2024/10/5 YAPC::Hakodate 2024
Webã‚»ã‚ュリティã®ã‚ã‚‹ãã‹ãŸ
2024/10/5 YAPC::Hakodate 2024
æƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024 | æƒ…å ±ã‚»ã‚ュリティ | IPA 独立行政法人 æƒ…å ±å‡¦ç†æŽ¨é€²æ©Ÿæ§‹
ã€Œæƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024ã€ç°¡æ˜“説明資料(スライド形å¼ï¼‰ æƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024 [組織編] 104ページ(PDF:3.7 MB) æƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024 [個人編] 94ページ(PDF:3.7 MB) æƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024 [個人編](一般利用者å‘ã‘) 72ページ(PDF:3.9 MB) æƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024 [組織編](英語版) 104ページ(PDF:4.2 MB) ã€Œæƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024ã€ç°¡æ˜“説明資料(脅å¨å€‹åˆ¥ç‰ˆï¼‰ æƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024 [組織編](脅å¨å€‹åˆ¥ç‰ˆï¼‰(ZIP:6.8 MB) æƒ…å ±ã‚»ã‚ュリティ10å¤§è„…å¨ 2024 [個人編](脅å¨å€‹åˆ¥ç‰ˆï¼‰(ZIP:6.4 MB) 10大脅å¨ã®å¼•ç”¨ã«ã¤ã„㦠資料ã«å«ã¾ã‚Œã‚‹ãƒ‡ãƒ¼ã‚¿ã‚„グラフ・図表・イラストç‰ã‚’ã€ä½œæˆã•ã‚Œã‚‹è³‡æ–™ã«å¼•ç”¨ãƒ»æŠœç²‹ã—ã¦ã”利
ã€é›‘記】セã‚ュリティガイドライン類 ç´„300時間 èªã¿æ¼ã£ã¦ã¿ãŸ - 2LoD.sec
23å¹´3月末ã‹ã‚‰å‹‰å¼·æ™‚間をガイドライン類ã®èªã¿è¾¼ã¿ï¼†ãƒ–ãƒã‚°åŸ·ç†ã«ã‚ã¦ã¦7カ月ãŒçµŒã¡ã¾ã—ãŸã€‚ 特ã«è‰¯ã„区切りã§ã‚‚ãªã„ã®ã§ã™ãŒã€ã“ã“らã§ä¸€åº¦æŒ¯ã‚Šè¿”ã‚ŠãŸã„ã¨æ€ã„ã¾ã™ã€‚ ãªã‚“ã§èªã¿å§‹ã‚ãŸã®ï¼Ÿ ã©ã‚Œã ã‘何をèªã‚“ã ã®ï¼Ÿ 色々èªã‚“ã§ã©ã†ã ã£ãŸï¼Ÿ 1. 自分ã®ç™ºè¨€ã«æ ¹æ‹ ã¨è‡ªä¿¡ã‚’æŒã¦ã‚‹ 2. 未経験ã®æŠ€è¡“テーマã§ã‚‚å–り扱ã„ã‚„ã™ããªã‚‹ 3.