
https://github.com/30-seconds/30-seconds-of-code

30 seconds of Javascript code

10/4 セキュリティトピック

▼ 不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象
http://www.security-next.com/098578

具体的には脆弱なルータを探索し、DNSを変更する「DNSChanger」にくわえ、フィッシングサイトへ誘導するための「悪意あるDNS」、実際に情報を詐取する「フィッシングサイト」、さらに「管理サイト」が用意されていた。

用意周到ですね。。

▼ 認証標準「FIDO2」、製品を初認定 - 対応ブラウザも
http://www.security-next.com/098415

FIDO2は、オンラインサービスにおける認証規格。「W3C Web Authentication」に対応しており、FIDO Allianceのデバイス間連携仕様を組みあわせることで、多要素認証、生体認証などパスワード以外の機器による認証に対応する。

FIDO2とかW3C Web Authenticationとか、そもそもFIDO知りませんでした。
FIDOってなんだろうって思ってwikiで調べてみました。

FIDO Alliance(ふぁいどあらいあんす[3][4]、Fast IDentity Online Alliance[5])は、生体認証などを利用した新しいオンライン認証技術の標準化を目指して2012年7月[4]に発足した非営利の標準化団体[6]、業界団体[7] https://ja.wikipedia.org/wiki/FIDO_Alliance

多要素認証の普及率は現状では低いですが、今後重要になってくると思うので、調べておいたほうがいいですね。

▼ 社内資料を閲覧できるURLが匿名サイトに投稿、クラウドファンディング参加者の個人情報が流出(リアニメーション)
https://scan.netsecurity.ne.jp/article/2018/10/04/41458.html

9/19 セキュリティトピック

また間が空いてしまった・・・。まぁいいか。

WAONサイトに「パスワードリスト攻撃」 - 40人でポイント被害
http://www.security-next.com/098020

同サイトにおいて第三者が利用者本人になりすます不正ログインを行い、WAONの利用に応じて付与される「ワオンポイント」を別のカードへ移行していたことが判明したもの。 同社では、ポイントが不正に移行された40人に対して事情を説明し、IDとパスワードを変更。ポイントを復旧したという。

宮城県図書館サイトにDDoS攻撃 - 特定国より認証ページに大量アクセス
http://www.security-next.com/098017

宮城県図書館のウェブサイトがDDoS攻撃を受けたことがわかった。ウェブサイトの改ざんや情報流出といった被害は確認されていないという。

どのように見つけてるのでしょうかね。google hack dbなどから調べているのでしょうか。

▼ メールアカウントがフィッシングメール送信の踏み台に - 京都教育大
http://www.security-next.com/097773

教職員のアカウント1件が踏み台として悪用され。学外のメールアドレス約1万件に対し、フィッシングメールが送信された。 また同大では4月にも類似したフィッシング攻撃を受け、アカウントの乗っ取り被害が発生している。 同大では予算の確保が難しく、費用をかけずに導入できる対策として、パスワードを用いた二段階認証の準備を進めてきたと説明。今回の問題を受け、導入予定時期を繰り上げ、9月より導入を開始するとしている。

対応が後手後手となっていますね・・・。

▼ ローソンアプリを使ったdポイントの不正利用が判明、「デジタルdポイントカードサービス」を一時停止に(ローソン)
https://scan.netsecurity.ne.jp/article/2018/09/19/41396.html

9月10日に不正アクセス防止のために全会員のパスワードをリセット実施し、他のサイトで使用していないパスワードを再設定するよう呼びかけていた。

賢明な対応だとは思いますが、全会員のパスワードリセットは随分思い切った事をしていますね。

▼ Professional 2.0.06beta
http://releases.portswigger.net/2018/09/professional-2006beta.html

バグフィックスだけでなく、セキュリティアップデートも入っていますので、ご利用の方は早急に対応を。

9/13 セキュリティトピック

電子書籍作成サービスに不正アクセス、作品が改ざん - ロールバックで一部データが消失 http://www.security-next.com/097902

▼ IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック)
https://scan.netsecurity.ne.jp/article/2018/09/13/41380.html

▼ p-gen/smenu
https://github.com/p-gen/smenu

ターミナルのユーティリティ。リンク先の動画を見たほうがわかる。

9/11 セキュリティトピック

Yahoo!募金のフィッシングサイトをまとめてみた
http://d.hatena.ne.jp/Kango/20180909/1536527829

募金や緊急速報を騙るフィッシングが出回ってましたが、本当に悪質ですよね・・・。

日経ビジネスが報じたパスワード16億件流出についてまとめてみた
http://d.hatena.ne.jp/Kango/20180910/1536610792

9/7 セキュリティトピック

数日空けたつもりが、もう4日分も空いてしまった。 習慣化するのは難しいですね。

▼ 攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開
http://www.security-next.com/097666

PowerPool」と呼ばれるグループによる活動をESETが観測したもの。公開された実証コードをそのまま利用するのではなく、一部ソースコードを修正し、コンパイルした上で悪用していたという。

動きが早いですね・・・。

▼ Sysmonログを可視化して端末の不審な挙動を調査~SysmonSearch~(2018-09-06)
http://www.jpcert.or.jp/magazine/acreport-SysmonSearch.html

いいですね。

▼ Webアプリケーションのおすすめセキュリティ設定
https://qiita.com/fukushi_yoshikazu/items/1a746fc8c8663be18bf9

Ruby + Nginxのプラクティス。apacheでの設定方法もあるのでいいですね。

地震影響で全域停電の道内DC、自家発電でサービス継続 - 追加燃料の調達急ぐ
http://www.security-next.com/097699

台風、大雨、地震など、このところ天災による被害が多いですね・・・。 契約するDCもマルチリージョンで物理的に離すことも考慮したほうがいいかもですね。

▼ 「Firefox 62」がリリース - 深刻な脆弱性含む9件を修正
http://www.security-next.com/097716