Amazon.co.jp: ファジング:ブルートフォースによる脆弱性発見手法: Michael Sutton, Adam Greene, Pedram Amini, 園田 道夫, (株)ドキュメントシステム, 伊藤 裕之: 本
securityに関するnirvashのブックマーク (108)
-
nirvash 2008/08/04
-
printenv at xss-quiz.int21h.jp
printenv at xss-quiz.int21h.jp Your IP address: 133.242.243.6 () NameValue HTTP_ACCEPT*/* HTTP_CACHE_CONTROLno-cache HTTP_CONNECTIONclose HTTP_HOSTxss-quiz.int21h.jp HTTP_USER_AGENTHatenaBookmark/4.0 (Hatena::Bookmark; Analyzer) QUERY_STRING REMOTE_ADDR133.242.243.6 REQUEST_METHODGET REQUEST_SCHEMEhttp REQUEST_URI/
-
-
UPnPルータ+Flash=深刻なセキュリティ問題
(Last Updated On: 2008年1月18日)GNUCITIZENは重要なセキュリティ問題を次々に公開しているのでセキュリティに興味がある方はチェックしているのでご存知とは思いますが、 Hacking The Interwebs http://www.gnucitizen.org/blog/hacking-the-interwebs に非常には深刻なセキュリティ問題が解説してあります。具体的な攻撃方法などはGNUCITIZENを参照してください。日本でもいろいろ書かれるかな、と思っていたのですが予想より少ないのでブログに書くことにします。ここでは重要な部分だけ要約して書きます。 攻撃 Flashを利用したUPnPルータの攻撃シナリオは以下になります。 UPnPが有効なルータがある 悪意のあるFlashをWebブラウザで参照する UPnPルータの設定を変更するSOAPリクエストを
-
Stealth MBR rootkit
In 2005 Derek Soeder and Ryan Permeh, researchers from eEye Digital Security, presented eEye BootRoot. The technique used in their project wasn't new and had been popular in DOS times, but they first successfully used it in Windows NT Environment. The eEye Digital Security researchers skipped one part - BootRoot didn't hide the real content of affected sectors like old DOS Stealth MBR viruses, but
-
HDDをフォーマットするブラクラ まとめwiki
パソコンに詳しくない方は、スレッドに書かれる対応策を鵜呑みにせず 冷静な行動を取りましょう。報告にも偽のものがあるようなので注意。 感染した恐れのある場合は再起動やシャットダウンをしてはいけません。 各スレで人柱による対策が検討されています。 とにかくPCをそのままの状態にしておきましょう。 普段からセキュリティに気を付けている方であればまず大丈夫です。 概要まとめ 2007/12/28(金)、gigigi(アップローダー)にてエロ画像がUPされる。 (初出は http://sakura01.bbspink.com/test/read.cgi/ascii/1198102303/701 の模様。) 2007/12/30(日)Download板にて報告、ニュース速報板にスレが立ち拡大中。AV監督(愛媛県) 画像は拡張子はjpgだが、中身はHTMLとJavaScriptであり、これをクリックする
-
-
インターネットバンキングの被害防止対策 ソフトウェアキーボード|スルガ銀行
スパイウェアの被害を防止するために 画面を盗み取るスパイウェアが出現したため、お客さまのパスワードを盗み取られないために、文字の位置表示にカーソルを当てると文字が消え、さらに文字を入力するごとに文字の場所も変更されるソフトウェアキーボードに変更しました。また、確認パスワードにもソフトウェアキーボードを導入しました。(開始日:2006年9月17日) 今までどおり、ログオン・確認パスワードや暗証番号をキーボードから直接入力することも可能ですが、安心してお取り引きいただくために、ソフトウェアキーボードのご利用をお勧めします。 Webコンシェルジュでのご利用方法についてはこちら インターネットバンキングでのご利用方法について 1.お申込代表口座番号の入力 下記赤枠の中の青色部分にマウスを合わせると、文字が表示されますので、該当の文字が表示された場所をマウスでクリックしてください。 お
-
携帯サイトであるページにジャンプしたときに、そこに張られたTELタグを自動的にロードして電話をかけるといった仕組みを作ることはできますか?
携帯サイトであるページにジャンプしたときに、そこに張られたTELタグを自動的にロードして電話をかけるといった仕組みを作ることはできますか?
