12月10日のtwitterセキュリティクラスタ

GhostShellがNASAやJAXAなどのアカウントをリークしたそうです。何が目的なんでしょうね。

#ProjectWhiteFox – Freedom of Information: 1.6 million accounts/records leaked pastebin.com/agUFkEEa #ESA #NASA #Pentagon #OpWCIT #GhostShell

URLだけでも大量なので自分のアカウント情報が漏れていないかチェックするだけでも大変そうです。

GhostShell が #ProjectWhiteFox として160万のアカウントをリークしたようです。リークされたアカウントはNASA、ESA、国防総省のものとのこと。リークデータ内にはメールアドレスやユーザ名、パスワードの他、脆弱性が存在するURLも記載されていましたよ。

[エンタープライズ]ハッカー集団がNASAや国防総省などの情報流出を公言、JAXAの名も bit.ly/Z72zRU

ITmediaのタイトルだけ見るとつられやすいですが、リークとは別に、JAXAを含む複数の組織で脆弱性のあるサーバーが見つかったので(彼ら曰く早めのクリスマスプレゼントとして)メールを送ったとのこと。アドレスを見るとTorMailから送られているみたいですね。

書式文字列によるSQLインジェクションについて

tumblr.tokumaru.org/post/375360252… わざわざ難癖をつけるなら、SQLとしてエスケープしたのちにsprintfの書式文字列としてのエスケープが必要なのは明白なシチュエーションなのに、「$kindをエスケープしたもの」としか書いていないとどこまでエスケープされているのか不明。

なにが言いたいかというと、「エスケープ」というのは常に「何に対して」というコンテキストを持っているので、「SQLとしてエスケープ」と明示しておいたほうがわかりやすい、ということですね。

SQLとしてエスケープ??

逆にいえば、文字列としてコンテキストを持つものを組み立てる場合(sprintfの書式文字列、SQL、HTMLなど)はエスケープ or バインド機構が必須、ということを頭の隅に意識しておくといいですね。

@ockeghem FBでたまたま見つけたので。 ow.ly/fXtGs これに書いた通りパラメータを全くエスケープしてないですよ。プリペアードクエリ万能と信じて誤解した人たちと同じような人が出てきているのでは?

ほほう

その他に気になったことはこのあたり。

『先月14日に…職員が添付ファイルを開くと白紙のページが表示されたということで、機構はこのファイルにウイルスが隠されていたとみています』<初動ががが 原子力機構のパソコンがウイルス感染 情報流出か tv-asahi.co.jp/ann/news/web/h…

【2012年サイバー攻撃まとめ】象徴するキーワードは「ソーシャルエンジニアリング」! – サーチナニュース dlvr.it/2cLkkQ

武雄市の何やらでお前らイタズラして分かりやすいの見つけて騒いでるけど実際には同じシステム使ってるサイト全部XSSあるし、XSSあってもショッピングサイト勝手に注文とかまず起きないし、Amazonワンクリック特許に複雑な感情抱きつつ土日にゼロデイやめろってマラさんが言ってた

主にFacebookのプライバシー問題について書きました/覚えておきたい「SNSの安全な歩き方」 : YOMIURI ONLINE(読売新聞) j.mp/VYW2o2

夜の部のつぶやきです。sutegoma6の活躍(暗躍)ぶりをご紹介! 川口洋のセキュリティ・プライベート・アイズ(42):そのときStarBEDが動いた――「Hardening One」の夜明け前 (1/3) – @IT atmarkit.co.jp/ait/articles/1…

ものすごく効率のいいXSSの探し方見つけたけどそのせいで年内に全部届けるのが不可能になってしまった。

もう探し方だけ届けて後はお任せにしたい

気になる気になる

明後日以下で講演します。

ECネットワーク・国際IT財団共催
『プライバシーへの新しい脅威~ポイントカードはどこが問題か/危ないスマホアプリとは~』
鈴木正朝、高木浩光
12月12日 18:30-20:30
ハロー貸会議室秋葉原
お申込 ecnetwork.jp/public/seminar…

the vulnerability has been reported few months ago but there is no response from Adobe.って対応遅いから晒されたのか

「企業にとってウイルス対策ソフトの購入は“予算のむだ遣い”」インパーバが主張 | セキュリティ・マネジメント | トピックス | Computerworld – エンタープライズITの総合ニュースサイト computerworld.jp/topics/563/205…

セキュリティホール memo st.ryukoku.ac.jp/~kjm/security/… SHA1計算の最適化手法に関する記事、GPUクラスタによるパスワード解析に関する記事。

セキュリティうどん(かまたま)にて: 12/8(土)に、香川県にて「セキュリティうどん(かまたま)」(URLはこちら sec-udon.jpn.org)という勉強会が開催され、講師としてお招きいただきましたの… bit.ly/WYzym4

[エンタープライズ]Android 4.2の不正アプリ検証サービス、マルウェア検出率は15%どまり bit.ly/12hQCrN

米GoogleがAndroid 4.2(JellyBean)に搭載した不正アプリ検出サービスのことですか。

ハッカージャパン 2013年1月号、ucq や愛甲さんのカラー写真載ってる!石丸さん手元に置いてあるビールがしっかり写ってる! byakuya-shobo.co.jp/hj/

ぼくもちょっと書いてますよ

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation