2016年7月25日のtwitterセキュリティクラスタ

生徒にいろいろやられてた佐賀県教育システムの調査についていろいろと

『自分のIDでログインして生徒権限を教師権限に変更する操作を行いアクセスした』<ここは脆弱性でしょうね。セキュリティ強化よりもモラル教育が前面に出ている印象 / “学校教育ネットワークの不正アクセス事案に係る生徒調査の結果につい…” htn.to/8mcZ28

脆弱性診断の経験などからして『生徒権限を教師権限に変更する操作』の例としては下記が予想されます。

URLのパラメータ role=student を role=teacher に変更する

冗談みたいでしょ。この手は意外に多いんです twitter.com/ockeghem/statu…

まぁ、URLだったり、POSTだったり、Cookieだったり色々ではありますが、簡単に変更できることには変わりません RT @tomoko_o: URL????まじコワイ twitter.com/ockeghem/statu…

まさにこれ。似たようなことやったわ。そもそもなんでURLにこんなパラメータ見えるように入れてんの?って思ったら、jsでブラウザのアドレスバー隠そうとしてた。firefoxには無効のjsで。

https://t.co/jEo241peum

SEI-NETのみ。無線LAN側も気になりますね:学校教育ネットワークの不正アクセス事案に係る生徒調査の結果についてお知らせします / 佐賀県 pref.saga.lg.jp/kiji00349413/i…

@tamosan (補足)記事を見ると、「自分の学習用PCのIDとパスワードを教えた者 2名 ※2名はIDとパスワードがどのような目的で使われるか等は一切知らなかった。」とのくだりが、ちょっと恐ろしいものを感じましたよ。

すごく不可解なことが書かれていて、色んな意味で置いてけぼり。まとめた人がわかった人にチェックしてもらってないんだろうか。。。なんだろうこの斜め上。 / “学校教育ネットワークの不正アクセス事案に係る生徒調査の結果についてお知らせ…” htn.to/bZe54G

SEI-Netへ自分のIDでログインして生徒権限を教師権限に変更する操作を行いアクセスしたけれども、アクセスログ、監査ログを解析しても、教師権限で行える変更などは行っていなかったということなのかなぁ。
pref.saga.lg.jp/kiji00349413/i…

「(アクセスできる)隠しフォルダにあった校内の全生徒と全職員のID・パスワードを入手し保存していた。(利用はしていない。)」だけで、なんで厳重に注意されんだろうな。置いた側に注意されんの納得行かなくない?
pref.saga.lg.jp/kiji00349413/i…

生徒から教師へのフィッシング事例(「このPCからログイン出来ない」と報告して偽画面から教師のIDでログインさせるタイプ)が複数報告されてて興味深い。教育現場だとこういう危険があるのか。 / “学校教育ネットワークの不正アクセス事…” htn.to/GxZ9iz

その他に気になったことはこのあたり。

備忘録: ランサムウェア対策としてのバックアップに関するいくつかの誤解 kitagawa-takuji.blogspot.com/2016/07/blog-p…

バックアップソフトも良いけど、同じ発想で VeraCrypt のコンテナやパーティション暗号化、ドライブ全体暗号化などで、マウント > バックアップ > アンマウント の操作をを自動化するなどの方法も良さげな感じがします kitagawa-takuji.blogspot.jp/2016/07/blog-p…

高度セキュリティ人材とかトップガン人材の育成が急務とおっしゃる方々におかれましてはそれらの足りない人数だけではなく、その業務の「日給」も合わせて言及していただきたく。

あと「高度セキュリティ人材」や「トップガン人材」が何をする人なのか。どんなスキルセットが要求されるのかを具体的に説明していただきたいものです。

官公庁が考える高度セキュリティ人材若しくはトップガン人材の日給は?

『現在使用していない過去のウェブページが一部残存していること、さらに、そのウェブページのソースコード(PHP)の一部が、外部から確認できる状態…第三者から情報提供』 / “IPAが運営するウェブサイトに関する情報提供と対応完了に…” htn.to/iweevD

本日のAISECjpで話した内容をSlideShareしました。
機械学習でWebアプリの脆弱性を見つける – Reflected XSS 編 – #machinelearning slideshare.net/babaroa/web-re… @SlideShareさんから #AISECjp

#cchanabomemo #yuzawaws
情報セキュリティワークショップin越後湯沢2016の一般参加申し込みは、8/1を予定しております。anisec.jp/yuzawa/?info=8…
今年もどうぞよろしくお願いします。(なかのひとより)

“「情報セキュリティワークショップin越後湯沢 2016」への参加申し込みは、 こちらのページから、8月1日(月)より開始いたします。”今年も瞬殺が予想される…一瞬の油断が命取りだぜ… / “参加登録 | 情報セキュリティワーク…” htn.to/AsNE63

今年も「情報セキュリティワークショップ in 越後湯沢」ブース出展します。 twitter.com/yuzawaws/statu…

セキュリティ事案かと思ったらunityのRich Textらしい。この部分だけうっかりリッチテキストを有効にしたっぽい。 / “#ポケモンGO ニックネームにHTMLのタグが使えて太字や斜体にできる! – Togetterまとめ” htn.to/rek9KT

(この画像は、出勤後、「作ろう!」ということになり急遽作成いたしました。ですから、言葉もあまり練れていないところがありますが、「~しない」や「やめましょう」という禁止の文言は極力使わずに作成いたしました…)(甲) pic.twitter.com/jdPAPfKUQi

[ねとらぼ]超絶かわいい警視庁公認ケモノ娘“テワタサナイーヌ”から「ポケモンGO」トレーナーへお願い! 「安全に楽しくプレイしてね!」 bit.ly/2ajZCIE

AngluarJS sandbox bypasses for each and every version (1.2.0 to 1.5.7):
pastebin.com/xMXwsm0N (credits @garethheyes @cure53berlin @tehjh)

日本ヒューレット・パッカード、サイバー犯罪を後押しする地下経済を広く検証した「ハッキングビジネス」レポートの日本語版を発行:
日本ヒューレット・パッカードは7月22日、サイバー犯罪を後押しする地下経済を広く検証した… tinyurl.com/jk7qrjt

「CTCセキュリティサミット2016」に見る、セキュリティ実現に必要な3つのキーワード
business-on-it.com/security_16072…izumino.jp/Security/sec_t…

hardware.srad.jp/story/16/07/25… #hardwarehack 3DSソフト「プチコン3号 SmileBASIC」で任意のコードを実行できる問題が確認される

[TechTargetジャパン]中小企業こそ真剣な取り組みを:専門家も意見が分かれる「ランサムウェアに身代金を払うべきか、払わないべきか?」 bit.ly/29Y02lw

[@IT]端末を遠隔操作するバックドア型アプリも存在:Pokemon GOの「偽アプリ」にご用心 bit.ly/2a4EcCi

「Clash of Kings」の公式フォーラムがハッキング被害–約160万件のアカウント情報が流出 japan.cnet.com/news/service/3…

スノーデン氏、情報漏えいを防ぐ「iPhone」ケースをデザイン japan.cnet.com/news/service/3…

Android 4.1.2以前の機種に2つの脆弱性、不正アプリから電話をかけさせられる恐れなど  internet.watch.impress.co.jp/docs/news/1012… pic.twitter.com/suqkhaS6wi

アップデートが提供されていない端末はどうすれば…?
“アップデートが提供されていない端末では対策方法がないことから公表されていなかった”
Android 4.1.2以前の機種に2つの脆弱性、不正アプリから電話をかけさせられる恐れなど
internet.watch.impress.co.jp/docs/news/1012…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>