(Translated by https://www.hiragana.jp/)
Vulnerabilityの人気記事 1323件 - はてなブックマーク

検索けんさく対象たいしょう

ならじゅん

ブックマークすう

期間きかん指定してい

  • から
  • まで

1 - 40 けん / 1323けん

新着しんちゃくじゅん 人気にんきじゅん

Vulnerabilityの検索けんさく結果けっか1 - 40 けん / 1323けん

Vulnerabilityかんするエントリは1323けんあります。 セキュリティsecurity脆弱ぜいじゃくせい などが関連かんれんタグです。 人気にんきエントリには 『Dockerfileのベストプラクティス Top 20』などがあります。

Vulnerabilityの関連かんれんエントリー

  • Dockerfileのベストプラクティス Top 20

    本文ほんぶん内容ないようは、2021ねん3がつ9にちにÁlvaro Iradierが投稿とうこうしたブログ(https://sysdig.com/blog/dockerfile-best-practices/)をもと日本語にほんご翻訳ほんやくさい構成こうせいした内容ないようとなっております。 Dockerfileのベストプラクティスのクイックセットをイメージビルドに適用てきようすることで、セキュリティ問題もんだいふせぎ、コンテナされたアプリケーションを最適さいてきする方法ほうほうまなびます。 コンテナされたアプリケーションやマイクロサービスに精通せいつうしているひとなら、自分じぶんのサービスがマイクロサービスであることにづいているかもしれません。しかし、脆弱ぜいじゃくせい検出けんしゅつ、セキュリティ問題もんだい調査ちょうさ、デプロイ報告ほうこく修正しゅうせいなど、管理かんりのオーバーヘッドがマクロな問題もんだいになっています。 このオーバーヘッドのおおくは、セキュリティをシフトレフトし、開発かいはつワークフローのなか可能かのうかぎはや潜在せんざいてき問題もんだいくめむこ

      Dockerfileのベストプラクティス Top 20

    • Smoozサービス終了しゅうりょうせて

      202012_smooz.md Smoozサービス終了しゅうりょうせて 前置まえおき この文章ぶんしょうと、それにふくまれる考察こうさつかくサービスへの脆弱ぜいじゃくせい報告ほうこくなどはmala個人こじん活動かつどうであり、所属しょぞくしている企業きぎょうとは関係かんけいありません。 一方いっぽうわたしは、企業きぎょう閲覧えつらん履歴りれき収集しゅうしゅうしてなにをしたいのか、所属しょぞくしてる企業きぎょう他社たしゃ事例じれいについて、ある程度ていどくわしい当事とうじしゃでもあります。 一般いっぱんろんとしてけることはけるが、(業務ぎょうむじょう知識ちしき開示かいじされてないものなど)個別こべつ具体ぐたいてきなことはけないこともあり、また観測かんそく範囲はんいかたよりがある可能かのうせいもあります。 Smoozに報告ほうこくした脆弱ぜいじゃくせい2けん 最近さいきん、Smoozというスマホけのブラウザアプリに2けん脆弱ぜいじゃくせい報告ほうこくをした。 この記事きじいている時点じてんで、Smoozの配布はいふ停止ていしされていて、修正しゅうせいバージョンの入手にゅうしゅ出来できない。 2けんについてはまだ返事へんじていない。 脆弱ぜいじゃくせい情報じょうほう開示かいじにあたって特段とくだん許可きょかていないが、開発元かいはつもとからも利用りよう停止ていし

        Smoozサービス終了に寄せて

      • NUROこう使用しようする管理かんりしゃアカウントが特定とくていされる、えてはいけない画面がめんがまるえ&root権限けんげん奪取だっしゅ可能かのう

        ソニーネットワークコミュニケーションズのインターネットワークサービス「NUROこう」でレンタルされるネットワーク機器ききについて、NUROひかりがわ管理かんり使用しようするアカウントIDとパスワードが特定とくていされました。このアカウントを利用りようすることで、通常つうじょうはユーザーがアクセスできない機能きのうにアクセスできるほか、root権限けんげんによるコマンド実行じっこう可能かのうになります。 GitHub - meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q https://github.com/meh301/HG8045Q/ 目次もくじ ◆1:「HG8045Q」の脆弱ぜいじゃくせい指摘してき ◆2:脆弱ぜいじゃくせい確認かくにんしてみた ◆3:あらたな脆弱ぜいじゃくせい発見はっけん ◆4:脆弱ぜいじゃくせい報告ほうこくとNUROこう対応たいおう ◆1:「HG8045Q」の脆弱ぜいじゃくせい指摘してき 研究けんきゅうしゃのAlex Orsholitsによって報告ほうこくされた今回こんかい脆弱ぜいじゃくせいは、通信つうしんネットワーク

          NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能

        • わたしのセキュリティ情報じょうほう収集しゅうしゅうほう整理せいりしてみた(2021年版ねんばん) - Fox on Security

          新年しんねんあけましておめでとうございます。毎年まいとし年頭ねんとう更新こうしんしている「わたし情報じょうほう収集しゅうしゅうほう」を今年ことし公開こうかいします。なにかの参考さんこうになればさいわいです。 インプットで参照さんしょうしている情報じょうほうげん海外かいがい海外かいがいからの攻撃こうげき主流しゅりゅうとなるなか海外かいがい情報じょうほうをいちはや把握はあくすること重要じゅうようせいしているがしますので、今年ことし海外かいがい情報じょうほうげんからきたいとおもいます。 昨年さくねん記事きじではおおくの海外かいがいサイトを紹介しょうかいしましたが、試行錯誤しこうさくご結果けっか、まとめサイトでもある「morningstar SECURITY」や「DataBreaches.net」をさえておけば、主要しゅようサイトがおおむねカバーされるとかったので、今年ことしかずしぼっています。 サイト キタきつね寸評すんぴょう morningstar SECURITY 去年きょねんわりませんが、情報じょうほう更新こうしん頻度ひんど、そして関連かんれんソースの網羅もうらせいという意味いみでは、英語えいごけいのセキュリティニュースとしては最良さいりょう情報じょうほうソースのひとつかとおもいます。わたしは「Daily Secur

