2019年6月24日のtwitterセキュリティクラスタ

米国がイランにサイバー攻撃を行っているようです。

米国がイランにサイバー攻撃–石油タンカー攻撃への報復か japan.zdnet.com/article/351389…

イランによる米無人偵察機の撃墜を受けて米国がイランにサイバー攻撃を行ったと報じられる中、イランのモハンマドジャバド・アザ… afpbb.com/articles/-/323…

はてなブログに投稿しました #はてなブログ
米国によるイランへのサイバー攻撃報道についてまとめてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/06/…

「イランをサイバー攻撃しようと一生懸命、努力していた。しかし失敗した」。イランへの軍事攻撃をやめ、サイバー攻撃を命令したトランプ。CYBERCOMは、イランのコンピューター通信を破壊し、ミサイルコントロールセンターを機能不全にしようとしたが、できなかった。かっこ悪
rt.com/news/462533-ir…

米はイランが米軍偵察機を撃墜したことへの報復として、イランへの爆撃を計画していた。しかし、報復爆撃を行なった場合、150人のイラン人が死亡する可能性があるとして、直前で中止したことを明かした。その代替え措置としてサイバー攻撃を行ったと主張。回りくどい言い訳。全て台本通りのくせに

イランのアザリジャフロミ通信情報技術相は、アメリカによるイラへのサイバー攻撃は成功していないと発表です。ワシントン・ポストがサイバー攻撃によってイランのミサイル発射を制御するコンピューターシステムが機能しなくなったと報じたのは誤報だと言いたい様です。

イランの通信相は米国によるイランへのサイバー攻撃はこれまで成功していないと述べる
#cyberattack #サイバー攻撃
securityweek.com/iran-denies-be…

その他に気になったことはこのあたり。

話題のキーロガーなキーボード、「使うだけでポイントが貯まるお小遣いキーボード」とあるから、入力を抜かれるのは当たり前では。
何の対価もなくポイントくれるわけはないでしょ。
機密情報は取得していない旨は、「moppyは」収集していないだけで、オメガキーボードが取得してる、という意味では。 pic.twitter.com/pH6LQn1SYf

はてなブログに投稿しました #はてなブログ
オリンピックの偽メール・類似ドメインをめぐる報道についてまとめてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/06/…

piyokangoさん (@piyokango) のpiyologでワタシのツイートを取り上げて頂きました!ありがとうございます!

オリンピックの偽メール・類似ドメインをめぐる報道についてまとめてみた – piyolog piyolog.hatenadiary.jp/entry/2019/06/…

『流出した可能性のあるお客様 289件 2015年2月5日~2016年10月31日の間に弊社旧通販サイトでクレジットカード決済をご利用されたお客様』 / “不正アクセスによる個人情報流出に関するお詫びとご報告(旧通販サイトにおいて)|富洋観光開発株式会社[PDF]” htn.to/Y5m9civxPY

css import recursiveの擬似クラスチェーン、多分初出です(これ罠でそんなこと言うとどこからともなく初出が降ってくる

@icchyr あ~それとはちょっと違うくてcss importは呼び出し元と先で同様なセレクタが存在した場合、呼び出し元の方が優先されてしまうので、普通にimport recursiveやってもダメですよね
なので一度に複数のimportをキメるというは既出だと思うんですが、CSSのセレクタの優先順位の決め方に詳細度という文字数

@icchyr 考え方があって、これは読み込み順に関係無く、より細かくセレクタを指定した方が優先されるという挙動なんですね

そこでぼくの手法はimport先の同様なセレクタに対し、階層に応じて input[value=’a’]:first-child:first-child…と繋げていくことで呼び出し元より呼び出し先を優先させるという文字数

@mage_1868 へー出現順にレンダリングされるもんかと思ってましたが確かにそれだと不便そうですね

@icchyr 感じです

なのでクッソ長い文字列に対しても長々とimportを羅列する必要がないので、ちょっとお得な感じかなと

@icchyr あと実際に動かしたところ見てほしいんですけど、そこそこ速いっす☆(ゝω・)v github.com/m—/onsen/blo…

まあ疑似クラスチェーン、どっかで発表するにしては弱いし、CTFの問題に展開するにしても既出手法で解かれそうだしで普通に公開しちゃいましたね

面白い。CONFIGみたいな固定の値をXSSAuditorで消してDOM Clobbering、現実にありうるシナリオかもな。固定の値の型がどうとか使う前にチェックする必要もないから、万が一上書きされたらそのあとすんなりいきそうだし。

github.com/koczkatamas/gc…

GoogleCTFのbnv(Web)。
Content-Type: application/xml;charset=UTF-8だと、{“ValueSearch”: “invalid format”}なので、実際のサイトではありえないですね。
Content-Type: application/xmlの時だけValidation failed: no DTD found !, line 2, column 6(完全一致じゃないとだめ。エスパー問でOK。

総務省の資料より。ウイルスがダメなのはわかるけど、どこからがウイルスと捉えられるのかが問題。「ユーザーの意図に反する動作」っていわれても「ユーザー」のリテラシによるから難しいなぁ。 pic.twitter.com/hpGnPmUWlS

itresearchart.securesite.jp/?p=1645 北朝鮮のサイバー活動や日本も関連した中国のフェークニュースの話とか。 itresearchart.securesite.jp/?p=1645

『当該団体のOBOGの皆様約1,000人の個人情報が記録されておりました。』

2019.06.24
立命館大学応援団OBOGの個人情報データを記録したUSBメモリ紛失に関するお詫びとご報告 |立命館大学
ritsumei.ac.jp/news/detail/?i…

【注意喚起】PowerDNS Authoritative Serverの脆弱性情報が公開されました(CVE-2019-10162、CVE-2019-10163)
jprs.jp/tech/security/…

サイボウズ式でバグハン合宿を追っていただきました!ぜひご覧ください!
cybozushiki.cybozu.co.jp/articles/m0053…

第569号コラム:「ウイルス罪の運用が最近変な方向に行ってないか?」 digitalforensic.jp/2019/06/24/col…

【JC3】犯罪被害につながるメールが拡散中。
件名は「【重要】楽天株式会社から緊急のご連絡」
本文中のリンク先に表示されるサイトは、ログインIDやパスワード、クレジットカード情報などを詐取する偽サイトです。
リンクをクリックしないようご注意下さい。
jc3.or.jp/topics/virusma… #フィッシング

[ITmedia NEWS]この頃、セキュリティ界隈で:仮想通貨取引狙うゼロデイ攻撃続発 Mac“門番”も見過ごす bit.ly/2WZ8KwF

NASAが2018年にハッキング被害で情報流出–無許可で接続された「Raspberry Pi」標的 japan.zdnet.com/article/351388…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>