放浪玉葱

旅行やIT系(主にセキュリティ)の記事を中心としたブログです

セキュリティ

10/10 セキュリティトピック

技術書典があったみたいですね。私は家で寝てました( ˘ω˘)スヤァ ▼ Bypassing WAFs and cracking XOR with Hackvertor https://portswigger.net/blog/bypassing-wafs-and-cracking-xor-with-hackvertor HackvertorというBurpエクステンションの紹介 ▼ Laravel …

10/9 セキュリティトピック

ねむい ▼ Bypassing Web Cache Poisoning Countermeasures https://portswigger.net/blog/bypassing-web-cache-poisoning-countermeasures お、新しい情報かな? ▼ opsxcq/docker-tor-hiddenservice-nginx https://github.com/opsxcq/docker-tor-hiddenservi…

10/4 セキュリティトピック

▼ 不正DNSへ変更する「GhostDNS」、10万台以上が被害 - 70種類以上のルータが対象 http://www.security-next.com/098578 具体的には脆弱なルータを探索し、DNSを変更する「DNSChanger」にくわえ、フィッシングサイトへ誘導するための「悪意あるDNS」、実際に…

9/19 セキュリティトピック

また間が空いてしまった・・・。まぁいいか。 ▼ WAONサイトに「パスワードリスト攻撃」 - 40人でポイント被害 http://www.security-next.com/098020 同サイトにおいて第三者が利用者本人になりすます不正ログインを行い、WAONの利用に応じて付与される「ワオ…

9/13 セキュリティトピック

▼ 電子書籍作成サービスに不正アクセス、作品が改ざん - ロールバックで一部データが消失 http://www.security-next.com/097902 ▼ IoTセキュリティ研究に焦点を当てた「CYBER GRID JOURNAL」(ラック) https://scan.netsecurity.ne.jp/article/2018/09/13/4…

9/11 セキュリティトピック

▼ Yahoo!募金のフィッシングサイトをまとめてみた http://d.hatena.ne.jp/Kango/20180909/1536527829 募金や緊急速報を騙るフィッシングが出回ってましたが、本当に悪質ですよね・・・。 ▼ 日経ビジネスが報じたパスワード16億件流出についてまとめてみた ht…

9/7 セキュリティトピック

数日空けたつもりが、もう4日分も空いてしまった。 習慣化するのは難しいですね。 ▼ 攻撃グループ「PowerPool」、Windowsタスクスケジューラ狙うゼロデイ攻撃を展開 http://www.security-next.com/097666 PowerPool」と呼ばれるグループによる活動をESETが観…

9/3 セキュリティトピック

▼ 945名分のアカウントがリスト型攻撃による不正ログイン被害に(アプラスフィナンシャル) https://scan.netsecurity.ne.jp/article/2018/09/03/41351.html 同サービスにリスト型攻撃と推測されるアクセス このうち939名のアカウントのメールアドレス、最大…

8/31 セキュリティトピック

▼ Webサーバをセキュアに保つ設定のまとめ https://qiita.com/ariaki/items/78ed2d3810ad17f72398 簡潔にまとめられています。 ▼ カード会員向けサイトにPWリスト攻撃、アカウント945件がログイン許す - アプラス http://www.security-next.com/097418 アカ…

8/30 セキュリティトピック

▼ ヤマハ製の複数のネットワーク機器における複数のスクリプトインジェクションの脆弱性 https://jvn.jp/jp/JVN69967692/ CVSSのランクは低いですけど、持っている方は要確認ですね。 ▼ trimstray/test-your-sysadmin-skills https://github.com/trimstray/t…

8/29 セキュリティトピック

▼ GMOペパボ、情報セキュリティ事業を行う新会社を福岡に設立 http://www.security-next.com/097317 福岡にセキュリティ会社が集まりますね! ▼ Windowsの「タスクスケジューラ」にあらたな脆弱性 - 修正方法は不明 http://www.security-next.com/097343 PoC…

8/28セキュリティトピック

▼ 「Apache Struts 2」脆弱性に実証コード - 地下フォーラムでも不穏な動き http://www.security-next.com/097247 PoCも公開されているので、早急に対処したほうがいいですね・・・。 ▼ CSS Injection ++ - 既存手法の概観と対策 https://speakerdeck.com/lm…

8/24 セキュリティトピック

▼ Burp suite 2.0beta http://releases.portswigger.net/2018/08/20beta.html 新しいのキタ━━━━(゚∀゚)━━━━!!! ▼ Apache Struts2 に任意のコードが実行可能な脆弱性 https://jvn.jp/vu/JVNVU93295516/ 緊急みたいですね・・。 ▼ 不正アクセスにより学内情報を添…

8/23 セキュリティトピック

そろそろトピック以外のことも書きたいんですけど、時間が・・・・。 ▼ 13 Reasons to Love Joomla! https://www.joomla.org/announcements/general-news/5746-13-reasons-to-love-joomla.html 13周年を迎えたそうです。 ▼ 車載ネットワークのハッキングコン…

8/21 セキュリティトピック

▼ Social Mapper https://github.com/SpiderLabs/social_mapper OSINT ▼ Electron Fiddle https://github.com/electron/fiddle electron開発を手助けるIDE的なもの? ▼ TinyEditor https://github.com/umpox/TinyEditor ブラウザのURLバーに張り付けて動くエ…