            私のセキュリティ情報収集法を整理してみた(2021年版) - Fox on Security

            • Vulnerabilityの関連かんれんエントリー

          • Log4jの深刻しんこく脆弱ぜいじゃくせいCVE-2021-44228についてまとめてみた - piyolog

            2021ねん12がつ10日とおか、Javaベースのログ出力しゅつりょくライブラリ「Apache Log4j」の2.xけいバージョン(以降いこうはLog4j2と記載きさい)で確認かくにんされた深刻しんこく脆弱ぜいじゃくせい修正しゅうせいしたバージョンが公開こうかいされました。セキュリティ関係かんけい組織そしきでは過去かこ話題わだいになったHeartbleedやShellshockとどうレベルの脆弱ぜいじゃくせいとも評価ひょうかしています。ここでは関連かんれんする情報じょうほうをまとめます。 1.なにきたの? Javaベースのログ出力しゅつりょくライブラリLog4j2で深刻しんこく脆弱ぜいじゃくせい(CVE-2021-44228)を修正しゅうせいしたバージョンが公開こうかいされた。その修正しゅうせい不完全ふかんぜんであったことなどを理由りゆうに2けん脆弱ぜいじゃくせい修正しゅうせいされた。 ひろ利用りようされているライブラリであるため影響えいきょうける対象たいしょうおお存在そんざいするとみられ、攻撃こうげき容易よういであることから2014ねんのHeartbleed、Shellshock以来いらい危険きけんせいがあるとみるきもあり、The Apache Software

              Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

            • セキュリティエンジニアを3ねんつづけてかったおすすめ勉強べんきょうほう

              セキュリティエンジニアとして就職しゅうしょくしてからそろそろ3ねんちます。独断どくだん偏見へんけんもとづき、IT初心者しょしんしゃ・セキュリティ初心者しょしんしゃ・セキュリティエンジニアの3つの時期じきけ、費用ひようたい効果こうか勉強べんきょうほう紹介しょうかいしていきたいとおもいます。 セキュリティエンジニアとは 「セキュリティエンジニア」という言葉ことば範囲はんいひろいですが、わたし今回こんかい記載きさいする内容ないよう脆弱ぜいじゃくせい診断しんだんやペネトレーションテストにった内容ないようとなっています。インシデント対応たいおうやアナリスト業務ぎょうむなどはせんもんではないので、あくまで診断しんだんけいひといているということをご認識にんしきおきください。 そもそもセキュリティエンジニアにどのような職種しょくしゅふくまれるかはラックさんがかりやすい資料しりょうしているのでそちらをごらんください(サイバーセキュリティ仕事しごとファイル 1、サイバーセキュリティ仕事しごとファイル 2)。 IT初心者しょしんしゃ時代じだい セキュリティをまな以前いぜん基礎きそとなるITをまな時代じだいかんがえます。 学校がっこう教育きょういく 学生がくせい

              • Let's EncryptがはまったGolangのとしあな - ぼちぼち日記にっき

                0. みじかいまとめ 300まん以上いじょう証明しょうめいしょ失効しっこうせまられたLet's Encryptのインシデントは「Golangでよくあるあいだちがい」とかれているようなバグが原因げんいんでした。 1. はじめに、 Let's Encryptは、無料むりょうでサーバ証明しょうめいしょ自動じどうして発行はっこうするサービスをおこな営利えいり団体だんたいとして2014ねん設立せつりつされました。 2015ねんにサービス開始かいしされると証明しょうめいしょ発行はっこうすうはぐんぐんび、先月せんげつまつのプレスリリースでは累計るいけい10おくまいのサーバ証明しょうめいしょ発行はっこうしたことがアナウンスされました「Let's Encrypt Has Issued a Billion Certificates」。CTLogの調査ちょうさから、2020ねん2がつまつ時点じてんでは有効ゆうこうぜん証明しょうめいしょの38.4%がLet's Encryptの証明しょうめいしょであるとみられています「Certificate Validity Dates」。 無料むりょう証明しょうめいしょ提供ていきょうしてもらえるのは非常ひじょううれ

                  Let's EncryptがはまったGolangの落とし穴 - ぼちぼち日記

                • ているサイトじょう露出ろしゅつしている機密きみつ情報じょうほう(APIトークン、IPアドレスなど)をつけるブラウザ拡張かくちょうつくりました

                  ているサイトじょう露出ろしゅつしている機密きみつ情報じょうほう(APIトークン、IPアドレスなど)をつけるブラウザ拡張かくちょうつくりました SecretlintというAPIトークンなどの機密きみつ情報じょうほうがファイルないふくまれているかをチェックできるツールをいています。 Secretlintはコマンドラインツールとしてうごくので、おもにCIやGitのpre-commit hookを利用りようして、リポジトリに機密きみつ情報じょうほうはいるのを防止ぼうしできます。 SecretlintでAPIトークンや秘密ひみつかぎなどのコミットを防止ぼうしする | Web Scratch 一方いっぽうで、実際じっさいのウェブサービスなどは機密きみつ情報じょうほうがファイルにハードコードされているわけではなく(Secrelint自体じたいがこういうハードコードをふせぐツールです)、環境かんきょう変数へんすうやDatabaseに保存ほぞんしているとおもいます。 このような場合ばあいにも、コードのミスなどによって公開こうかいするべきではない情報じょうほう(秘密ひみつかぎ、APIトークン、Sl

