2019年3月21日のtwitterセキュリティクラスタ

@ooooooo_q 組み合わせると実際まずそうだしペパボの記事ぬるくないですか?

@bulkneets master.keyなどがとれてsecret_key_baseがわかるとproductionでもまずいですね…。

@ooooooo_q 環境変数に入れるとかencryptするとか、あれこれ作法が出来ていたけど、これはどっちかというとgithubに間違ってsecretをcommitしないためのもので、実行中のプロセスからだと取れますね。環境変数でも /proc/self/environ で取れる。

おじさんがやらないと若者が安心してゼロデー書けないだろうが。

IPAさんの「安心相談窓口だより」で、先頃リニューアルした偽佐川急便サイトがとりあげられています。>宅配便業者をかたる偽ショートメッセージで、また新たな手口が出現~ iPhoneで不審な「構成プロファイル」をインストールしないで! ~ ipa.go.jp/security/anshi…

IPAさんの補足(1)
>不審な構成プロファイルのインストールに誘導される場合があります。

3月13日以降は、iOS端末は構成プロファイルをインストールさせる手口が基本です。MaqHao側(mailsa-XXX .com)に関しては、プロファイルをインストールしないとフィッシングサイトに誘導されません。

(…続き)FakeSpy側(sagawa-XXX .com)も、プロファイルをインストールするとフィッシングサイトに誘導されますが、インストールせずにサイトの「インストール」をタップすると、フィッシング用のページになります。

(…続き)どちらも、構成プロファイルをインストールすると、自動的に特定のサイトにアクセスし、端末情報をPOSTします。このアクセス先からフィッシングサイトにリダイレクトされます。IPAさんの図は、MaqHao側の遷移ですが、このスレッドの先頭に微妙に違うFakeSpyとMaqHao両方の図があります。 pic.twitter.com/B4AlLgzP44

書いた / 1件のコメント b.hatena.ne.jp/entry/s/tech.p… “Rails 4, 5, 6における Secuirty Fix について – ペパボテックブログ” (1 user) htn.to/eJy9VpKcmew

CVE-2019-5419 ってそういうことだったのか。リクエストの Accept ヘッダに大量の MIME-Type を入れる事で render するファイルのパターンマッチに時間がかかるものかな?と思っていたが、非 development 環境で試しても問題にならなくてよく分からなかった。 tech.pepabo.com/2019/03/18/ana…

「公開された個人情報を収集・整理して、誰でもアクセスできるデータベースとして公開する」という点では、破産者マップも弁護士懲戒情報DB(例えば引用URL)も同じであろう。
多くの弁護士は、破産者マップの違法性を確信するが、懲戒DBはそうではない。その違いは何か?
shyster.sakura.ne.jp

これは普通に違法(個人情報保護法違反)でしょう。単に弁護士からは言い出しにくい事案だというだけで。こういうのを放置していたから今回の事案(破産マップ)が起きたとも言える。
twitter.com/kyoshimine/sta…

元記事はこちら。GoDaddyのネームサーバーで運用している有名ドメイン名を、同じネームサーバーを使うドメインを取得した攻撃者によって横取りすることが可能だったという話。
GoDaddyはドメイン取得から30日間、マネージドDNSサービスを無料で提供しているとのこと。
krebsonsecurity.com/2019/01/bomb-t…

Writeupがどんどん非公開や削除になっていくんだけど、CTF苦手勢としては過去問で勉強できない=同種の問題を解くヒントが消失、なんだよね。
極端な話、rot13すらwriteupで知ったんだけど、それすら難しくなるのか。。

兵庫県警が Adobeのコードを無断利用

著作権記載が必須にもかかわらず、省略されています。

左が Adobe のオリジナル・コードで、右が兵庫県警のコード。

github.com/adobe/Spry/blo…

police.pref.hyogo.lg.jp/SpryAssets/Spr… pic.twitter.com/USzNQTwcHU

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>