-
携帯危険タグ(裏技)
携帯危険タグ(裏技) 始めに ネットで見つけた変な物を不定期更新で紹介します。タグなんかは全て半角で使用。 メールでタグ使う場合は必ず頭に</XPLAINTEXT>をつける。503i系は、<X</XPLAINTEXT> 503iS、211i系は、http://"></><!--.gif --> ※ 悪用は絶対厳禁です。使用して発生した如何なる損害に対して,作者は責任を負いかねます。 ※ 最新機種には使えないタグもいくつかあります。(503i、211i等) ※ 使えなくなったタグ(裏技)も多数あるようです。その事に関しての質問等はご遠慮ください。 板荒し <form><textarea>☆</form> 強制電話 <img src=”cti-tel:電話番号”> iランドの板に仕掛ければ板を開いた途端に電話がかかる 底なしメール <hr size=9999999> 板にやっても即削除されてむ
-
高木浩光@自宅の日記 - 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰?
■ 一太郎Zero-day攻撃発覚経緯の謎 ―― 非国民は誰? 目次 一太郎zero-day攻撃発覚経緯の謎 Symantecは脆弱性分析のプロではない 日本人Symantec社員は非日本国民か 非国民は誰? ジャストシステム社も経済産業省告示を無視? 現行の届出制度はzero-day攻撃に対応していない 一太郎zero-day攻撃発覚経緯の謎 先週こんな報道があった。 一太郎の脆弱性を狙う新たな攻撃、集中的に狙われているとSymantecが警告, INTERNET Watch, 2007年12月14日 またか。 「また一太郎か」という意味ではなく、「また Symantec か」という意味でだ。 一太郎関連製品のバッファオーバーフロー系の脆弱性はこれまでに8回見つかっており、うち3回は、攻撃に悪用される前にIPAとJPCERT/CCを通じて事前に修正されたもの(JVN#90815371,
-
ニコニコで権利者になりすましての削除が疑われているらしい - 敷居の部屋
もう、なんでわかってるのにわざわざこんな荒れそうな話題に手を出すの!? 僕のばかばか! 釣られ人! ……と思わないでもないのですが、まあうちは元々この手の話題を取り上げるタイプのブログなので、いまさら自重しろといわれても困るんだぜ。でもこないだの冗談みたいなコメント数でこりたので、今回は最初からはてなユーザー限定発動しときます。チキンめっ! では、なりすましってどういうこと? ということで、まずはこちらの動画をご覧下さい。 ニコニコ動画(RC2)‐なりすまし削除・新たなる荒らしの脅威 ニコニコID持ってないかたはこちらの掲示板のログをどうぞ。 1 名前: no name :2007/11/29(木) 21:07:50 id:wvBcEplG http://www.smilevideo.jp/view_iior?video_id=164504 このようなフォームから 適当な権利者と思われる企
-
PS3で米大統領選の結果を「正確に」予知?…実はMD5脆弱性への問題提起 | スラド
アイントホーフェン工科大学(TUE)のBenne de Weger、CWIのMarc Stevens、ベル研のArjen Lenstraらセキュリティ研究者3名が、SonyのPlayStation 3一台を使用して2008年米国大統領選挙の結果を正確に予知したと発表した(Predicting the winner of the 2008 US Presidential Elections using a Sony PlayStation 3)。「有権者への影響を考慮して予知結果は選挙後まで秘密とするが、予知結果を記入したファイルが後で改竄されていないことを証明するため、ファイルのフィンガープリントをウェブサイトで公開しておく」としてMD5ハッシュの値を公開している。 というようなタレコミだったが、リンク先の下の方や本家/.の記事にもあるように、発表した人々が本当に言いたかったのは「MD5は
-
JPEGファイルによる情報漏洩の可能性について - ardarimのブログ
情報漏洩、というと大げさかもしれないが、Windows XP SP2にてペイントを使ってJPEGデータを保存すると、一定の条件でJPEGファイル内のEXIFデータとして保存されているサムネイル情報が更新されないようだ。 この状態でJPEGファイルのサムネイルを表示すると、実際の画像とサムネイルの内容が一致しない。 例えば、JPEG画像の秘密文書を他人に公開したい時に一部を墨消しする場合があるだろう。 このときにペイントを使って墨塗りして保存してしまうと、画像自体は墨塗りが施された状態で保存されるが、サムネイル画像として墨塗り前の画像が残ってしまうことになる。 サムネイル画像は小さいから墨塗りした文字が読み取られてしまう可能性は低いかもしれないが、あまり良い気はしない。 JPEGファイルのサムネイル画像は、エクスプローラの縮小表示で表示される。 私の場合は、Picasaを使っている時に見つけ
-
CSRF と Cookie 漏洩は関係ない | 水無月ばけらのえび日記
