2019年7月20〜21日のtwitterセキュリティクラスタ

7Payで残念なパスワードリセットの脆弱性が話題になったが、InstagramでもSMSを使ったアカウント復旧の仕組みを悪用することで、10分以内にどんなアカウントでもハッキングできることが研究者の調査で判明したとのこと。

hotforsecurity.bitdefender.com/blog/how-any-i…

6桁の復旧コードを総当たり攻撃するものだが、Instagramの総当たり対策のレートリミットがIPアドレス単位だったため、IPアドレスを多数並行して使うことで、その対策を迂回できたとのこと。

勉強会でPass the Hashを取り上げて、NTLM認証の仕組みとか解説しつつ、実際に試してもらい、パスワード管理に関するグループディスカッションとかやってみたいんですよね。ただ、色々と準備が大変でね。参加者に影響出ないようにするとPass the Hashを試行する環境を個別に作らないといかんから…

STARTTLSの脆弱性(TLSに切り替える前に改竄される件)は今時のメールサーバでどうなっているのですかね。

「しかなく」はないかと。現地に行かずできる方法だったのでは。
twitter.com/ockeghem/statu…
「イラン政府といえども、Gmailを盗聴するには認証局に不正アクセスして証明書を偽造するしかなく」

マイクロソフトの脆弱性の約70%はC++のメモリ周り。
静的解析、ファジング、開発サイクルの改善、コードレビューなどいっぱいやったけど割合は変わらない。

だからメモリセーフな言語を検討した結果Rustがいけてると判断した。

msrc-blog.microsoft.com/2019/07/16/a-p…

#security

Apple Payの不正使用の件。

その場で容疑者が確保されたと言うことは、ほぼリアルタイムで検知、対応が行われたということですね。

カード会社の監視能力、恐るべし。
悪いことはできませんね。

アップルペイ不正使用=詐欺容疑で中国人女逮捕-警視庁:時事ドットコム jiji.com/jc/article?k=2…

アノマリー検知が大活躍だな。というか店員も気付けよと思うけど / “アップルペイ不正使用=詐欺容疑で中国人女逮捕-警視庁:時事ドットコム” htn.to/47k98EMUXn

中国犯罪集団に狙われた「セブンペイ」デジタル素人社長の評判
friday.kodansha.ne.jp/sn/u/column/10…
@FRIDAY_twit

これ、裏取れてるのかしら?
friday.kodansha.co.jp/article/56253
「「事件後、小林社長は、新しいセキュリティシステムを1週間で作るよう、社員に指示したそうですが、絶対に無理。…」(全国紙経済部記者)」

電子マネーの普及とKYCの厳格化の狭間で、この手のバッドノウハウが必要となる状況はしばらく続くんだろうか / “WeChatPayを中国口座なしで使う裏技が塞がれる。代替策は?|村上 臣(電脳コラムニスト)” htn.to/2DJeqToYHF

I have found a #XSS filter #bypass while fuzzing and testing for new #XSS & #MXSS vectors. Maybe it’s already known.

eval/alert`1`/SomeRandomChar

e.g.: eval/alert`1`/i

#xssfilterbypass pic.twitter.com/WLBo4O1Aj3

日常的に発生する国内Webサイトに対する改ざん事例をブログに纏めてみました。
ご査収ください!

国内のWebサイト改ざんについて – tike blog tike.hatenablog.com/entry/2019/07/…

宛先ポート5500/TCP、5555/TCP 及び60001/TCP に対するMirai ボットの特徴を有するアクセスの増加について npa.go.jp/cyberpolice/im…

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2714 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>