脆弱性

こんばんは皆さん如何お過ごしでしょうか？ 最近ブログがまたアクセス数がかなり減ってきているのですよね。 さて今日のコンテンツはこちらです。 最近になってブログのアクセス数が減少している。 PAYPAY、ゆうちょ銀行との口座接続を再開 まぁそれもシステムの改修でどうにかなっているのが幸いですけどね。 アイコンを見るだけでデータが破壊されるNTFSの脆弱性 で今回のWindowsUpdate１月版は、IPAが、緊急で導入して下さいと 今ミラティブで、MJの配信キャンペーンが有るのですよね。 今度このキャンペーンが終わったら、 纏め 終わりに 最近になってブログのアクセス数が減少している。 まぁ切実…

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ 明けましておめでとうございます！ 2021年も『にゃん☆たく』をどうぞよろしくお願いいたします。 新年になり気持ち新たに。。。と思っていますが、昨今の新型コロナウイルスの影響がこの年末年始も変わらず、とうとう東京も緊急事態宣言が出されるようです（2021年1月5日午前現在）。 セキュリティ対策もコロナウイルス対策も自分一人の行動次第で変わってくることがあると僕は思っています。今自分ができることはまずやってみる、だけでも世の中全体が変わってくると思います。 では前月のまとめです。 脆弱性のアレコレ Apache Tomcatに脆弱性 ソリトンシステム…

はじめに 最近、Webアプリケーションの代表的な脆弱性について理解が浅いと自覚して再度勉強したので、 それのメモです。 主な脆弱性 今回、勉強したのは次の3つ。 クロスサイトスクリプティング（XSS） クロスサイト・リクエストフォージェリ（CSRF） SQLインジェクション ひとつずつ見てみる クロスサイトスクリプティング（XSS） 概要 Webアプリケーションにスクリプを埋め込むと動作する脆弱性があり、そこをを突いてくる攻撃のこと。 悪意あるユーザーがスクリプトを埋め込むことで、一般ユーザーのcookie情報などが盗まれる危険性がある。 主な被害 cookieからの情報漏洩 セッションハイジ…

この記事はRuby Advent Calendar 2020 - Qiitaの20日目です。 一昨年（RubyやRubyのOSSの脆弱性を見つけた話 - ooooooo_qの日記）と去年 （RubyやRubyのOSSの脆弱性を見つけた話の続き - ooooooo_qの日記）と同様にRuby関連で今年見つけた脆弱性の話です。 Rails XSS by file (Active Storage Proxying) hackerone.com Rails6.1で導入された機能での脆弱性です。修正されたのが6.1のリリース前だったからかCVEの割当はされていません。Active Storageを使って…

dev.twitter.com（現在のdeveloper.twitter.com）とapi.twitter.com（Sign in with Twitter）において、Twitter公式アプリケーションと瓜二つの偽物が作成可能で、詐称できた問題について書き起こします。 概要 この問題には現在対策され、少なくとも私が知りうる限りでは、新規に作成できなくなっています。対策されたことを踏まえ、ここでは過去の手法について軽く触れておきます。 問題点 Twitterのサーバーサイドの文字列処理の検証に不備がありました。それは、Unicodeの不可視文字コードです。悪意のあるUnicode文字を、先頭また…

どもどもにゃんたくです(｢・ω・)｢ｶﾞｵｰ いよいよ12月、今年も残り1ヶ月です。 ふとこの1年の自分を振り返ってみたんですが、正直色々ありすぎたなぁという語彙力もへったくれもない感想になってしまいました。（ごめんなさい） 来年は少しでも良い年になってほしいなと願うばかりです。 では前月のまとめです。 脆弱性のアレコレ Oracle WebLogic Serverに脆弱性 Fortinet社製FortiOSのSSL VPN機能に脆弱性 不審なメールや偽サイトのアレコレ 不審な偽サイト（フィッシングサイト）情報 注意喚起やニュースのアレコレ カプコンが不正アクセスを受け情報流出 慶応大SFCが…

Trivyという脆弱性スキャナをCentOSにインストールして、スキャンしてみました。 TrivyはOSやコンテナイメージの脆弱性（CVE）をスキャンして表示してくれます。 公式サイト 検証環境 Trivyのインストール スキャンの実行 脆弱性スキャン 未修整の脆弱性を無視してスキャン json形式＆ファイル出力 コンテナイメージのスキャン 公式サイト https://github.com/aquasecurity/trivy 検証環境 CentOS 7.9 Trivyのインストール CentOSにはリポジトリを作成してインストールするか、rpmをダウンロードしてインストールします。リポジトリ…

米国のセキュリティベンダーSymantecよりAPT10による新たな攻撃キャンペーンの観測状況が公開されました。 symantec-enterprise-blogs.security.com APT10による攻撃活動については以前にも触れました。（この時の活動がAPT10によるものだったかどうかは不明.ただし、当該記事でツールと攻撃手法の類似性は指摘あり。） micro-keyword.hatenablog.com 本記事では、公開された情報をもとに概要をまとめます。 目次 2020年10月現在の観測状況 今回の攻撃の特徴 まとめ 標的となった企業とその分野 以前に当ブログでも紹介させていただ…

少し前になりますが、構成管理ソフトウェアSaltStackの脆弱性に関する情報が公開されました。 www.saltstack.com このうち、CVE-2020-16846およびCVE-2020-25592については、セキュリティリスクCriticalないしHighに位置づけられるものだと推測されています。 これらの詳細についてまとめつつ、リスクを少し考えてみようと思います。 目次 今回確認された脆弱性 セキュリティ更新パッケージとパッチ 2020年5月に攻撃活動が観測されたSaltStackの脆弱性 現在の観測状況 まとめ 今回確認された脆弱性 今回、SaltStackより公開された脆弱性は…

【概要】■CVE番号 項目 内容 CVE番号 CVE-2020-1472 ■必要な対策攻撃を防ぐためには、以下のことを行う必要があります。 ドメインコントローラを2020年8月11日以降にリリースされたアップデートで更新(最新パッチの適用) イベントログを監視して、どのデバイスが脆弱な接続を行っているかを特定 脆弱性のある接続を行っている非準拠デバイスに対処 お使いの環境でCVE-2020-1472に対処するために、エンフォースメントモードを有効化する ■イベントログ(注目すべき Event ID)◇脆弱な Netlogon セキュアチャネル接続を試みたため、接続が拒否された場合に記録されるイ…

InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1415 公開のお知らせ：サポート情報 : トレンドマイクロ 下記日程にて、InterScan Web Security Suite 6.5 Linuxの Critical Patch を公開いたします。 ■修正プログラムInterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1415■公開日2020年10月26日(月)■修正内容本修正は、「サポートニュース：【注意喚起】InterScan Web Sec…

先週読んだセキュリティ関係の記事の中で、気になったものをご紹介します。 ※は英語記事 ※無印~★★★は主観での推奨レベル（★★★が閲覧推奨記事）／記事を読んだ個人的な感想ベース ■ 今週の三ッ星記事 整理No 日付 推奨 記事タイトル（リンク） 21-0251 1月15日 ★★★ 22 billion records exposed from breaches in 2020 – Tenable Threat Landscape report 2020年に違反から公開された220億件のレコード– Tenable ThreatLandscapeレポート 21-0275 1月20日 ★★★ 先端セ…

いつもの。 今週は57件です。 ※表がスマホの縦画面だと見にくかったり、表示されないケースがあるので、PC閲覧かスマホ横画面表示推奨です。 ※各記事にはリンクつけていますが、リンク切れになってたらすみません。 著作権 知財（著作権以外） 個人情報保護法・データ保護法・プライバシー関連 契約関連・法律・訴訟・法務ネタ デジタルマーケティング・アドテク関連 セキュリティ 情報漏洩・インシデント関連 セキュリティ体制 IT技術 業界動向 その他 著作権 記事の日付 記事タイトル/リンク kanekoコメント 1/23 コスプレ著作権ルール化へ えなこらから意見聴取 いろいろいいたいことがあるけど、と…

技術的な話について RFC（1-100）を読んだ https://www.ietf.org/rfc/rfc-index ARPA Network 世界初のパケット交換通信ネットワーク パケット交換 送信側：データをパケットという単位に細分化して送信 受信側：パケットを寄せ集めてデータを復元 ARPA Networkが登場するまでは回線交換が基本的な通信方式 『回線を占有して通信を行う』という旨の記載がいくつかのサイトで見られるが、具体的な通信のイメージができていない Network timetable https://www.ietf.org/rfc/rfc0004.txt これ何？ネットワー…

概要 要約 詳細 背景 前提 インターネット上に公開されたdnsmasq LAN内のマシンが攻撃者の支配下にある LAN内のマシンに攻撃者管理のWebサイトを閲覧させることができる 影響 中間者攻撃 汚染拡大 DDoS/Reverse DDoS CVE-2020-25684: ポートの多重化 CVE-2020-25685: 脆弱なCRC32の利用 CVE-2020-25686: 同一ドメイン名に対する複数クエリ発行 DNSフォワーダにおけるレスポンスの未検証 組み合わせる ドメイン名の登録 ソースIPアドレスの偽装 CRC32の衝突 攻撃の流れ ブラウザからの攻撃 検証端末 攻撃の成功確率 P…