そしてcookieを奪うのがどれほど簡単かというのは、CSRFの事例が後をたたないことからも伺い知ることができる。 うーむ、CSRFの理解って結構浸透してきたと思っていたのですが、そうでもないようで……。 CSRF は Cookie を奪取してセッションハイジャックするような攻撃ではなく、攻撃者は Cookie の値を知る必要がありません。また、CSRF 攻撃によって攻撃者が Cookie を奪取することもできません。もちろん、別途 XSS があったりすれば Cookie を奪取できる余地がありますが、それは XSS による漏洩ということになるでしょう。 それから、User-Agent の一致チェックは対策としては不十分です。というのも、CSRF では原理上 User-Agent が一致するに決まっていますし、Cookie 奪取を想定するなら、攻撃者が User-Agent を一致させるこ
-
秋のDK収穫祭 - side=2(2007-11-29)
秋のDK収穫祭深夜3時になってTwitterを騒がせた、いわゆる「DK祭り」。何があったのかというと、Twitter / dankogaiのパスワードがバレちゃって、勝手に発言されるわアイコンが糸柳ミクになるわの騒ぎになったわけです。祭りになるまでの流れはotsuneさんのまとめがわかりやすいので引用してみる。 reploreがdankogaiのパスワードを推測で入れて成功 ↓ いたずら投稿する ↓ takehara37もパスワード推測して発見。それをHamachiya2が投稿でばらす ↓ 発見者がパスワード変更してDKにメールする ↓ ログインした別人がパス戻す ↓ 祭り dankogaiは普段ブログの更新URLばかり投げているので、いきなり「だんでーす(笑)」なんて発言があった時点で異常に気付いた人が結構いたみたい。祭りの間にdankogai名義で投稿された発言はnipotumblr
-
オレオレ証明書の警告に「セキュリティ上の問題はございません」と解説する銀行が登場 | スラド
フィッシング詐欺が騒がれるようになって久しいですが、11/17の高木浩光@自宅の日記によると、2つの実在する日本の地方銀行が、「アクセス時に表示される警告メッセージについて」という解説を出しているそうです(武蔵野銀行のもの、北越銀行のもの)。解説の内容は、 本サイトにアクセスする際、ブラウザの仕様により次の警告メッセージが表示されますが、セキュリティ上の問題はございませんので、安心して・・・をご利用ください。 というものですが、その警告メッセージというのは、IE7なら「詐欺や・・・情報を盗み取る意図が示唆されている場合があります」というもの。それに対して銀行が次のように解説するという、なんだか凄まじいことになっています。 以下の画面(ページ)が表示されましたら、「このサイトの閲覧を続行する(推奨されません)」を選択(クリック)してください。 IE7.0で本サイトにアクセスされますと、アドレ
-
-
匿名化ツール『Tor』:重要情報を公開した研究者に、当局の家宅捜査 | WIRED VISION
匿名化ツール『Tor』:重要情報を公開した研究者に、当局の家宅捜査 2007年11月26日 IT コメント: トラックバック (0) Kim Zetter Photo: Dan Egerstad スウェーデン人のコンピューター・セキュリティー専門コンサルタント、Dan Egerstad氏は、匿名化ツール『Tor』の出口ノードを利用して傍受し、外国の大使館や企業、人権団体等が保有する1000件にのぼる電子メールアカウントのログイン情報とパスワードを入手した人物だ。ワイアード・ニュースでは8月に、同氏のことをとりあげた(日本語版記事)。 そのEgerstad氏が11月12日(米国時間)、スウェーデン当局の家宅捜査を受け、事情聴取された。 Egerstad氏(左の写真)によると、12日朝、車を移動させるためにマルメーにあるアパートの一室を出ようと玄関ドアを開けたところ、5人の私服捜査官が立ってい
-
高木浩光@自宅の日記 - ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する
■ ユビキタス社会の歩き方(5) [重要] 自宅を特定されないようノートPCの無線LAN設定を変更する 昨日の日記を書いて重大なことに気づいたので、今日は仕事を休んでこれを書いている。昨日「最終回」としたのはキャンセルだ。まだまだ続く。 目次 Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している Windowsの新たな設定項目「このネットワークがブロードキャストしていない場合でも接続する」をオフに Windowsの無線LANが放送するSSIDからPlaceEngineで自宅の場所を特定される恐れ 電波法59条について再び Windowsの無線LANはプローブ要求信号として自動接続設定のSSIDを常時放送している 昨日の日記の図3で、probe request信号の例としてSSIDが「GoogleWiFi」になっているものを使った。これは昨日キャプチャし
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました