1月29日のtwitterセキュリティクラスタ

日本語の資料がとても少ない『DOM Based XSS』に関するレポートですよ。

IPAから『DOM Based XSS』に関するレポート出ました | 徳丸浩の日記 blog.tokumaru.org/2013/01/DOM-ba…

最近これはDOM BasedなのかただのXSSなのか悩むことが多いのでありがたいです。本質的にはどうでもいいことですが。

情報処理推進機構:IPA テクニカルウォッチ:『DOM Based XSS』に関するレポート ipa.go.jp/about/technica… 「ウェブブブラウザのプラグインに問題がある例」。FirefoxのアドオンやChromeの拡張機能にもXSSが作り込まれた事例があったようだ。

IPAのDOM Based XSSのレポート、5ページの図で『スクリプト「タグ」を生成!』と書いてあるのがちょっと気になった。別のタグだったり属性値だったりするかも知れないので「タグ」は削りたい。 ipa.go.jp/about/technica…

その他に気になったことはこのあたり。

公開してます。うっかり消し忘れなどにもご注意ください。 / Movable Typeのmt-upgrade.cgiプログラムの欠陥により任意のコードを実行される脆弱性(CVE-2013-0209)に関する検証レポート – security.intellilink.co.jp/article/vulner…

[エンタープライズ]「UPnP」に脆弱性見つかる、ルータなど数千万台に影響 bit.ly/WzGB4T

GhostShellが #ProjectSunRise として700000件のアカウントのリークを行ったようですね。犯罪や汚職にまみれた貧困の南アフリカを救いたいというアノニマスのオペレーション #OpSAfricatとの協力プロジェクトでしょうか

“A bug in handling Japanese Unicode characters dates back to 2011″・・なんじゃそりゃ。 RT Apple updates iOS nakedsecurity.sophos.com/2013/01/28/app…

CVE-2011-3058: Canonicalization issue existed in the handling of the EUC-JP, which could lead to XSS. @kinugawamasato support.apple.com/kb/HT5642

kinugawamasatoさんでしたか。

Facebook のセキュリティ チームを装って、ユーザーからパスワードを盗む詐欺が発生。
facebook.com/sophosjpmktg#!…
メッセージを受け取ったら、ご注意ください。

グリーティングカードを装った標的型メールに注意: グリーティングカードを装った標的型メールが複数確認されています。実在するサービスなので、ついクリックしてしまいそうですのでご注意ください!今回、確認したケースでは記載されたU… bit.ly/VSFhLQ

なんかこのパターンの詐欺サイトって今はやっているのか? / “コメ兵に偽通販サイト、被害も 同社が注意呼びかけ (朝日新聞デジタル) – Yahoo!ニュース” htn.to/KSmG14

検出不可? Javaの脆弱性を突く「ファイルなしボット」 - TechTargetジャパン 情報セキュリティ techtarget.itmedia.co.jp/tt/news/1301/2…

埼玉と茨城の中学生補導 サイトに不正アクセス容疑 – 47NEWS(よんななニュース) 47news.jp/CN/201301/CN20…

全国共有電話帳ってまだBANされてないのか。規約違反だと思うんだけどな。個人情報や機密情報: (略)、その他公的に入手できない情報など、個人情報や機密情報を許可なく公開または開示することを禁止します。play.google.com/about/develope…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>