facebookにPHP CGIの脆弱性を試してみたら面白い対策がされていた!! - cakephperの日記(CakePHP, Laravel, PHP)
PHPに新たな脆弱性が見つかって、CGIモードで動作するPHPの場合コマンドライン引数がHTTP経由で渡せてしまうため、-sオプションを渡すとPHPのソースコードが丸見えになるというのが話題になってます。(-sオプションはhtmlでシンタックスハイライトまでしてくれてコードが見やすくなる) そこでFacebookに向けてこれを試してみると・・・ https://www.facebook.com/?-s こんな情報が!! <?php include_once 'https://www.facebook.com/careers/department?dept=engineering&req=a2KA0000000Lt8LMAS'; このURLにアクセスすると、セキュリティエンジニアの求人情報ページに行きます :) おしゃれー
「FacebookやOpenIDでログイン」に複数の|アクセス制御/認証|トピックス|Computerworld
Facebookのバグのおかげでザッカーバーグのプライベート写真が流出
Facebookのバグのおかげでザッカーバーグのプライベート写真が流出2011.12.07 18:00 mayumine Facebookのセキュリティバグのため、プライベートに設定した写真が他人に見られてしまう問題がLaunch(米メディア)より報じられました。 そしてちょっと変わった一面をもっている、Facebookの創設者であるマーク・ザッがーバーグの「動物虐待者」としてのプライベート写真が発掘、そしてそれはフライドチキンになって夕食に...。そのFacebookの脆弱性のために、ハッカーはいとも簡単にザッカーバーグのプライベート写真を取得することができたのでした。 その方法とは、プライベート写真を閲覧したいユーザーのプロフィール写真を「ヌード・ポルノ」であるとFacebookに報告すると、同様にその人のその他の写真もポルノであるかどうかのフラグ設定をするかどうか聞かれ、その人のプラ
Facebookは非公開設定でも直リンで誰でも写真が見れる上に、削除しても永遠に写真は消えないようです。
Facebookは非公開設定でも直リンで誰でも写真が見れる上に、削除しても永遠に写真は消えないようです。
サードパーティCookieの歴史と現状 Part3 広告における利用、トラッキング、ターゲティング広告におけるプライバシーリスク - 最速転職研究会
Facebookの問題画像の氾濫はWebブラウザの脆弱性に原因か?
FacebookページやFacebookアプリのSSL認証が義務化されます【追記有】
運営しているブログに、フェイスブック(facebook)のいいねボタンを設置しているのですが、いつのまにか、いいねを押した後に「承認」というリンクが表示されるよ…
『Facebook』を使わない6つの理由 | WIRED VISION
決して有名人ではない人がネットでは匿名の方が良い理由9個 - ガジェット通信
ほいほいとFacebookのフレンド申請に応じているとアカウントをのっとられてしまうかもしれない
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
about Facebook
Facebookのセキュリティ周りについてのリサーチと文章 元のtxt クリックジャッキングで訪問者のFacebookアカウントを取得するスクリーンキャプチャ 文責/連絡先 ma.la mailto:timpo at ma.la / @bulkneets Facebookの問題点に関するテキスト 1 ====== はじめに ------ この文章はma.laが書きました。これは 2011-03-17 に書かれました。 脆弱性の検証に関する実験はそれ以前に行われています。 この文章では、ユーザーの認可無く悪意のあるサイトからアカウントを特定されるリスクと、その対策について書いています。 まず最初に謝りますが、業務上必要であるのでFacebookアカウントを複数取得しています。私は業務上、Facebookアプリケーションの安全性の確認やFacebookのプラットフォームとしての安全性、自社サー
主人がFacebookアカウントを剥奪されて3週間が過ぎました - 最速転職研究会
http://ma.la/fb/ というのを書いたので、経緯と補足を書きます。 読むのが面倒くさい人向けに、ものすごく簡単に要約しておきます。 Facebookにはリンクを他人と共有するいいねボタン(likeボタン)というのがある。 Facebookの「ファンページ」なるものをつくると、いいねボタンを押したのが誰だか分かる機能がある。 ユーザーに気付かれないように細工したiframe内のボタンをクリックさせたりするクリックジャッキングという攻撃手法があり、いいねボタンを強制的に押させることが出来る これによって悪意のあるサイトは、訪問者のFacebookアカウントを特定することが出来る この手の問題はFacebookに限った話ではない。CSRFやクリックジャッキングで行われたアクションの結果が第三者から観測可能な全てのサービスにある。 例えば強制的にはてなブックマークさせたりはてなスターを
An interesting way to determine if you are logged into social web sites ✩ Mozilla Hacks – the Web developer blog
Thanks! Please check your inbox to confirm your subscription. If you haven’t previously confirmed a subscription to a Mozilla-related newsletter you may have to do so. Please check your inbox or your spam filter for an email from us. Jan! You could upload an image to a security-sensitive bug in Bugzilla to check if a user is logged in as a member of the security group, but this would change over t
Abusing HTTP Status Codes to Expose Private Information - Grepular
Abusing HTTP Status Codes to Expose Private InformationWritten 13 years ago by Mike Cardwell Update: Some of the example tests on this page no longer work (I don’t have a Facebook account anymore and the Twitter URL I used went offline). The technique it’s self is still alive and relevant though. When you visit my website, I can automatically and silently determine if you’re logged into Facebook,
パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 | スラド セキュリティ
米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ(IT WORLD、本家/.)。 容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。 容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、
なんとFacebookは不正ログイン防止の仕組みまでが感動的にソーシャルだった | Token Spoken
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ザッカーバーグの「5日間の沈黙」は、Facebookに取り返しのつかないダメージを与えた
TechCrunch | Startup and Technology News