8/13 セキュリティトピック

世間はお盆ですが、会社に来ています。 ▼ JuliaLang/julia https://github.com/JuliaLang/julia 以前、front-endの友人から聞いてた、言語。gitトレンド入りしてますね。 ▼ 甲南学園のマイニングマルウェア感染についてまとめてみた http://d.hatena.ne.jp/K…

8/10セキュリティトピック

▼ Burp 1.7.37 release http://releases.portswigger.net/2018/08/1737.html 新しく二つの脆弱性に対応されたそうです。ホワイトペーパーやBH講演のスライドもあるので、見ておきたいです。 ▼ 不正アクセスによる情報流出、件数を訂正 - 日本がん治療認定医…

8/9セキュリティトピック

台風はよされー ▼ Linuxカーネルにリソース枯渇する脆弱性 - DoS攻撃受けるおそれ http://www.security-next.com/096491 ▼ TSMCのWannaCry被害についてまとめてみたAdd Star http://d.hatena.ne.jp/Kango/20180807/1533667250 ▼ Weekly Report 2018-08-08号 …

8/6 セキュリティトピック

▼ mdx-deck https://github.com/jxnblk/mdx-deck MDX(MD+JSX)で書けるプレゼンテーション ▼ 深刻化するセキュリティ人材不足、金脈はゲーマーにあり? http://www.security-next.com/096382 ゲーマーにもいろいろなタイプがいると思うんですよね。 具体的に…

8/3セキュリティトピック

▼ 不正プログラムが設置、カード情報が外部流出 - 衣料品通販サイト http://www.security-next.com/096186 3月7日から6月19日にかけてサイトのクレジットカード入力画面から入力された情報が外部へ送信されたと見られる。 期間中にクレジットカード決済を利…

8/2セキュリティトピック

▼ 「クラウドサービス提供における情報セキュリティ対策ガイドライン」の第2版が決定 http://www.security-next.com/096329 ▼ 定例パッチ公開日、盆休みを直撃 - 夏期休暇に備えてセキュリティ対策を http://www.security-next.com/096237 お休みの間はPCも…

8/1セキュリティトピック

8月入りましたね!暑いですねー。 ▼ 約2割の企業がサイバー犯罪被害 - 国内では知財被害目立つ http://www.security-next.com/096248 ▼ 経済犯罪実態調査2018 日本分析版 https://www.pwc.com/jp/ja/knowledge/thoughtleadership/economic-crime-survey.html…

7/31セキュリティトピック

昨日ちよくる使ってみたんですけど、便利でいいですねあれ。 ▼ ランサムウエアの脅威動向および被害実態調査報告書 http://www.jpcert.or.jp/research/Ransom-survey.html 後で見ておきたい ▼ サイバー脅威リアルタイム可視化地図、日本語対応(カスペルスキ…

7/30セキュリティトピック

BBQで首筋やけた ▼ evameva Online Shopへの不正アクセスでセキュリティコードを含むカード情報が流出(近藤ニット) https://scan.netsecurity.ne.jp/article/2018/07/30/41234.html 同サイトでクレジット決済したユーザー最大358件で、カード名義人名、カ…

はてなアカウントが不正アクセスされた話

表題の通りです・・・。 ITセキュリティ業界に携わる者として、恥ずかしいです・・・。 二度とこのような事が無いようにパスワードは速攻で変えましたが、 今回はこれを教訓として、不正アクセス後の対応を書いていきたいと思います。 登録情報について 私が…

7/25セキュリティトピック

週末台風はマジ勘弁… ▼脆弱性対策情報データベースJVN iPediaの登録状況 [2018年第2四半期(4月~6月)] https://www.ipa.go.jp/security/vuln/report/JVNiPedia2018q2.html 脆弱性報告数が一番多い製品はQualcommのファームウェアに関するものでした。 脆弱…

7/24セキュリティトピック

昨日、nginxの設定ミスで起こる脆弱性シリーズを試した記事を公開しました。 qiita.com 背景としては社内の業務の一環で、これらの脆弱性を検証する必要があり、 どうせならいつでも再現できる環境が欲しいねと思い、コンテナにまとめました。 コンフィグを…

7/20セキュリティトピック

くっそ頭痛い・・・。 ▼ SOCなどで収集した日本特有の脅威情報を提供 - ラック http://www.security-next.com/095690 この手の製品、たくさんあるけどどのように差別化を図るのでしょうか・・・。 ▼ nhnent/tui.image-editor https://github.com/nhnent/tui.…

7/19セキュリティトピック

扁桃腺炎でダウンしておりました・・・。 あとオクトパストラベラーめっちゃたのしい。 ▼ rhysd/vim.wasm https://github.com/rhysd/vim.wasm ▼ Vim を WebAssembly に移植した https://rhysd.hatenablog.com/entry/2018/07/09/090115 これ凄い・・・。 ▼ br…

7/13 セキュリティトピック

あつい… # JVN#00401783 Aterm WG1200HP における複数の OS コマンドインジェクションの脆弱性 https://jvn.jp/jp/JVN00401783/ #JVN#26629618 Aterm W300P における複数の脆弱性 https://jvn.jp/jp/JVN26629618/ ぬっ!atermシリーズは、利用者多そう! # …