はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか? といった疑問が
DMM.com(東京・港)グループで暗号資産(仮想通貨)交換業を営むDMMビットコイン(同・中央)は31日、ビットコインが不正に流出したと発表した。流出額は482億円相当で、流出した顧客のビットコインはグループ会社の支援のもとで全額保証する方針も明らかにした。金融庁は資金決済法に基づく報告徴求命令をDMMビットコインに出し、原因の究明や顧客の保護を求めた。警察当局も流出の発生を把握し、情報収
クラウドストレージサービスの「MEGA」は、ユーザーがアップロードしたファイルをエンドツーエンドで暗号化しており、たとえ何者かにインフラストラクチャー全体が押収されてもファイルを復号できないと主張しています。ところが、スイス・チューリッヒ工科大学の研究チームが発表した調査結果によると、MEGAには暗号化されたファイルを復号したり、悪意のあるファイルを勝手にアップロードしたりできる脆弱性(ぜいじゃくせい)があるとのことです。 MEGA: Malleable Encryption Goes Awry https://mega-awry.io/ Mega says it can’t decrypt your files. New POC exploit shows otherwise | Ars Technica https://arstechnica.com/information-techn
開かれたインターネットを目指すソフトウェアエンジニアらによって組織された非営利団体・Open Web Advocacy(OWA)が、ユーザーの目が届かない場所でセキュリティやプライバシーを大きなリスクにさらすアプリ内ブラウザについて提言しました。 In-App Browsers: The worst erosion of user choice you haven't heard of - Open Web Advocacy https://open-web-advocacy.org/blog/in-app-browsers-the-worst-erosion-of-user-choice-you-havent-heard-of/ 以下のムービーでは、OWAが危惧しているアプリ内ブラウザの問題点がアニメーションでわかりやすく解説されています。 Open Web Advocacy - In-
Gmailが「メール送信者のガイドライン」を改訂し、なりすましメールへの対策を強化する旨を発表しています。今までは原則、なりすましメール対策の有無にかかわらず、メールはいちおうは届いていました。しかし今後は、なりすましとみなされたメールは届かなくなる方向に向かいつつあります。 なりすましメールとみなされないようにするために、メール送信者には、「メール送信ドメイン認証」への対応が求められます。メール送信ドメイン認証の技術には、主に以下の3つがあります。 SPF: Sender Policy Framework (RFC 7208) DKIM: DomainKeys Identified Mail (RFC 6376) DMARC: Domain-based Message Authentication, Reporting, and Conformance (RFC 7489) SPFは従来
Update 2023/12/22: 「永久入院」をより適切な「無期限入院」に変更 クライム・アクションゲーム『グランド・セフト・オート(Grand Theft Auto)』シリーズを制作しているゲーム開発スタジオ”Rockstar Games”に不正アクセスし、『グランド・セフト・オートVI』のソースコードと引き換えに身代金を脅迫していたイギリスの18歳男性に、精神病院に無期限入院させる判決が下った。 大ヒットシリーズ最新作『GTA6』のソースコードで脅迫 今月、ついに待望のトレーラーが公開され、わずか4日間で1.28億回、2週間で1.5億回というゲーム史を塗り替える新記録の再生数をたたき出した『グランド・セフト・オート VI(Grand Theft Auto VI)』。 Grand Theft Auto VI トレーラー それほどの注目を集めた大人気シリーズの最新ゲームだけに、過去に幾
2023年10月17日、NTTビジネスソリューションズは同社の元派遣社員が顧客情報の不正な持ち出しを行っていたと公表しました。持ち出された顧客情報はコールセンターのシステムに保存されていたもので、元派遣社員は2013年より不正な行為を及んでいたとみられています。ここでは関連する情報をまとめます。 10年近く前から顧客情報を不正に持ち出し 不正な行為を行っていたのはNTTビジネスソリューションズに2008年6月より派遣されていた元派遣社員(公表時点で派遣会社から退職済)で、コールセンターシステムの運用保守管理を担当していた。10年間で100回以上にわたって不正な取得行為を行っていた。*1 NTTビジネスソリューションズはNTTマーケティングアクトProCXが利用していたコールセンターシステムのシステム運用を行っており、元派遣社員によって不正に持ち出されていた情報はNTTマーケティングアクトP
アメリカ最大のサイバーセキュリティ企業の1つであるFireEyeが、「一流の攻撃能力を持つ国の政府組織」によるものと思われるハッキングによって、顧客のサイバーセキュリティをテストするために使っているハッキング用の内部ツールを盗まれたことを明らかにしました。 FireEye Shares Details of Recent Cyber Attack, Actions to Protect Community | FireEye Inc https://www.fireeye.com/blog/products-and-services/2020/12/fireeye-shares-details-of-recent-cyber-attack-actions-to-protect-community.html U.S. Cyber Firm FireEye Says It Was Breach
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く