KADOKAWAが受けた攻撃について、Black Suitが残した声明文を(意訳まじりで)邦訳してみた|wakatono
『【Excel】パスワードロックを強制的に解除する方法』へのコメント
そういや昔、埋め込まれているパスワード部分がハッシュ化されてるが、固定長だから自分で用意したデータに置き換えて開けるみたいなやつもあった記憶
xss 脆弱性のあるサイトを作ってセッションハイジャックを試す - Qiita
クロスサイトスクリプティングでセッションハイジャックする - Qiita
目的 XSSは危ない!とはよく聞くけど、具体的にどう危ないのかを示す記事が少なかったので。 前提 くっそ脆弱なWebアプリケーションを組んで試します。実際はそんなわけないだろうとか、そのへんはゆるして! XSS自体の説明とかは省くので、そのへんもゆるして! やったこと お粗末なWebアプリを用意する お粗末なWebアプリとして、[ログイン画面]→[ようこそ画面兼レビュー投稿画面]みたいな簡単なものを作ります。 サーバ環境を整える 今回はPaizaCloudさんのサービスを利用します。 PHPだけインストールしておきます。 ログイン画面を作る できたら、index.phpで簡易なログイン画面を作ります。 <?php echo "<h1>Hello " . "PHP</h1>"; ?> <html> <form action="welcome.php" method="post"> <inpu
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(2/5 ページ) パスワードリセットに不備 パスワード再設定機能の不備は、7payでも使用するセブン&アイグループの共通アカウント「7iD」にありました。 パスワード認証を採用している大抵のサービスでは、利用者がパスワードを忘れてしまった場合に、ログインをせずにパスワードを再設定できる機能があります。登録済みのメールアドレスや電話番号に、パスワード再設定用ページのURLを載せたメールやSMSを送り、そこから新たなパスワードを設定させるのです。 7iDでは、あらかじめ登録したメールアドレス以外のアドレスを使ってパスワードを再設定できるようになっていました(現在は対応済)。パスワード再設定のメール送信に必要な情報は、「生年月日」「電話番号」「会員ID」(最初に登録したメールアドレス)で、これ
私物ハードディスク売却後に起きた社内情報の流出についてまとめてみた - piyolog
2022年1月14日、ラックはフリーマーケットで販売されていたハードディスクに過去使われていた社内文書が含まれていたとして関係者へ謝罪しました。ここでは関連する情報をまとめます。 中古ハードディスクに社内情報 メルカリで購入した外付けのハードディスクにラックの社内文書が含まれていたとして、報告者からメールが届いたことが発端。*1 ラックは報告者との接触を希望するも断られたため内容把握の提示を要求。報告者からは一部文書のスクリーンキャプチャされた画像が送られた。提出された画像を元に社内調査が行われ、問題のハードディスクドライブはラックの元社員が私物として自宅PCのバックアップに使っていたものと判明した。 元社員は業務PC入れ替えの際、規則に反しながらDropboxを使って業務PCから自宅PCにデータ転送を行っていたと説明している。なお現在ラックではアクセス制限が行われておりストレージサービス
Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起
日本の製粉大手に「前例ない」大規模攻撃 大量データ暗号化 起動不能、バックアップもダメで「復旧困難」
多数の組織がランサムウエアに感染したサプライチェーン攻撃についてまとめてみた - piyolog
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。 1.最大1500組織にランサムウエアの影響か Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。 Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~
「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表について
ゼロトラストという戦術の使い方 | デジタル人材の育成 | IPA 独立行政法人 情報処理推進機構
一番分かりやすい OpenID Connect の説明 - Qiita
一番分かりやすい OAuth の説明 - Qiita
SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
「ドコモ口座不正」から何を学ぶか? 金融サービスとして“ありえない”対応とは
不正利用の問題点とは? 事件発生に関する疑問は多くあるが、犯行プロセスに沿ってポイントを整理すると以下の通りである。 (1)犯人はどうやって被害者の銀行口座情報を入手したのか? 銀行を装った偽メールを送り、銀行そっくりの偽サイトに誘導、口座番号や暗証番号を入力させて口座情報を盗み取るという手口の「フィッシング詐欺」の可能性がある。また、各種データベースに不正アクセスして大量の口座情報を入手、「リバースブルートフォース攻撃」という暗証番号を固定して多数の口座番号を試す手口の可能性もある。さらに、検索エンジンに引っかからない「ディープウェブ」「ダークウェブ」と呼ばれるネットワークで入手できる、過去にスキミング被害にあったアカウントや流出した情報からターゲットを絞り込んでいる可能性も考えられるが、現段階では推測の域を出ない。 (2)ドコモ口座の開設にあたって、犯人はどうして被害者になりすますこと
狙われた7pay「外部ID連携」の脆弱性の全貌。急遽“遮断”した理由
Fingerprint解説サイト
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【PoCあり】log4jの脆弱性で攻撃される条件と対策を技術的に解説します。CVE-2021-44228 – Self branding
ChromeやEdgeの拡張機能複数にマルウェア実装。すでに300万人がダウンロード
