目的 XSSは危ない!とはよく聞くけど、具体的にどう危ないのかを示す記事が少なかったので。 前提 くっそ脆弱なWebアプリケーションを組んで試します。実際はそんなわけないだろうとか、そのへんはゆるして! XSS自体の説明とかは省くので、そのへんもゆるして! やったこと お粗末なWebアプリを用意する お粗末なWebアプリとして、[ログイン画面]→[ようこそ画面兼レビュー投稿画面]みたいな簡単なものを作ります。 サーバ環境を整える 今回はPaizaCloudさんのサービスを利用します。 PHPだけインストールしておきます。 ログイン画面を作る できたら、index.phpで簡易なログイン画面を作ります。 <?php echo "<h1>Hello " . "PHP</h1>"; ?> <html> <form action="welcome.php" method="post"> <inpu
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(2/5 ページ) パスワードリセットに不備 パスワード再設定機能の不備は、7payでも使用するセブン&アイグループの共通アカウント「7iD」にありました。 パスワード認証を採用している大抵のサービスでは、利用者がパスワードを忘れてしまった場合に、ログインをせずにパスワードを再設定できる機能があります。登録済みのメールアドレスや電話番号に、パスワード再設定用ページのURLを載せたメールやSMSを送り、そこから新たなパスワードを設定させるのです。 7iDでは、あらかじめ登録したメールアドレス以外のアドレスを使ってパスワードを再設定できるようになっていました(現在は対応済)。パスワード再設定のメール送信に必要な情報は、「生年月日」「電話番号」「会員ID」(最初に登録したメールアドレス)で、これ
2022年1月14日、ラックはフリーマーケットで販売されていたハードディスクに過去使われていた社内文書が含まれていたとして関係者へ謝罪しました。ここでは関連する情報をまとめます。 中古ハードディスクに社内情報 メルカリで購入した外付けのハードディスクにラックの社内文書が含まれていたとして、報告者からメールが届いたことが発端。*1 ラックは報告者との接触を希望するも断られたため内容把握の提示を要求。報告者からは一部文書のスクリーンキャプチャされた画像が送られた。提出された画像を元に社内調査が行われ、問題のハードディスクドライブはラックの元社員が私物として自宅PCのバックアップに使っていたものと判明した。 元社員は業務PC入れ替えの際、規則に反しながらDropboxを使って業務PCから自宅PCにデータ転送を行っていたと説明している。なお現在ラックではアクセス制限が行われておりストレージサービス
2021年7月2日、米フロリダ州のIT企業のKaseyaは同社のRMM(リモート監視・管理)製品である「Kaseya VSA」をオンプレミスで利用している顧客に対してサイバー攻撃が発生していると公表しました。同製品を運用する顧客の多くはMSP事業者で、MSPサービスを利用する多数の中小企業などに影響が及びました。ここでは関連する情報をまとめます。 1.最大1500組織にランサムウエアの影響か Kaseya VSAの未修正の脆弱性が悪用され、VSAのシステム管理対象の端末に対してランサムウエアに感染するPowerShellスクリプトが配られ実行された。 Kaseya VSAはマネージドサービスプロバイダーに導入されるケースが多く、MSP事業者が攻撃を受けたことによりサービスを利用する多数の組織に被害が及んだ。一方で、Kaseyaが把握している当該事案のターゲットとなったMSP事業者数は50~
不正利用の問題点とは? 事件発生に関する疑問は多くあるが、犯行プロセスに沿ってポイントを整理すると以下の通りである。 (1)犯人はどうやって被害者の銀行口座情報を入手したのか? 銀行を装った偽メールを送り、銀行そっくりの偽サイトに誘導、口座番号や暗証番号を入力させて口座情報を盗み取るという手口の「フィッシング詐欺」の可能性がある。また、各種データベースに不正アクセスして大量の口座情報を入手、「リバースブルートフォース攻撃」という暗証番号を固定して多数の口座番号を試す手口の可能性もある。さらに、検索エンジンに引っかからない「ディープウェブ」「ダークウェブ」と呼ばれるネットワークで入手できる、過去にスキミング被害にあったアカウントや流出した情報からターゲットを絞り込んでいる可能性も考えられるが、現段階では推測の域を出ない。 (2)ドコモ口座の開設にあたって、犯人はどうして被害者になりすますこと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く