                    見ているサイト上に露出している機密情報(APIトークン、IPアドレスなど)を見つけるブラウザ拡張を作りました

                  • 情報じょうほうセキュリティ企業きぎょうが“脆弱ぜいじゃくせいだらけのWebアプリ”無償むしょう公開こうかい 実習じっしゅうよう題材だいざい

                    WAF開発かいはつ手掛てがけるEGセキュアソリューションズ(東京とうきょうみなと)は2がつ28にち、Webアプリケーションの脆弱ぜいじゃくせいについてまなべる実習じっしゅうようアプリケーション「BadTodo」を無償むしょう公開こうかいした。どうアプリはおおくの脆弱ぜいじゃくせいふくんでおり、実際じっさい攻撃こうげきしたりソースコードを確認かくにんしたりして実践じっせんてき学習がくしゅうできるとしている。 BadTodoは脆弱ぜいじゃくせい診断しんだん実習じっしゅうようのアプリ。情報じょうほうセキュリティの専門せんもんであり同社どうしゃCTOの徳丸とくまるひろしさんが制作せいさくした。WebブラウザじょううごくToDoリストアプリとして動作どうさするが、情報処理じょうほうしょり推進すいしん機構きこう(IPA)の「IPA ウェブ健康けんこう診断しんだん仕様しよう」や国際こくさいWebセキュリティ標準ひょうじゅん機構きこうの「OWASP Top 10」で紹介しょうかいされている脆弱ぜいじゃくせい網羅もうらてきふくむ、脆弱ぜいじゃくせいだらけのアプリになっている。 EGセキュアソリューションズによると、BadTodoには各種かくしゅ脆弱ぜいじゃくせい自然しぜんかたちんでおり、脆弱ぜいじゃくせいスキャンでつかりにくい項目こうもくふくんでいるという。 とく

                      情報セキュリティ企業が“脆弱性だらけのWebアプリ”無償公開 実習用の題材に

                    • アイコンをるだけでデータが破壊はかいされるNTFSの脆弱ぜいじゃくせい

                        アイコンを見るだけでデータが破壊されるNTFSの脆弱性

                      • Google、セキュリティスキャナー「Tsunami」をオープンソースで公開こうかい。ポートスキャンなどで自動的じどうてき脆弱ぜいじゃくせい検出けんしゅつするツール

                        Google、セキュリティスキャナー「Tsunami」をオープンソースで公開こうかい。ポートスキャンなどで自動的じどうてき脆弱ぜいじゃくせい検出けんしゅつするツール Announcing the release of the Tsunami security scanning engine to the open source communities to protect their users’ data, and foster collaboration.https://t.co/qrvmilHm1r — Google Open Source (@GoogleOSS) June 18, 2020 Tsunamiは、アプリケーションにたいしてネットワーク経由けいゆ自動的じどうてきにスキャンをおこない、脆弱ぜいじゃくせい発見はっけんしてくれるツールです。 Googleは、現在げんざいでは攻撃こうげきしゃ自動じどうされた攻撃こうげきツールへの投資とうしつづけており、ネットじょう公開こうかいされたサービスがおさむ

                          Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール

                        • 「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱ぜいじゃくせい任意にんいのリモートコードを実行じっこう可能かのう iCloudやSteam、Minecraftなど広範囲こうはんいのJava製品せいひん影響えいきょう

                          Webセキュリティ製品せいひんなどを手掛てがけるべいLunaSecの報告ほうこくによると、Minecraftのほか、ゲームプラットフォームのSteamやAppleの「iCloud」もこの脆弱ぜいじゃくせいつことがかっており、影響えいきょう広範囲こうはんいおよぶとかんがえられるという。 この脆弱ぜいじゃくせい影響えいきょうがあるのは、Log4jのバージョン2.0から2.14.1までと当初とうしょみられていたが、Log4jのGitHubじょう議論ぎろんでは、1.xけい同様どうよう脆弱ぜいじゃくせいかかえていることが報告ほうこくされている。対策たいさくには、修正しゅうせいみのバージョンである2.15.0-rc2へのアップデートが推奨すいしょうされている。 セキュリティニュースサイト「Cyber Kendra」によれば、この脆弱ぜいじゃくせいたいして付与ふよされるCVE番号ばんごうは「CVE-2021-44228」という。 脆弱ぜいじゃくせい報告ほうこくけ、TwitterじょうではITエンジニアたちが続々ぞくぞく反応はんのう。「やばすぎる」「おもっていたよりずっとひどいバグだった」「なぜこんな

                            「やばすぎる」 Javaライブラリ「Log4j」にゼロデイ脆弱性、任意のリモートコードを実行可能 iCloudやSteam、Minecraftなど広範囲のJava製品に影響か

                          • log4jの脆弱ぜいじゃくせいについて

                            log4jとはJavaようのloggingライブラリだ。loggingライブラリというのはログとして記録きろくすべき文字もじれつり、それをどこかに出力しゅつりょくするものだ。文字もじれつ中身なかみ通常つうじょうのloggingライブラリはにしない。 log4jが通常つうじょうのloggingライブラリとちがうのは、文字もじれつ中身なかみて、一部いちぶ文字もじれつ変数へんすうとみなして置換ちかんすることだ。これはlog4jのドキュメントではlookupとばれている。 Log4j – Log4j 2 Lookups たとえばプログラムを実行じっこうちゅうのJava runtimeのバージョンをログにふくめたい場合ばあいは、"Java Runtime: ${java:runtime}"などとすると、"Java Runtgime: Java(TM) SE Runtime Environment (build 1.7.0_67-b01) from Oracle Corporation"などの

                            • XZ Utilsの脆弱ぜいじゃくせい CVE-2024-3094 についてまとめてみた - piyolog

                              2024ねん3がつ29にち、Linux圧縮あっしゅくユーティリティとしてひろ利用りようされているXZ Utilsに深刻しんこく脆弱ぜいじゃくせい CVE-2024-3094 が確認かくにんされたとして、研究けんきゅうしゃやベンダがセキュリティ情報じょうほう公開こうかいしました。この脆弱ぜいじゃくせい特定とくてい条件下じょうけんかにおいてバックドアとして悪用あくようされるおそれがあるものとみられており、当該とうがいソフトウエアのメンテナのアカウントにより実装じっそうされたソフトウエアサプライチェーン攻撃こうげき可能かのうせい指摘してきされています。ここでは関連かんれんする情報じょうほうをまとめます。 脆弱ぜいじゃくせい概要がいよう xzとは主要しゅようなLinuxディストリビューションにふくまれる汎用はんようてきなデータ圧縮あっしゅく形式けいしきで、今回こんかい問題もんだい確認かくにんされたのはその圧縮あっしゅく解凍かいとうユーティリティであるliblzma(API)をふくむXZ Utils。CVE-2024-3094がばんされており、Red Hatによって評価ひょうかされたCVSS基本きほんはフルスコアの10。影響えいきょうけたライブラリをリンクしているssh

