12月8~9日のtwitterセキュリティクラスタ

武雄市長とその周辺の人が運営しているFB良品というサービスがリニューアルしたようですが。

wikipediaのXSSの欄に書いてある<script>alert(“警告”)</script>をFB良品(fb-ryohin.jp)で試したら見事に出たw pic.twitter.com/HKt9Kcnf

普段からセキュリティクラスタとギスギスしておけば、webサービス公開時によってたかって無料テストしてくれる事例がFB良品で展開されている。

いまからでも遅くない前段にSSLアプライアンスおいてごまかすんだ…
線くらい市かSIIISが持ってんだろ無いならサイオスに泣きつけばなんとかしてくれるさ…
しかしまぁ…
あれだ…
SIIISてサイオスの連結子会社なんだぜ?
なんでこうなったwww

12月になって日本ではちょっと影が薄いハクティビスト関連。まだまだ続いているようですね。

#OpIsraelは現在作戦中ですがフェーズ2として#OpIsrael2を「Danger Hackers」というチームが開始したようです。彼らはイスラエルドメインをもつサイトの脆弱性調査結果を公開しています。

今ひとつ脅威がうまく伝わらない、『まだ「克服」されていない』phpのセッションアダプション脆弱性について

PHPのセッションアダプション脆弱性は修正して当然の脆弱性: PHPのセッションアダプション脆弱性がどのように影響するのか、広く誤解されているようです。セキュリティ専門家でも正しく理解していないので、一部のPHP開発者が正し… bit.ly/UngnAc

ブログ読みました。サンプルも動かしました。問題は分かるのですが、セッションアダプションがないPHPだと、何が改善されるのかが分かりません。教えて下さい RT @yohgaki: PHPのセッションアダプション脆弱性は修正して当然の脆弱性 bit.ly/UngnAc

@ockeghem ow.ly/fX9hm 細切れで議論すると面倒なのでブログに書いておきました。

「今なら影響を受けるアプリはほぼない」そうですが、パッチがあるみたいなので早く取り入れられればいいですね。

その他に気になったことはこのあたり

日経Linux2013年1月号に「“誤認逮捕”から利用者を守るWebサイト構築法」という記事を書きました – 徳丸浩のtumblr tumblr.tokumaru.org/post/374647717…

[サイバー攻撃ツールとしての公開鍵証明書の役割。 / “サイバー攻撃ツールとしての公開鍵証明書の役割 〜信頼の起点にカモフラージュされた攻撃の起点〜 IPA 神田雅透” htn.to/6M4z6T

いじくるつくーるはソースコード公開しているから、真似ればレジストリいじれるウイルスを簡単に作れるとか言っているやつは、プログラミングを一から勉強するか、俺に殴られるかのどっちかを選べ。

60ページ以上を更新しました。 akademeia.info/index.php?Rece…

久しぶりに見た気がします

数日前から海外で話題になっていた。うっかり日本の企業がカリフォルニア州のエリアにアプリなんか配信したら大変なことになる。。 / “米デルタ航空のモバイルアプリ、個人情報保護法違反で加州で民事訴訟対象に | 携帯 | マイナビニュース” htn.to/Mf5HVf

この詐欺事件のワールドオークションで見事に落札されていた皆さんです。同時にブログで読者を誘導していましたw❤ペニーオークション運営で4人逮捕。しかし、実際に激安で落札したと主張する芸能人22人をまとめてみた – NAVER まとめ matome.naver.jp/odai/213549272…

『全面停電、ケータイも不通…「制御システム」への攻撃とは? 鉄道も停止…数万円、3秒で国を滅ぼすサイバー攻撃は可能?』未来の国家間の戦争の最終形態は、「宣戦布告→インフラ制御システムへの攻撃を開始→終了」勝敗は実質「3秒」くらいでケリが biz-journal.jp/2012/12/post_1…

書式文字列によるSQLインジェクション攻撃例 – 徳丸浩のtumblr tumblr.tokumaru.org/post/375360252…

これは新しい視点で面白い。($~と%~がごっちゃに同居しているのは実際には稀有だと思うが、まったくありえないわけではない。) RT @ockeghem: 書式文字列によるSQLインジェクション攻撃例 – 徳丸浩のtumblr tumblr.tokumaru.org/post/375360252…

ISOのダウンロードに1時間、インストールに1時間、調査に2時間、PoC実行は2秒。この2秒のために、4時間も費やした。ただし、得たものは、プライスレス。

oscommerceに対するアクセスが急に増えてるけど、使ったことなくて、よく解らない。なんか脆弱性とかあった?

ファイルの隠し方: 第01回北関東情報セキュリティ勉強会 目覚ましLT資料 slidesha.re/U2zxwe

サービス側がパスワードを平文で保存する10の理由:ある nakagami の日記:So-netブログ nakagami.blog.so-net.ne.jp/2012-05-23

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


Comments

Comments are closed.