トレンドやビッグテーマãŒåˆ†ã‹ã‚‹ ãŠã™ã™ã‚ã®ã‚¬ã‚¤ãƒ‰ãƒ©ã‚¤ãƒ³é¡žã¯ï¼Ÿ ãªã‚“ã§èªã¿å§‹ã‚ãŸã®ï¼Ÿ 今更ã®è‡ªå·±ç´¹ä»‹ã§ã™ãŒã€ç§ã¯æ‰€å±žçµ„ç¹”ã®ä¸ã§3 Line of Defenseã«ãŠã‘ã‚‹2nd Lineã«ãŠã‚Šã€ã‚»ã‚ュリティã®æˆ¦ç•¥ç«‹æ¡ˆã€å¼·åŒ–æ–½ç–ã®æŽ¨é€²ã€ã‚ã‚‹ã„ã¯æ–°ã—ã„技術を利用ã™ã‚‹éš›ã®ãƒ«ãƒ¼ãƒ«ä½œã‚Šã‚’主ã«æ‹…ã£ã¦ã„ã¾ã™ã€‚ プãƒã‚°ãƒ©ãƒ 開発ã€ã‚µãƒ¼ãƒã€ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ã€ã‚¯ãƒ©ã‚¦ãƒ‰ã€APIã€ã‚³ãƒ³ãƒ†ãƒŠã€AIã€æ§˜ã€…ãªæŠ€è¡“テーマãŒã‚ã‚‹ä¸ã§ã€ãã®ã™ã¹ã¦ã«ã‚»ã‚ュリティã¯å¼·ãé–¢ã‚ã‚Šã¾ã™ã€‚ãã—ã¦ã€ã‚»ã‚ュリティ担当ã¯ã€ç¾å ´ã‹ã‚‰ä¸Šè¨˜ã®
社内用GitHub Actionsã®ã‚»ã‚ュリティガイドラインを公開ã—ã¾ã™ | メルカリエンジニアリング
ã“ã®è¨˜äº‹ã¯ã€Merpay Tech Openness Month 2023 ã®4日目ã®è¨˜äº‹ã§ã™ã€‚ ã“ã‚“ã«ã¡ã¯ã€‚メルコインã®ãƒãƒƒã‚¯ã‚¨ãƒ³ãƒ‰ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã®@goroã§ã™ã€‚ ã¯ã˜ã‚ã« ã“ã®GitHub Actionsã®ã‚»ã‚ュリティガイドラインã¯ã€ç¤¾å†…ã§Github Actionsã®åˆ©ç”¨ã«å…ˆé§†ã‘ã€ç¤¾å†…有志ã«ã‚ˆã£ã¦æ¤œè¨Žã•ã‚Œã¾ã—ãŸã€‚「GitHub Actionsを使ã†ã«ã‚ãŸã‚Šã©ã†ã„ã£ãŸç‚¹ã«ç•™æ„ã™ã‚Œã°æœ€ä½Žé™ã®å®‰å…¨æ€§ã‚’確ä¿ã§ãã‚‹ã‹å¦ç¿’ã—ã¦ã‚‚らã„ãŸã„ã€ã€Œå®šæœŸçš„ã«æœ¬ãƒ‰ã‚ュメントを見返ã—ã¦ã‚‚らã„自分ãŸã¡ã®ãƒªãƒã‚¸ãƒˆãƒªãƒ¼ãŒå®‰å…¨ãªçŠ¶æ…‹ã«ãªã£ã¦ã„ã‚‹ã‹ç‚¹æ¤œã™ã‚‹éš›ã«å½¹ç«‹ã¦ã¦ã‚‚らã„ãŸã„ã€ã¨ã„ã†æ€ã„ã«åŸºã¥ã„ã¦ä½œæˆã•ã‚Œã¦ã„ã¾ã™ã€‚ 今回ã¯ãã‚“ãªã‚¬ã‚¤ãƒ‰ãƒ©ã‚¤ãƒ³ã®ä¸€éƒ¨ã‚’ã€ç¤¾å¤–ã®æ–¹ã€…ã«ã‚‚役立ã¤ã¨æ€ã„公開ã™ã‚‹ã“ã¨ã«ã—ã¾ã—ãŸã€‚ ガイドラインã«ãŠã‘る目標 ã“ã®ã‚¬ã‚¤ãƒ‰ãƒ©ã‚¤ãƒ³ã¯äº‹å‰ã«2段階ã®ç›®æ¨™ã‚’è¨å®šã—ã¦ä½œæˆã•ã‚Œã¦ã„ã¾ã™ã€‚ã¾ãšç¬¬1ã«ã€Œå¸¸ã«é”æˆã—ãŸã„ã“ã¨
より安全ã«ã”利用ã„ãŸã ã‘るよã†ã«ãªã£ãŸClassiã®ã”å ±å‘Šã¨ä»Šå¾Œã®å–り組ã¿ã«ã¤ã„㦠| Classi(クラッシー) - åã©ã‚‚ã®ç„¡é™ã®å¯èƒ½æ€§ã‚’解ã放ã¡ã€å¦ã³ã®å½¢ã‚’進化ã•ã›ã‚‹