                                XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog

                              • IPA情報じょうほうセキュリティ10だい脅威きょうい っておきたい用語ようご仕組しくみ2023ねん5がつ.pdf

                                情報じょうほうセキュリティ 10 だい脅威きょうい っておきたい用語ようご仕組しくみ 2023 ねん 5 がつ 目次もくじ はじめに......................................................................................................................................................... 3 1 しょう. 理解りかい必須ひっす! ...................................................................................................................................... 5 1.1. 脆弱ぜいじゃくせい(ぜいじゃくせい) .............................

                                • DNSリバインディング(DNS Rebinding)対策たいさくそうまとめ

                                  サマリ DNSリバインディングが最近さいきん注目ちゅうもくされている。Google Chromeは最近さいきんになってローカルネットワークへのアクセス制限せいげん機能きのう追加ついかしており、その目的もくてきひとつがDNSリバインディング対策たいさくになっている。Googleが提供ていきょうするWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策たいさく機能きのう有効ゆうこうになっている。 DNSリバインディング対策たいさくは、攻撃こうげき対象たいしょうアプリケーションでおこなうべきものであるが、ブラウザ、PROXYサーバー、リゾルバとうでも保護ほご機能きのうまれている。本稿ほんこうではそれら対策たいさく機能きのう状況じょうきょう対策たいさくかんがかたについて説明せつめいする。 DNSリバインディング(DNS Rebinding)とは DNSリバインディングはDNSわせの時間じかん利用りようした攻撃こうげきです。DNSのTTL(キャッシュ有効ゆうこう期間きかん)をきわめてみじかくしたうえで、1かいと2かいわせ結果けっかえることにより、IPアドレスのチ

                                    DNSリバインディング(DNS Rebinding)対策総まとめ

                                  • 国内こくないやく200組織そしきおこなわれたサイバー攻撃こうげき関係かんけいしゃ書類しょるい送検そうけんについてまとめてみた - piyolog

                                    2021ねん4がつ20日はつか国内こくないやく200の組織そしきをターゲットにしたサイバー攻撃こうげきが2016ねんおこなわれていたとして、攻撃こうげき関連かんれんするサーバーの契約けいやくかかったおとこ警視庁けいしちょう公安こうあん書類しょるい送検そうけんしたとほうじられました。捜査そうさ現在げんざいおこなわれており関係かんけいしゃ情報じょうほうほうじられています。ここでは関連かんれんする情報じょうほうをまとめます。 攻撃こうげき発信はっしんもとサーバーにかかったおとこ書類しょるい送検そうけん 書類しょるい送検そうけんされたのは中国共産党ちゅうごくきょうさんとういん ちゅう国籍こくせきおとこで、すで中国ちゅうごく帰国きこく中国ちゅうごく大手おおて情報じょうほう通信つうしん企業きぎょう勤務きんむ日本にっぽん滞在たいざいちゅうもシステムエンジニアのしょくいていた。*1 容疑ようぎわたし電磁でんじ記録きろく不正ふせい作出さくしゅつどう供用きょうよう。2016ねん9がつから17ねん4がつ、5かいにわたり虚偽きょぎ氏名しめい住所じゅうしょ使つか国内こくないレンタルサーバー業者ぎょうしゃ契約けいやく。サーバー利用りよう必要ひつようなアカウント情報じょうほう取得しゅとくしたうたがい。 おとこ中国ちゅうごく国内こくないから契約けいやくおこない、転売てんばいサイトでアカウントを販売はんばい。Tickと呼称こしょうされるグループがそのアカウントを入手にゅうしゅ一連いちれん攻撃こうげき悪用あくようされたとされる。 捜査そうさにあ

                                      国内約200組織へ行われたサイバー攻撃と関係者の書類送検についてまとめてみた - piyolog

                                    • Node.jsのMySQLパッケージにおけるエスケープ処理しょりだけではふせげない「かくれた」SQLインジェクション - Flatt Security Blog

                                      ほん記事きじ筆者ひっしゃstyprが英語えいご執筆しっぴつした記事きじ株式会社かぶしきがいしゃFlatt Security社内しゃない日本語にほんご翻訳ほんやくしたものになります。 TL;DR Node.jsのエコシステムでもっと人気にんきのあるMySQLパッケージのひとつである mysqljs/mysql (https://github.com/mysqljs/mysql)において、クエリのエスケープ関数かんすう予期よきせぬ動作どうさがSQLインジェクションをこす可能かのうせいがあることが判明はんめいしました。 通常つうじょう、クエリのエスケープ関数かんすうやプレースホルダはSQLインジェクションをふせぐことがられています。しかし、mysqljs/mysql は、種類しゅるいによってエスケープ方法ほうほうことなることがられており、攻撃こうげきしゃことなる種類しゅるいでパラメータをわたすと、最終さいしゅうてき予期よきせぬ動作どうさこす可能かのうせいがあります。予期よきせぬ動作どうさとは、バグのような動作どうさやSQLインジェクションなどです。 ほぼすべてのオンラ

