1月28日のtwitterセキュリティクラスタ

アメリカ政府のサイトが改ざんされたりスリランカのNICが攻撃されているようですね。

トルクメニスタンの次はスリランカ。同じイランのハッカーが nic.lkの SQLインジェクション脆弱性を指摘し、取得した1万件弱のアカウント情報(名前、メールアドレス)を公開している。Whoisで公開されている情報ではなさそう。あとドメインハイジャックは起きていないみたい。

おいおい、今度はこっちでコナミコマンドが実行できるようになってるw

miep.uscourts.gov

先週あるソフトにコナミコマンドバックドアを置いてた話を聞いた気が。

今度はゲームじゃなくて、壁紙が “1/11/2013 RIP Aaron Swartz”というメッセージに変わる仕掛けですね。

改ざんされてからすでに 2時間以上経過してるけど、米国東部時間だと夜中だから、担当者は気付いていないのかも。

さっきツイートした Anonymousによる米政府関連サイトの改ざんについて、速報的にまとめてみました。現時点でまだ改ざんされたままです。

コナミコマンドで NyanCatが空を飛ぶ – セキュリティは楽しいかね? Part 2 negi.hatenablog.com/entry/2013/01/…

CSRFとXSSとXMLHttpRequestとを組み合わせる攻撃について

先日の講習会では、なりすまし犯行予告をまずCSRFでやって、トークンによる対策をした後、そのトークンをXSSによるXMLHttpRequestで読んで突破するというシナリオのデモをしました

CSRFとXHRの組み合わせという話では、CSRFのある<input type=file>なファイルアップロード機構にクロスドメインXHR使って攻撃者の作成したファイルをアップロードさせる、というのが最近知ったおもしろい手口です。

XSSのデモをする時は、「あちゃー、これはまずい」と思ってくれるようなシナリオでやるべきだと思うのですよね。XSSに限らないけど、XSSはわかりにくいので特に

とりあえずiframeで2ch埋め込んでおけば、XSS理解できない人でも「あちゃー、これはまずい」と思ってくれることが多いです。

小沢一郎のサイトに鳩山由紀夫画像を埋め込んでみたけど聞いてもらえなかったなあ

容疑者「犯行予告なんてしてません」警察「投稿ページはCSRF対策済みだ!お前がやったんだろ」徳丸さん「待て、XSSによりトークン詐取すればなりすましでポストさせることが可能だ!!」 みたいなそれなりに高度な警察を妄想した。

その他に気になったことはこのあたり。

【定期】2月4日14時~15時半に京都タワー側広場でポリスキャラde情報セキュリティというサイバー犯罪被害防止な啓発イベントを開催!Ustreamもしますよ! #yurudesec bit.ly/yurudesec pic.twitter.com/z8a5IeWP

“サイト改ざん:県立博物館の公式サイトが被害 個人情報は漏えいなし /鳥取- 毎日jp(毎日新聞)” htn.to/vyd6rG

改ざんを受け、外部のサイトへ誘導される状況になっていたことについては報告ないのですね。

IPAとJPCERT/CCは、2012年第4四半期(10月~12月)の脆弱性関連情報の届出状況をまとめた「ソフトウェア等の脆弱性関連情報に関する活動報告レポート」を公開。^YK jpcert.or.jp/report/press.h…

Androidアプリのモジュール等を解析してリスクチェックが出来る secroid(セキュロイド) を、GooglePlayStoreから直接 実行する方法 j.mp/WulmkM

Java7 Update 11 でセキュリティ・レベルを「非常に高」「高」にしていても、署名なしのJavaコードが「確認なし」にブラウザで実行されてしまう脆弱性をAdam Gowdiak氏が報告 seclists.org/fulldisclosure…

6月1日、2日は「市民ハッキングの日」――米政府が参加呼びかけ dlvr.it/2s87HT

デバッグする日みたいですね。

“国家検定ファイナンシャル・プランニング技能検定試験の試験問題が事前に漏洩していたことが判明しました|報道発表資料|厚生労働省” htn.to/fVD5Dn

これまでも見えていたのなら資格の価値ガタ落ちですね…

d.hatena.ne.jp/teramako/20130…
追記:セキュリティリスクがあることが判明しました!」 リモートエジェクトやばい。最悪死人でる可能性が指摘されてる…

自爆装置のスイッチかもしれんのや!

不正アクセスに対抗するには? : ネット&デジタル : YOMIURI ONLINE(読売新聞) yomiuri.co.jp/net/qanda/2013… #security

「ワンタイムパスワード」を積極的に使うようにしましょう。

[エンタープライズ]Javaのセキュリティ機能は攻撃を阻止できない? セキュリティ企業が報告 bit.ly/WbGtff

iOS 6.1にアップデートする前に、 Broadcom製無線LANチップセットの脆弱性(CVE-2012-2619)の実証コードを実行したいところだけど、電波圏内すべてに影響する性質のものだから倫理的に難しいか。

電波暗室借りましょう!

おまけ

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>