securityに関するteppeisのブックマーク (1,755)
-
teppeis 2025/01/10
-
Blog: DoubleClickjacking: A New Era of UI Redressing
“Clickjacking” attacks have been around for over a decade, enabling malicious websites to trick users into clicking hidden or disguised buttons they never intended to click . This technique is becoming less practical as modern browsers set all cookies to “SameSite: Lax” by default. Even if an attacker site can frame another website, the framed site would be unauthenticated, because cross-site cook
-
-
2025年版 OWASP Top 10 for LLMと、LLMセキュリティの具体策!
今月11月18日にOWASPは正式に「OWASP Top 10 for LLM Applications」の2025年版を公開しました。 OWASP TOP 10 for LLMは2023年に初版が発表されました。今回の2025年改定版では、最新のLLMリスクやアプリケーションアーキテクチャを考慮して、チャットボットやRAGシステムなどのLLMアプリケーションにおける、主要なセキュリティリスクを明らかにするとともに、それを軽減するための具体的な方策を提示しています。 「OWASP Top 10 for LLMs」の背景OWASP(Open Web Application Security Project)は、ソフトウェアセキュリティに特化した非営利財団およびコミュニティであり、Webアプリケーションセキュリティの業界標準である「OWASP Top Ten」で著名な組織です。 元々の「OWA
-
ローコード・ノーコードに潜むリスクを攻撃ツールで確かめてみた(インターンシップ体験記) - NTT Communications Engineers' Blog
こんにちは、NTTドコモグループの現場受け入れ型インターンシップ2024に参加させていただきました、佐藤と鈴木です。 本記事では、現場受け入れ型インターンシップ「D1.攻撃者視点に立ち攻撃技術を開発するセキュリティエンジニア」での取り組み内容について紹介します。NTTドコモグループのセキュリティ業務、とりわけRedTeam PJに興味のある方への参考になれば幸いです。 目次 目次 RedTeam PJの紹介 参加に至った経緯 インターンシップ概要 ローコード・ノーコードとは 検証業務 Power Pwnの概要 PowerDump reconコマンド dumpコマンド 条件や制約の調査 dumpコマンドの制約 検証まとめ 感想 おわりに RedTeam PJの紹介 私たちは、NTTコミュニケーションズ イノベーションセンター テクノロジー部門 RedTeam PJのポストに参加しました。Re
-
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト
-
タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? | mond
タリーズの件、CSPが設置されていたら防げていたという話がありますが、それは正しいでしょうか? CSPを設定していなかったとしても、想定していない外部へのリクエストが発生していないか、定期的にチェックすることも大事ですよね? タリーズのサイトからのクレジットカード情報漏えいについて、CSP(Content Security Policy)やintegrity属性(サブリソース完全性)の重要性がよくわかったという意見をX(Twitter)上で目にしましたが、これらでの緩和は難しいと思います。 まず、CSPの方ですが、今回の件では元々読み込んでいたスクリプトが改ざんされたと考えられるので、オリジンとしては正規のものです。evalが使われていたのでCSPで制限されると考えている人が多いですが、evalは難読化のために使われているので、evalを使わないことは可能です。個人的には、難読化しない方が
-
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
訂正のお知らせ 本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。 米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。 同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。 「パスワード
-
【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<当人認証編>
NIST SP 800-63-4のドラフトの主要な変更事項を読み解く全4回の連載、第3回目はSP 800-63B「デジタルアイデンティティの当人認証とその保証レベル」を取り上げます。NIST SP 800-63の概要については第1回全体編をご覧ください。 本連載の関連記事はこちら 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<全体編> 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<身元確認編> 【解説】デジタルアイデンティティガイドライン「NIST SP 800-63」第4版ドラフトはどう変わる?<フェデレーション編> ▶「大規模ユーザを管理する顧客ID統合プロジェクト成功の秘訣」をダウンロードする NIST SP 800-63B 「デジタルアイデンティティの当人認証とそ