【インシデント事例】 ・DeNA、元従業員がカーシェア「Anyca」の顧客情報を不正使用--カードローンを申し込み https://japan.cnet.com/article/35165397/ ・当社元従業員による不正行為について https://dena.com/jp/press/004691 ＜魚拓＞https://megalodon.jp/2021-0121-1720-19/https://dena.com:443/jp/press/004691 【攻撃の傾向・手法、攻撃組織の動向】 ・The story of ZeroLogon https://blog.malwarebytes.…

はじめに バグバウンティ CVE取得 まとめ 終わりに はじめに kazkitiさんのスライドを見て感化されたので私も書こうかなって思いました。 CVE、JVN番号の取得経験者になろう！ from kazkiti www.slideshare.net 私は感想をメインに書いていこうと思います。 バグバウンティ kazkitiさんのスライドに書いてあるとおり、バグバウンティは難易度が高かったです。 私の2019年～2020年のブログ記事では、バグバウンティ入門みたいなものを何回か書きましたが、そもそもバグバウンティに入門すること自体が難易度が高かったです。 個人的には、「競争」であることが精神的…

読者様よりコメント頂きましたが、回答が長くなったため記事で回答します。 コメント内容 名無し はじめまして。いつも銘柄分析の記事を参考にさせていただいています。 私もブログ主様のような銘柄分析が出来るようになりたいと考えているのですがなかなか上手く出来ず、浅い分析しかできていません。 そこで、不躾なお願いで恐縮なのですが、何か銘柄分析を行うために読んでおいた方がよい本を数冊教えていただけないでしょうか？(今までおすすめされていた本は読ませていただきました。) 会計などの専門的な本でも構いませんので、お暇な時に記事にでもしていただければ幸いです。 回答内容 名無し様いつもお読みいただきありがとう…

↓購入ページ↓ Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理するwww.lambdanote.com 感想 一番印象に残ったところ まとめ 終わりに 感想 「Webブラウザセキュリティ ― Webアプリケーションの安全性を支える仕組みを整理する」を読みました。 タイミング的なものなのか、内容的なものなのかわかりませんが、この本は私にとって良い影響をもたらしました。 歴史です。 都度調べていたクライアント側のセキュリティや機能ですが、断片的な情報しか入ってこなかったので、記憶に残りませんでした。 しかし、この本を読むことで、「クライアント側セキュリティ」に入…

「BOF」にも色々あるのでメモ書き程度ですが知っている範囲でまとめました。4パターンあります。 具体的にどのBOFを指しているのか分からない場合は、素直に話し手に確認しましょう。例えば口頭コミュニケーションの際にコンテキストから推測できない場合でしたら、「すみません、確認になってしまいますがBOFとはどういったことでしょうか？」などといって一言確認すればよいでしょう。 ■ BOF（ボフ、分科会） Birds of a feather flock together（ボフ、同じ鳥の羽は一緒に群がる、類は友を呼ぶ） 特定分野について深堀りし、議論や親睦交流を目的とするインフォーマルなMTG。本カンフ…

×2008 東京・多摩エリアで本格的な雪に 夜遅くにかけて東京都心も雪に変化 - ウェザーニュース ×105 Node.js + ExpressへのOPTIONSメソッドの実装 | 綺麗に死ぬITエンジニア ×9 Network-layer DDoS attack trends for Q4 2020 ×8 オカンにばれたコロナ給付金詐欺 19歳が自首するまで：朝日新聞デジタル ×4 Ubuntu Linux is now running on M1 Macs | Ars Technica ×3 パスワードを 128bit のハッシュ値にするシステムがあったとします。この時、パスワードにASC…

スポンサードリンク // 安定してホールドいたしますよ ---------------------- <3040> ソリトン 1886 +37 堅調。年明け以降のリバウンドにより、5日線を支持線に変えてきており、上値抵抗の25日線に接近してきている。一目均衡表では雲を下放れて推移しているが、転換線を突破してきており、雲を意識したトレンドが期待される。また、今後雲のねじれが起きるタイミングになるため、薄い雲が続くことから雲突破を試す展開も意識されてきそうである。 《FA》 堅調。とは言えないが、25日線の上に出た。もうすぐ5日x25日ミニGクロス達成。 ---------------------…