1.ã¯ã˜ã‚ã« 2020å¹´4月(昨年)ã€å½“社サービス「Classiã€ã«ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ãŒã‚ã£ãŸä»¶ã«é–¢ã—ã€éŽåŽ»ä¸€å¹´é–“ã€å¼Šç¤¾ã¯ã“れをé‡ãå—ã‘æ¢ã‚ã€ãŠå®¢æ§˜ã«å®‰å…¨ã«Classiã‚’ã”利用ã„ãŸã ã事を当社事æ¥ã®æœ€å„ªå…ˆäº‹é …ã¨ã—ã€å„種対ç–を年間を通ã˜å®Ÿæ–½ã—ã¦ã¾ã„ã‚Šã¾ã—ãŸã€‚ 今年度もã€æ˜¨å¹´åº¦ã‹ã‚‰ç¶™ç¶šã—ã¦ã€ã‚µãƒ¼ãƒ“スã®ã‚»ã‚ュリティをé‡è¦–ã—ãŸå…¨ç¤¾çš„ãªå¯¾ç–を実行ã—ã¦ã„ã所å˜ã§ã”ã–ã„ã¾ã™ã®ã§ã€ä»¥ä¸‹ã«ç™ºç”Ÿç›´å¾Œã®å¯¾å¿œã€åŠã³ä»Šæ—¥ã¾ã§ã«å®Ÿè¡Œã„ãŸã—ã¾ã—ãŸã‚»ã‚ュリティ強化対ç–ã‚’å«ã‚ã¦ã€ä»Šå¾Œã®å–り組ã¿ã«ã¤ã„ã¦ã”å ±å‘Šã„ãŸã—ã¾ã™ã€‚ ç¾åœ¨ã«è‡³ã‚‹ã¾ã§åŒæ§˜ã®ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ã¯èµ·ã“ã£ã¦ãŠã‚‰ãšã€ã‚»ã‚ュリティ状æ³ã«ã¤ã„ã¦ã‚‚外部ä¼æ¥ã®ç¬¬ä¸‰è€…調査ã®çµæžœã€ä»–社ã¨æ¯”較ã—ã¦æ¨™æº–水準以上ã«å¼·åŒ–ã§ãã¦ã„ã‚‹ã¨è©•ä¾¡ã„ãŸã ã„ã¦ãŠã‚Šã¾ã™ã€‚ã¾ãŸ2021å¹´3月ã®ISO/IEC27001ã«åŸºã¥ãæƒ…å ±ã‚»ã‚ュリティマãƒã‚¸ãƒ¡ãƒ³ãƒˆã‚·ã‚¹ãƒ†ãƒ (ISMS)ã®ç¶™ç¶šå¯©æŸ» ã«ãŠã„ã¦ã‚‚ã€ãƒžãƒã‚¸ãƒ¡ãƒ³ãƒˆã‚·ã‚¹ãƒ†
シェルを経由ã—ãªã„OSコマンド呼ã³å‡ºã—ãŒPHP7.4ã§å®Ÿè£…ã•ã‚ŒãŸ
ã“ã®è¨˜äº‹ã¯PHP Advent Calendar 2019ã®5日目ã®è¨˜äº‹ã§ã™ã€‚ ã¯ã˜ã‚ã« ç§ã¯6å¹´å‰ã«ã€PHP Advent Calendar 2013ã¨ã—ã¦ã€ŒPHPã ã£ã¦ã‚·ã‚§ãƒ«çµŒç”±ã§ãªã„コマンド呼ã³å‡ºã—機能ãŒæ¬²ã—ã„ã€ã¨ã„ã†è¨˜äº‹ã‚’書ãã¾ã—ãŸã€‚ãã®ä¸ã§ã€OSコマンドインジェクション対ç–ã®æ ¹æœ¬çš„ã‹ã¤å®‰å…¨ãªå¯¾ç–ã¯ã€Œã‚·ã‚§ãƒ«ã‚’経由ã—ãªã„コマンド呼ã³å‡ºã—ã€ã§ã‚ã‚‹ã“ã¨ã‚’指摘ã—ãŸä¸Šã§ã€æœ«å°¾ã«ä»¥ä¸‹ã®ã‚ˆã†ã«æ›¸ãã¾ã—ãŸã€‚ PHPコミッタã®ã¿ãªã•ã¾ã€PHP5.6ã®æ–°æ©Ÿèƒ½ã¨ã—ã¦ã€ã‚·ã‚§ãƒ«ã‚’経由ã—ãªã„コマンド呼ã³å‡ºã—ã®æ©Ÿèƒ½ã‚’è¿½åŠ ã§ãã¾ã›ã‚“ã‹? ç¾å®Ÿã«ã¯å½“時ã‹ã‚‰PCNTL関数ã«ã¦ã‚·ã‚§ãƒ«ã‚’経由ã—ãªã„コマンド呼ã³å‡ºã—ã¯ã§ããŸã®ã§ã™ãŒã€å½“関数ã®ä½¿ç”¨ãŒé›£ã—ã„ã“ã¨ã¨ã€CLI版ã‚ã‚‹ã„ã¯CGI版(FastCGIã¯å¯ï¼‰ã®PHPã§ãªã„ã¨ã‚µãƒãƒ¼ãƒˆã•ã‚Œã¦ã„ãªã„ãªã©ã®åˆ¶é™ãŒã‚ã‚Šã€popenã‚„proc_openãªã©ä½¿ã„ã‚„ã™ã„コマンド呼ã³å‡ºã—関数ã«
フãƒãƒ³ãƒˆã‚¨ãƒ³ãƒ‰ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã®ãŸã‚ã®ã‚»ã‚ãƒ¥ãƒªãƒ†ã‚£å¯¾ç– ~XSSç·¨~ / #frontkansai 2019
FRONTEND CONFERENCE 2019( https://2019.kfug.jp )ã§ã‚»ã‚ュリティã€ä¸»ã«XSSã«ã¤ã„ã¦è©±ã‚’ã—ã¾ã—ãŸã€‚ demo: https://shisama.dev/xss-test # Technical Topics - 3 types of XSS ( …
JVN#41185163: 航空自衛隊ãŒæä¾›ã™ã‚‹ã‚¹ã‚¯ãƒªãƒ¼ãƒ³ã‚»ãƒ¼ãƒãƒ¼ã®ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ©ã«ãŠã‘ã‚‹ DLL èªã¿è¾¼ã¿ã«é–¢ã™ã‚‹è„†å¼±æ€§
航空自衛隊ãŒæä¾›ã™ã‚‹ã‚¹ã‚¯ãƒªãƒ¼ãƒ³ã‚»ãƒ¼ãƒãƒ¼ã®ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ©ã«ã¯ã€DLL èªã¿è¾¼ã¿ã«é–¢ã™ã‚‹è„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚ 航空自衛隊ãŒæä¾›ã™ã‚‹ã‚¹ã‚¯ãƒªãƒ¼ãƒ³ã‚»ãƒ¼ãƒãƒ¼ã®æ¬¡ã®ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ©ãŒæœ¬è„†å¼±æ€§ã®å½±éŸ¿ã‚’å—ã‘ã¾ã™ã€‚ jasdf_01.exe jasdf_02.exe jasdf_03.exe jasdf_04.exe jasdf_05.exe scramble_setup.exe clock_01_setup.exe clock_02_setup.exe
全自動食器洗ã„æ©Ÿã®HTTPサーãƒãƒ¼ã«ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒˆãƒ©ãƒãƒ¼ã‚µãƒ«ã®è„†å¼±æ€§ | スラド ã‚»ã‚ュリティ