                                        Node.jsのMySQLパッケージにおけるエスケープ処理だけでは防げない「隠れた」SQLインジェクション - Flatt Security Blog

                                      • Twitterカードがられたツイートはすべて詐欺さぎです、という時代じだい - Qiita

                                        最近さいきんつけた現象げんしょうすでろんじられているかとおもったがちょっと解説かいせつつからなかったのでまとめておく。 手短てみじかに X(きゅうTwitter)クライアントで表示ひょうじされるTwitterカードについてカードに表示ひょうじされるドメインとはちがうページにリンクさせる手法しゅほう存在そんざいする この手法しゅほう第三者だいさんしゃのTwitterカードを利用りようすることができる つまり悪用あくようしゃ第三者だいさんしゃのTwitterカードを表示ひょうじさせながら自身じしん意図いとするページに閲覧えつらんしゃ誘導ゆうどうすることができる これはフィッシングの手法しゅほうになりうる つけたツイート 以下いかのツイートはGoogle、Bloomberg、日経にっけいビジネスのTwitterカードが添付てんぷされているがクリックするとそれらとはことなる情報じょうほうしょうざいサイトにジャンプする。リンクさき危険きけん仕組しくみはないとおもわれるがクリックは自己じこ責任せきにんで。ねんれたいひとは curl -L で。 PCブラウザでカーソルをわせてもXの短縮たんしゅくURLサービスであ

                                          Twitterカードが貼られたツイートはすべて詐欺です、という時代 - Qiita

                                        • ベンダが提供ていきょうしていない決済けっさいモジュールの不具合ふぐあいによる情報じょうほう漏洩ろうえい事故じこ 東京とうきょうばんれい2.10.13(たいら28ワ10775) - IT・システム判例はんれいメモ

                                          ECサイトにおけるクレジットカード情報じょうほう漏洩ろうえい事故じこが、決済けっさい代行だいこう業者ぎょうしゃから提供ていきょうされたモジュールの不具合ふぐあいがあったという場合ばあいにおいて、開発かいはつベンダの責任せきにんがモジュールの仕様しよう不具合ふぐあい確認かくにんまでおよぶかかがわれた事例じれい事案じあん概要がいよう Xが運営うんえいするECサイト(本件ほんけんサイト)において、顧客こきゃくのクレジットカード情報じょうほう漏洩ろうえいした可能かのうせいがあるとの指摘してきけて、Xは、本件ほんけんサイトにおけるクレジットカード決済けっさい機能きのう停止ていしした(本件ほんけん情報じょうほう漏洩ろうえい)。その、Xはフォレンジック調査ちょうさ依頼いらいし、不正ふせいアクセスによってクレジットカード会員かいいん情報じょうほう漏洩ろうえいしたこと、クレジットカード情報じょうほうはサーバないのログに暗号あんごうされてふくまれていたが、復号ふくごうすることが可能かのうだったこと、ろうえいした情報じょうほう最大さいだいやく6500けんだったこととうあきらかとなった。 Xは、本件ほんけんサイトを、Yとのあいだ締結ていけつした請負うけおい契約けいやく本件ほんけん請負うけおい契約けいやく)にもとづいて開発かいはつしたものであって、本件ほんけんサイトの保守ほしゅ管理かんりについても本件ほんけん保守ほしゅ管理かんり

                                            ベンダが提供していない決済モジュールの不具合による情報漏洩事故 東京地判令2.10.13(平28ワ10775) - IT・システム判例メモ

                                          • トレンドマイクロさんに脆弱ぜいじゃくせい指摘してきして1周年しゅうねん…とんでもない主張しゅちょうかされたはなし - Windows 2000 Blog

                                            3rdにしました。 2010/12/31 以前いぜん&2023/1/1 以降いこう記事きじひらくと5びょうにリダイレクトされます。 普段ふだん日記にっきは あっち[http://thyrving.livedoor.biz/] こちらには技術ぎじゅつ関係かんけいのちょっとマニアックな記事きじやニュースをせます。 Windows2000ネタ中心ちゅうしん毎日まいにち更新こうしん。 2020ねん2がつ25にちにトレンドマイクロさんに、ぼう脆弱ぜいじゃくせい指摘してきして受理じゅりされたの26にちなのでやりりをつづけて1周年しゅうねんになるのですが、いまだになおってないのは、おちゃということでゆるすとして、ちょっと看過かんかできないコメントをいただきました。このコメントの内容ないようは、脆弱ぜいじゃくせいまった関係かんけいないのでみなさんにもちょっとってもらいたいなとおもいました・ωおめが・ 1.「この脆弱ぜいじゃくせいは、トレンドマイクロ製品せいひんをアンインストールするまで実行じっこうされないのでリスクはひくいとかんがえています」 いや、かりにそうだとしても、トレンドマイクロ製品せいひん

                                            • 解凍かいとう圧縮あっしゅくソフト「7-Zip」に修正しゅうせい脆弱ぜいじゃくせい ~セキュリティ研究けんきゅうしゃあきらかに/ヘルプファイルの削除さくじょ緩和かんわ可能かのう

                                                解凍・圧縮ソフト「7-Zip」に未修正の脆弱性 ~セキュリティ研究者が明らかに/ヘルプファイルの削除で緩和可能

                                              • もどるボタンで情報じょうほう漏洩ろうえいするサイトをつくってみた

                                                雇用こよう調整ちょうせい助成じょせいきんとうオンライン受付うけつけシステムにて、ブラウザの「もどる」ボタンを使つかうとべつ会社かいしゃ申請しんせいしょ閲覧えつらんできてしまう事故じこ発生はっせいしました。この事故じこ着想ちゃくそうて、ブラウザの「もどる」ボタンとセッション変数へんすう関係かんけいについて解説かいせつする動画どうが作成さくせいしました。 # 事故じこ原因げんいん推測すいそくではなく、セキュリティの解説かいせつ動画どうがです スクリプトとうはこちら https://github.com/ockeghem/web-sec-study/tree/master/browser-back-incident ------------ ■EG セキュアソリューションズ株式会社かぶしきがいしゃ  https://www.eg-secure.co.jp/ ■お仕事しごと依頼いらいはこちらから  https://www.eg-secure.co.jp/contact/ ------------

