パスワードリセット

6年前のMBPの液晶を壊してしまい、画面が見えなくなっていた。さらに、見えないままに適当にキーをたたいていたところ、どうやらパスワードリセット画面から起動するようになっていたようなので、リモートでの利用もできずにいた。本日、ようやく、 ・あらかじめ外部モニタに接続、外付けキーボード、マウスを接続・強制電源終了後、電源投入・電源投入後すかさず蓋を閉じる ということをして外部モニタに画面を出すことができ、パスワードリセットを済ませて外部モニタ上で使える状態とした。半年くらい放置していたので、その間のアップデート作業を行っているところ。さて、このままヘッドレスで使うか、液晶を修理するか･･･。

今回の記事は反省点、今後の改善策をまとめた備忘録のようなものになっています。 そのため、普段のようなスタイルの記事ではないことにご理解をよろしく御願い致します。 事例概要 Twitterのフォロワー(特定1名)のアカウントを乗っ取った犯人(以下乗っ取り犯)が、漏洩した情報やクラッキング等を行い得た情報を用いて住んでいる寮のネットワークに侵入、端末の情報を監視できる状態になってしまった。 被害状況 ・Googleアカウント：パスワードリセットのリクエスト複数回受信。 ・Microsoftアカウントパスワードリセットリクエスト複数回受信。 ・Discordアカウント：セッション情報か何かを使用し他…

「みんながCTO・PdM・テックリードをやる組織が理想」 エンジニアリング思考を活用したマネジメント道 - ログミーTech https://t.co/RuzAyysK9N— くどう (@derakudo) 2022年6月17日 ふと思い出して、5年前に実施したストレングスファインダーを再確認してみた。完全にあたってたので、もっと活用しておけばよかった https://t.co/poRebasVhr— くどう (@derakudo) 2022年6月20日 ただ、自己分析とのズレがそれほどなかったのと、それをふまえたアクションの方向性が合っていたので、それが救い— くどう (@derakudo)…

経緯 2年ぶりくらいに Heroku にログインしようと思ったら、パスワードが分からず、、、仕方なくパスワードリセットで対処した。 すると、既存のアプリでエラーが発生するようになった。理由は、Heroku の API キーを使ってアクセスしている箇所で、レスポンスが401エラー。 何で API キーの認証通らなくなったの？って色々調べてたら、表題の件ということだった。 結論 ドキュメントに書いてあった。 devcenter.heroku.com API トークンを再生成すると、現在のトークンが無効になり、新しいトークンが作成されます。 ユーザーがパスワードを変更すると、その API トークンが…

2022-06-10 開始 2022-06-12 読了TEAMING とかエドモンソンの「解毒薬」として教えてもらったものWho You Are（フーユーアー）君の真の言葉と行動こそが困難を生き抜くチームをつくる作者:ベン・ホロウィッツ日経BPAmazon著者のベン・ホロウィッツは起業家。 https://ja.wikipedia.org/wiki/%E3%83%99%E3%83%B3%E3%83%BB%E3%83%9B%E3%83%AD%E3%82%A6%E3%82%A3%E3%83%83%E3%83%84 前著『HARD THINGS』の読書メモ: https://memerelics.h…

Hello there, ('ω')ノ 管理者アクセスへのパスワードリセットを。 脆弱性： アカウントの乗っ取り 認証バイパス パスワードリセットの欠陥 記事： https://medium.com/techiepedia/password-reset-to-admin-access-3b2a649bdc3 APIの上でWebGUIを使用するWebアプリケーションをテストしているときに。 Authorizationヘッダに設定されたJWTトークンで承認されたAPIへの呼び出しに。 注目して。 パスワードのリセットをリクエストすると。 パスワードを更新するためのフォームへのリンクが電子メールで送…

2022年5月24日（米国時間）、SANS ISCのフォーラムでPython向けライブラリの1つ（その後PHP向けライブラリでも判明）が第三者により不正なコードを含むアップデートが行われていたとして注意を呼び掛ける投稿が行われました。その後この行為に関わっていたとして実行者とみられる人物が顛末を公開しました。ここでは関連する情報をまとめます。 改ざんされた2つのライブラリ 今回影響が確認されたのPython Package Index（Pypi.org）で公開されている「ctx」、Packagist（Packagist.org）で公開されている「PHPass」の2つ。 影響を受けたライブラリ …

以前Netflixアカウントが乗っ取られたのは2019年 この時はメールアドレス変更までされてたので、カスタマーに電話して即解決はしましたがその後丸一日かけて全てのパスワード変更したのでした。 さて今日GWぶりにNetflixでも見ようと思い立ち上げるとログイン画面に。嫌な予感 メール確認すると案の定 今度はチュニジア…？ 幸い、メールアドレス変更はされておらずパスワードリセットで済みましたし、アプリも開くことができました 今回はチュニジアからログインしてチュニジア内の別の場所で何度か見られてる模様。移動？別の人？なに？ 私の作ったユーザーは無傷で、新たにユーザーが作られて（日本語）フレンズを…

Hello there, ('ω')ノ アカウント乗っ取りへのホストヘッダインジェクションを。 脆弱性： ホストヘッダーインジェクション パスワードリセットの欠陥 アカウントの乗っ取り 記事： https://systemweakness.com/host-header-injection-lead-to-account-takeover-2f025a645d13 今回は、ワンクリックで他のユーザアカウントを引き継ぐように導く。 プライベート侵入テストプログラムでの発見について。 ワンクリックでアカウントの乗っ取りで、JSONでパラメータを検索し。 パスワードのリセットリンクのホストを変更する…

Hello there, ('ω')ノ ワンクリックでアカウントの乗っ取りを。 脆弱性： 一括割当 記事： https://m7-arman.medium.com/one-click-to-account-takeover-1f78c6003eba 概要 ： target.comでパスワードのリセットを要求すると。 パスワードのリセットリンクが記載されたメールが届いて。 Target.com/RestPassword/Token/blablablabla 今回は、ユーザのトークンを盗むことに焦点を当てることに。 最初の試行では、次のようなヘッダを挿入して。 X-Forwarded-Host: …

連休中に仕事をする人が出てくるか、連休明けに大騒ぎになるか。

Docker-DesktopにオンプレGitLabを立てる方法を学んだのでまとめておく。 コンテナを立てる Powershellのコマンドでやる場合 docker-compose.ymlでやる場合 GitLabにアクセスする 参考 CIとかでpagesに生成物を公開するような場合には、データをDocker内で管理していないと、うまく生成物を上げられないので、マウント先はバインドマウントではなく、ボリュームにする。 バインドマウントとボリュームの違いはDockerドキュメントボリュームの利用を確認する。 コンテナを立てる Powershellのコマンドでやる場合 下記をPowerShellで叩く…