-
-
海外向けに提供する「kintone」の SOC2 Type2 保証報告書を受領しました。|サイボウズのセキュリティ室
2024年8月8日 海外向けに提供する「kintone」のSOC2 Type2 保証報告書を受領しました。翌日公開したニュースリリースはこちらです。 適用範囲に、ご注意ください日本向けに提供している「kintone」の保証報告書ではありません。海外向けに提供する「kintone」をご利用の方、ご利用を検討いただいている方にのみお渡しできる報告書となっています。 SOC2 とは米国公認会計士協会(AICPA)が定めたサイバーセキュリティのフレームワークです。セキュリティ・プライバシー・可用性・機密性・処理の完全性、という5つの項目でデータセキュリティを維持するための基準を定めています。監査を受ける企業は、これらの5つの項目に準拠するようルールを制定し、実際の運用を行う必要があります。SOC2は主に監査法人が企業を評価して報告書をまとめるもので、被監査企業が報告書の適用範囲について、SOC2の
-
-
代行サービスを使ったDDoS攻撃容疑で摘発された事案についてまとめてみた - piyolog
2024年8月6日、警察庁はDDoS攻撃の代行サービスを使用して国内のWebサイトに対して攻撃を行っていたとして男を逮捕しました。ここでは関連する情報をまとめます。 DDoS攻撃代行サービスを使用して攻撃か DDoS攻撃を行ったとして逮捕された男の容疑は電子計算機損壊等業務妨害。2022年3月17日に東京都内出版会社のサーバーに対して大量のデータを送信し過負荷の状態にする行為(DDoS攻撃)を2回行い、あわせて約1時間半にわたりWebサイトを閲覧できない状態にし、業務を妨害した疑い。*1 男は「ストレスを発散するためだった」「一方的に攻撃を行っており弁解することはない」などと容疑を認めており、他に対してもBootyouを使用して何回かDDoS攻撃を行ったと供述をしている。*2 男はDDoS攻撃の代行サービス(いわゆるBooter、Stresser)である「Bootyou」(現在閉鎖済)を使
-
徳丸さん、こんにちは。 読売のような大手メディアのサイトでもサポート詐欺の偽警告が表示されるようになってしまいましたし、今の時代は広告ブロッカーが必須と考えたほうが安全なのでしょうか? | mond
徳丸さん、こんにちは。 読売のような大手メディアのサイトでもサポート詐欺の偽警告が表示されるようになってしまいましたし、今の時代は広告ブロッカーが必須と考えたほうが安全なのでしょうか? 徳丸が書いていないことを質問いただくことが時々ありますが、私が書いてないのは書きたくない理由があるから(単にめんどうくさいも含む)です。ですが、せっかく質問いただいたので、思うところを書いてみようと思います。 まず、私自身は広告ブロッカーを使っていないです。その理由は、広告ブロッカーには危険なものがある(原理的にあり得るし、過去にあった)からです。過去には、広告ブロッカーが元の開発者から売却され、マルウェア化した例が複数あります。具体例は示しませんが、検索するとすぐに見つけられると思います。 広告ブロッカーがマルウェア化すると、これらはブラウザアドオンの形で動くため、非常に強い権限があり、すべてのサイトの情
-
暗証番号やパスコードは無駄?-押収されたスマホの中身は見られてしまうのか-|弁護士髙野傑
現代社会において、スマートフォンは人の第二の脳とも呼べるほど、多種多様な情報を保存しています。今回は、警察などの捜査機関が、暗証番号によるロックを突破し、スマートフォンに保存された情報にアクセスする方法を解説します。 スマートフォンに保存された情報は、最も重要な証拠の一つ 犯罪の成否において、その人が行為時にどのように認識していたのかが重要な意味を持ちます。故意に犯罪を行ったのかという重要な問題です。人の心の中や思考を直接覗くことはできません。その人が何を意図して行動していたのかは、その人の行動や発言、状況等その他外部から観測可能な事実をもとに、推測していくことになります。 このような場面で最も重要な証拠となるのが、スマートフォンです。例えば、スマートフォンのメモ機能に行為時のことが日記として書かれているかもしれません。その時どう思ったか誰かにLINEをしているかもしれません。スマートフォ
-
-
-
-
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻
-
ユーザー認証の緊急事態に備えて提供しておきたい、セッション管理とセキュリティイベントログについて - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ritou です。 概要 以前、 WebAuthn の流れで、アカウントリカバリーについて書きました。 WebAuthn など新しい認証方式を受け入れる際の「アカウントリカバリー」の考え方 上記の投稿は 複数の認証方式 ユーザー自らの設定変更機能 を用意することで「詰む」ことを避けようという、いわゆる「クレデンシャルマネージメント」の話でした。 例えば家の中で FIDO2 対応のセキュリティキーを失くしたような場合は悪用されることをあまり想像する必要はないかもしれませんが、会社や移動中に失くした、もしくは盗まれた可能性があるような場合は
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