                                                  戻るボタンで情報が漏洩するサイトを作ってみた

                                                • GitHub - Bad Todo 非常ひじょう多種たしゅ脆弱ぜいじゃくせいふく診断しんだん実習じっしゅうやられアプリ

                                                  You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

                                                    GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリ

                                                  • セキュリティ研修けんしゅう【MIXI 23新卒しんそつ技術ぎじゅつ研修けんしゅう

                                                    23新卒しんそつ技術ぎじゅつ研修けんしゅう実施じっししたセキュリティ研修けんしゅう講義こうぎ資料しりょうです。 資料しりょう利用りようについて 公開こうかいしている資料しりょう勉強べんきょうかい企業きぎょう研修けんしゅうなどで自由じゆうにご利用りよういただいて大丈夫だいじょうぶですが、以下いかかたちでの利用りようだけご遠慮えんりょください。 ・受講じゅこうしゃから参加さんか授業じゅぎょうりょうなどをあつめるかたちでの利用りよう会場かいじょう飲食いんしょくなど…

                                                      セキュリティ研修【MIXI 23新卒技術研修】

                                                    • NUROこうはセキュリティてきにやばいってはなし (安全あんぜん使つかうための方法ほうほう) - Qiita

                                                      このエントリをこうとおもった理由りゆう 先週せんしゅう、NUROこうはセキュリティてきにやばい回線かいせんだから、セキュリティを理解りかいしていたり、それなりの知識ちしきがないひと使つかうとやべー回線かいせん。ってぼうあおとりでつぶやいたらなんか4.3まんRT、11.6まんfavoってたので、そのことについてそこそこわかりやすくまとめてみようかなとおもったわけです。 要約ようやく NUROひかりのHGWはデフォルトでIPv6ファイアウオール機能きのう無効むこう または 搭載とうさい可能かのうせいがある ので、そのまま使つかうと家庭かていないLANがインターネットからえちゃうからちゃんと設定せってい対策たいさくして使つかおうぜってはなし。 このドキュメントの対象たいしょうとするひとたち なにかんがえずに速度そくどはやいだけでNUROこう使つかっている、「いんたぁねっとがなにかよくかっていない」にんけです。 ネットワークやセキュリティを理解りかいしていて、自分じぶんのルータでセキュリティを維持いじしつつ使つかえる!ってひとにはまった関係かんけいないはなしなのでにしなく

                                                        NURO光はセキュリティ的にやばいって話 (安全に使うための方法) - Qiita

                                                      • OpenSSLで史上しじょう2度目どめの「致命ちめいてき」レベルの脆弱ぜいじゃくせい発見はっけんされる、2022ねん11月1にち夜間やかん修正しゅうせいばんがリリースされるためそく更新こうしん

                                                        OpenSSLにじゅう大度たいど「CRITICAL(致命ちめいてき)」の脆弱ぜいじゃく(ぜいじゃく)せい発見はっけんされました。脆弱ぜいじゃくせいへの対応たいおう迅速じんそくおこなわれており、日本にっぽん時間じかんの2022ねん11月1にち22~2022ねん11月2にち4あいだ修正しゅうせいばんの「OpenSSL 3.0.7」が公開こうかい予定よていです。OpenSSLにじゅう大度たいど「CRITICAL」の脆弱ぜいじゃくせい発見はっけんされたのは、2014ねん報告ほうこくされて世界中せかいじゅうさわがせた「Heartbleed」につづいて史上しじょう2かい修正しゅうせいばんのリリースには、すみやかにアップデートを適用てきようする必要ひつようがあります。【2022ねん11月2にち追記ついき】その分析ぶんせき結果けっか、OpenSSL 3.0.7で修正しゅうせいされた脆弱ぜいじゃくせいじゅう大度たいどは「HIGH(CRITICALの1段階だんかい)」に修正しゅうせいされました。 Forthcoming OpenSSL Releases https://mta.openssl.org/pipermail/openssl-announce/202

                                                          OpenSSLで史上2度目の「致命的」レベルの脆弱性が発見される、2022年11月1日夜間に修正版がリリースされるため即更新を

                                                        • About · Container Security Book

                                                          Container Security Book ⚠️この文書ぶんしょ製作せいさくちゅうのものです About これから Linux コンテナのセキュリティをまなびたいひとのための文書ぶんしょです。 普段ふだんからコンテナをあつかっているが、コンテナの基礎きそ技術ぎじゅつやセキュリティについてはからないというひとが、それらを理解りかいできるあしがかりになるようにかれています。 誤字ごじ脱字だつじ間違まちがいなどあれば https://github.com/mrtc0/container-security-book に Issue もしくは Pull Request をててください。 ご意見いけん、ご感想かんそうとうは Twitter ハッシュタグ #container_security でツイートをおねがいします。 License この書籍しょせき記述きじゅつされているすべてのソースコードは MIT ライセンスとします。 また、文章ぶんしょうは Creative Commons Attribution

                                                          • 中国ちゅうごくぐんサイバー攻撃こうげき 日本にっぽんけソフトがねらわれる 事前じぜん入手にゅうしゅ分析ぶんせきか | 毎日新聞まいにちしんぶん

                                                            2016~17ねん中国ちゅうごく人民じんみん解放かいほうぐん関与かんよしたとされるだい規模きぼなサイバー攻撃こうげきで、被害ひがいにあった日本にっぽん企業きぎょうなどはいずれも組織そしきないのパソコンを一元いちげん管理かんりするソフト「SKYSEA(スカイシー)」を使つかっていたことが関係かんけいしゃへの取材しゅざい判明はんめいした。警視庁けいしちょう公安こうあんは、日本にっぽん国内こくない限定げんてい販売はんばいされていたソフトを中国ちゅうごくぐんがわ入手にゅうしゅし、脆弱ぜいじゃく(ぜいじゃく)せい分析ぶんせきしたうえ攻撃こうげきしたとみて調しらべている。 関係かんけいしゃによると、今回こんかい攻撃こうげきはSKYSEAの脆弱ぜいじゃくせいいて16ねん6がつはじまったとみられる。SKYSEAの開発元かいはつもとの「Sky(スカイ)」(大阪おおさか)はやく半年はんとしどう12がつ対策たいさくほどこしたと発表はっぴょう。しかし…

                                                              中国軍サイバー攻撃 日本向けソフトが狙われる 事前入手で分析か | 毎日新聞

                                                            • セキュリティツールの評価ひょうかむずかしい - knqyf263's blog

                                                              まえからおもってたことをちょっとかずにいられなくなったのでポエムをきました。 背景はいけい 問題もんだい 検知けんちしているほうただしいようにえがち 条件じょうけんそろえるのがむずかしい 環境かんきょう再現さいげんむずかしい 検知けんちすうおおほうさそうにえる 正解せいかいかどうかの判断はんだんむずかしい カバー範囲はんい正確せいかく見極みきわめがむずかしい 検知けんちされないほうがうれしい まとめ 背景はいけいまえだれだよってなるかもしれないのでいておくと、Trivyという脆弱ぜいじゃくせいスキャナーのメンテナをやっています。 github.com とある有名ゆうめいほうによる以下いかのツイートがありました。 I just discovered, during @cloudflare #SecurityWeek no less, that Trivy (the vuln scanner) doesn't detect known issues in Alpine images. Including a critica

                                                                セキュリティツールの評価は難しい - knqyf263's blog

                                                              • 20ふんかるDirty Pipe(CVE-2022-0847) - knqyf263's blog

                                                                極限きょくげんまで詳細しょうさいはぶけばなにとか20ふん雰囲気ふんいきだけでもつたえられるんじゃないかとおもってきました。えてから見返みかえしたら多分たぶん無理むりなので誇大こだい広告こうこくとなったことをふかくおもうげます。 背景はいけい 概要がいよう 脆弱ぜいじゃくせい影響えいきょう ページキャッシュやsplice パイプ マージの可否かひ 準備じゅんび 攻撃こうげき手順てじゅん まとめ 背景はいけい 先日せんじつDirty PipeというLinuxカーネルの脆弱ぜいじゃくせい公表こうひょうされました。 dirtypipe.cm4all.com Linuxのパイプにかんする脆弱ぜいじゃくせいなのですが、仕組しくみは意外いがいとシンプルでぎりぎりブログでもつたわるかもしれないとおもったので自分じぶん理解りかいきました。あといつもこまかくきすぎてながくなるので、今回こんかい雰囲気ふんいきだけでもつたわるようにとにかく説明せつめい簡略かんりゃくし、ふわっとした概要がいようだけでも理解りかいしてもらえるように頑張がんばりました。その結果けっか若干じゃっかん正確せいかくせいける部分ぶぶんがあるかもしれませんがおゆるしください。こまかい部分ぶぶんはまたべつ記事きじでま

                                                                  20分で分かるDirty Pipe(CVE-2022-0847) - knqyf263's blog

                                                                • 「PuTTY」に秘密ひみつかぎ復元ふくげんできてしまう深刻しんこく脆弱ぜいじゃくせい ~「WinSCP」などツールにも影響えいきょう/v0.81への更新こうしんかぎさい生成せいせい

                                                                    「PuTTY」に秘密鍵が復元できてしまう深刻な脆弱性 ~「WinSCP」など他ツールにも影響/v0.81への更新と鍵の再生成を

                                                                  • Log4jで話題わだいになったWAFの回避かいひ/難読なんどくとはなに

                                                                    はじめに 2021ねん12月に発見はっけんされたLog4jのCVE-2021-44228は、まれるレベル、まさに超弩級ちょうどきゅう脆弱ぜいじゃくせいとなっています。今回こんかいわたしはTwitterをおもあしがかりとして情報じょうほう収集しゅうしゅうおこないましたが、(英語えいご日本語にほんごどちらにおいても)かなりWAFそのものが話題わだいになっていることにおどろきました。あるひとは「WAFが早速さっそく対応たいおうしてくれたから安心あんしんだ!」とさけび、べつひとは「WAFを回避かいひできる難読なんどく方法ほうほうつかった。WAFはやくにたない!」と主張しゅちょうする。さらにはGitHubに「WAFを回避かいひできるペイロード(攻撃こうげき文字もじれつ)一覧いちらん」がアップロードされ、それについて「Scutumではこのパターンもまりますか?」とわせがるなど、かなりWAFでの防御ぼうぎょとその回避かいひ方法ほうほうについて注目ちゅうもくあつまりました。 じつはWAFにおいては、「回避かいひ(EvasionあるいはBypass)」とのたたかいは永遠えいえんのテーマです。これは今回こんかいLog4jのけん

                                                                      Log4jで話題になったWAFの回避/難読化とは何か

                                                                    • Engadget | Technology News & Reviews

                                                                      Parrots in captivity seem to enjoy video-chatting with their friends on Messenger

                                                                        Engadget | Technology News & Reviews

                                                                      • SPF (やDMARC) を突破とっぱする攻撃こうげき手法しゅほう、BreakSPF | あさから昼寝ひるね

                                                                        SPF レコードで許可きょかされている IPアドレスの実態じったいがクラウドやプロキシとう共用きょうようサービスのものであるケースはおおく、それらの IPアドレスが第三者だいさんしゃによって利用りようできる可能かのうせいがあることを悪用あくようし、SPF 認証にんしょうを pass、結果けっかてきに DMARC 認証にんしょうまで pass して詐称さしょうメールを送信そうしんできてしまうことを指摘してきした論文ろんぶん公開こうかいされています。 この論文ろんぶんでは、上記じょうきのような SPF の脆弱ぜいじゃく展開てんかいたいする攻撃こうげき手法しゅほうを BreakSPF とび、関連かんれんするプロトコルや基盤きばん実装じっそうたいする分析ぶんせきともに、その内容ないよう体系たいけいてきにまとめられています。 ほん記事きじでは、その論文ろんぶん参照さんしょうしながら、簡単かんたん概要がいようをまとめておきます。 ほん記事きじにつきまして、(とうサイトとしては) おおくのアクセスいただいているようで (ちょっとビビってま) す。まことに大変たいへんありがたいことに色々いろいろとシェアいただいたりしたようです。 そこで、記事きじ内容ないよう一部いちぶ重複じゅうふくしますが、できるだ

                                                                          SPF (やDMARC) を突破する攻撃手法、BreakSPF | 朝から昼寝

                                                                        • 高校こうこう2年生ねんせい開発かいはつしたWindows専用せんよう脆弱ぜいじゃくせいスキャナー「DetExploit」がリリース/オープンソースで開発かいはつ今後こんごはアドオンによる拡張かくちょう自動じどう更新こうしん機能きのう

                                                                            高校2年生が開発したWindows専用脆弱性スキャナー「DetExploit」がリリース/オープンソースで開発。今後はアドオンによる拡張や自動更新機能も

                                                                          • 脆弱ぜいじゃくせい診断しんだんにつかえるツールしゅう - Qiita

                                                                            概要がいよう 自宅じたくサーバのセキュリティチェックをしてた。 脆弱ぜいじゃくせい診断しんだんツール nikto niktoは、Web アプリケーションセキュリティスキャナー。 $ sudo apt install nikto -y $ nikto -h localhost - Nikto v2.1.5 --------------------------------------------------------------------------- + Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2019-08-23 22:26:00 (GMT9) ---------------------------------------------------------------------------

                                                                              脆弱性診断につかえるツール集 - Qiita

                                                                            • xzパッケージに仕込しこまれた3ねんがかりのバックドア、スケール直前ちょくぜんつけたのはMicrosoftの開発かいはつしゃ | gihyo.jp

                                                                              Linux Daily Topics xzパッケージに仕込しこまれた3ねんがかりのバックドア⁠⁠、スケール直前ちょくぜんつけたのはMicrosoftの開発かいはつしゃ “アップストリームのxzリポジトリとxz tarballsはバックドアされている(The upstream xz repository and the xz tarballs have been backdoored)⁠”―2024ねん3がつ29にち、Microsoftに所属しょぞくする開発かいはつしゃ Andres Freundが「Openwall.com」メーリングリストに投稿とうこうしたポストは世界中せかいじゅうのオープンソース関係かんけいしゃ衝撃しょうげきあたえた。 backdoor in upstream xz/liblzma leading to ssh server compromise -oss-security 主要しゅようなLinuxディストリビューションにはほぼふくまれているデータ圧縮あっしゅくプログラ

                                                                                xzパッケージに仕込まれた3年がかりのバックドア、スケール直前に見つけたのはMicrosoftの開発者 | gihyo.jp

                                                                              • 30おくのデバイスで任意にんいコードが実行じっこうできちゃうJava - Qiita

                                                                                免責めんせき事項じこう こちらの記事きじ紹介しょうかいする内容ないようは、教育きょういく目的もくてきまたは脆弱ぜいじゃくせいについて仕組しくみを理解りかい周知しゅうち啓発けいはつおこなうためだけに作成さくせいしております。 ぜったいに、悪用あくようしないでください。 記載きさいされているコードを実行じっこうした場合ばあい発生はっせいした損害そんがいには一切いっさい責任せきにんいません。 理解りかいされるほうのみしたにスクロールしてください。 経緯けいい 2021/12/9にて、ちょう有名ゆうめいなログ出力しゅつりょくライブラリであるlog4jのだい2世代せだい任意にんいコードが実行じっこう可能かのうであると報告ほうこくされました。 Apache Log4j2 jndi RCE#apache #rcehttps://t.co/ZDmc7S9WW7 pic.twitter.com/CdSlSCytaD — p0rz9 (@P0rZ9) December 9, 2021 ※上記じょうき特定とくてい文字もじれつをログ出力しゅつりょくさせることで、ペイントツール(draw.exe)を実行じっこうしている Minecraft(Javaばん)のチャット機能きのうにてこ

                                                                                  30億のデバイスで任意コードが実行できちゃうJava - Qiita

                                                                                • 三菱みつびし家電かでん脆弱ぜいじゃくせい 炊飯すいはん冷蔵庫れいぞうこ、エアコン、太陽光たいようこう発電はつでんなど広範囲こうはんい ユーザーがわ対処たいしょ

                                                                                  三菱電機みつびしでんきは9月29にち炊飯すいはん冷蔵庫れいぞうこなどの家電かでん製品せいひんやネットワーク機器ききなどで複数ふくすう脆弱ぜいじゃくせいつかったと発表はっぴょうした。悪用あくようされるとDoS攻撃こうげきけた状態じょうたいになったり、情報じょうほうろうえいが発生はっせいしたりするおそれがあるとしている。 【編集へんしゅう履歴りれき:2022ねん9がつ30にち午後ごご8 画像がぞうない対象たいしょう製品せいひんではないものがふくまれていたため修正しゅうせいしました】 対象たいしょう製品せいひん同社どうしゃせいのエアコン、無線むせんLANアダプター、冷蔵庫れいぞうこ給湯きゅうとう、バス乾燥かんそう炊飯すいはん換気かんきシステム、スマートスイッチ、太陽光たいようこう発電はつでんシステム、IHクッキングヒーターなど。 つかったのは(1)情報じょうほうろうえいの脆弱ぜいじゃくせい、(2)DoSの脆弱ぜいじゃくせい、(3)悪意あくいのあるスクリプトをふくむメッセージを応答おうとうする脆弱ぜいじゃくせい認証にんしょう情報じょうほう暗号あんごうされず、盗聴とうちょうにより情報じょうほうぬすまれるおそれもある。 対象たいしょう製品せいひん対処たいしょほう一覧いちらん情報じょうほうろうえいの脆弱ぜいじゃくせい対象たいしょう製品せいひん対処たいしょほう一覧いちらん(DoS、悪意あくいのあるスクリプトをふくむメッセージを応答おうとうする脆弱ぜいじゃくせい三菱電機みつびしでんき

                                                                                    三菱の家電に脆弱性 炊飯器、冷蔵庫、エアコン、太陽光発電など広範囲 ユーザー側で対処を
                                                                                  1 2 3 4 5 6 7 8 9 10 つぎのページ

                                                                                  新着しんちゃく記事きじ

                                                                                  はてなブックマーク

                                                                                  公式こうしきTwitter

                                                                                  はてなのサービス

                                                                                  • App Storeからダウンロード
                                                                                  • Google Playで手に入れよう
                                                                                  Copyright © 2005-2024 Hatena. All Rights Reserved.