ドイツã®å®¶é›»ãƒ¡ãƒ¼ã‚«ãƒ¼Miele(ミーレ)ã®æ¥å‹™ç”¨å…¨è‡ªå‹•é£Ÿå™¨æ´—ã„æ©Ÿã®Webサーãƒãƒ¼æ©Ÿèƒ½ã«ã€ãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªãƒˆãƒ©ãƒãƒ¼ã‚µãƒ«ã®è„†å¼±æ€§ãŒç™ºè¦‹ã•ã‚ŒãŸï¼ˆRegisterã€Seclist.org)。 å•é¡ŒãŒç™ºè¦‹ã•ã‚ŒãŸè£½å“ã¯Miele Professional PG 8528ã¨ã„ã†è£½å“。大型ã®æ¥å‹™ç”¨è£½å“ã§ã€ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯æŽ¥ç¶šæ©Ÿèƒ½ã‚„é éš”æ“作機能もæ載ã—ã¦ã„る。 脆弱性ã¯æ˜¨å¹´11月ã«ç™ºè¦‹ã•ã‚Œã€Mieleå´ã«å•ã„åˆã‚ã›ãŒè¡Œã‚ã‚ŒãŸã‚‚ã®ã®ã€å¯¾å¿œã‚’è¡Œã†ã‹ã©ã†ã‹ã®åå¿œãŒãªã‹ã£ãŸãŸã‚3月23日付ã‘ã§è„†å¼±æ€§ãŒå…¬é–‹ã•ã‚ŒãŸã‚ˆã†ã 。ã“ã‚Œã«ã‚ˆã£ã¦ãƒãƒƒã‚·ãƒ¥åŒ–ã•ã‚ŒãŸãƒ‘スワードãŒè¨˜éŒ²ã•ã‚ŒãŸãƒ•ã‚¡ã‚¤ãƒ«ï¼ˆ/etc/shadow)を外部ã‹ã‚‰å–å¾—ã§ãã‚‹ã¨ã„ã£ãŸå•é¡ŒãŒã‚ã‚‹ã¨ã®ã“ã¨ã€‚ ã•ã™ãŒã«é£Ÿå™¨æ´—ã„æ©Ÿã«ã¯æ©Ÿå¯†æƒ…å ±ã¯è¨˜éŒ²ã—ã¦ã„ãªã„ã ã‚ã†ã—ã€å¤–部ã‹ã‚‰ä¸ç‰¹å®šå¤šæ•°ãŒã‚¢ã‚¯ã‚»ã‚¹ã§ãるよã†ãªç’°å¢ƒã«ã‚る食器洗ã„æ©Ÿã‚‚å°‘ãªã„ã¨ã¯æ€ã‚れるãŒã€ç¬¬ä¸‰è€…ã«ã‚ˆã£ã¦é£Ÿå™¨æ´—ã„æ©ŸãŒä¹—ã£å–られ
Google Chrome ã§ã‚·ãƒžãƒ³ãƒ†ãƒƒã‚¯ (旧ベリサイン) 発行 SSL 証明書ã®æœ‰åŠ¹æœŸé™ãŒå¼·åˆ¶çš„ã«çŸç¸®ã•ã‚ŒãŸã‚Šã€EV (拡張èªè¨¼ï¼‰ ãŒç„¡åŠ¹ã«ãªã‚‹ã‹ã‚‚ã¨ã„ã†è©±
Google Chrome ã§ã‚·ãƒžãƒ³ãƒ†ãƒƒã‚¯ (旧ベリサイン) 発行 SSL 証明書ã®æœ‰åŠ¹æœŸé™ãŒå¼·åˆ¶çš„ã«çŸç¸®ã•ã‚ŒãŸã‚Šã€EV (拡張èªè¨¼ï¼‰ ãŒç„¡åŠ¹ã«ãªã‚‹ã‹ã‚‚ã¨ã„ã†è©± 最大手ã®èªè¨¼å±€ (CA:Certification Authority) ã§ã‚るシマンテック(旧ベリサイン)ãŒã€é©åˆ‡ãªèªè¨¼æ‰‹ç¶šãã‚’è¡Œã‚ãšã« SSL 証明書を発行ã—ã¦ã„ãŸã¨ã•ã‚Œã‚‹å•é¡Œã§ã€Chrome ãƒãƒ¼ãƒ ãŒæ案ã—ãŸè¨¼æ˜Žæ›¸æœ‰åŠ¹æœŸé™ã®æ®µéšŽçš„ãªçŸç¸®ã‚„ EV 証明書ã®ç„¡åŠ¹åŒ–ã«ã¤ã„ã¦ã¾ã¨ã‚ã¾ã™ã€‚ 週末ã«æŸ 2ch ã¾ã¨ã‚サイトã§å–り上ã’られã¦è©±é¡Œã«ãªã£ã¦ã„ã¾ã—ãŸãŒã€Google Chrome ã«ãŠã„ã¦ã€ã‚·ãƒžãƒ³ãƒ†ãƒƒã‚¯ - Symantec (旧ベリサイン - Verisign) 発行㮠SSL 証明書ãŒãƒ–ãƒãƒƒã‚¯ã•ã‚Œã‚‹ã‹ã‚‚ã¨ã„ã†è©±ã€‚ ã¾ã¨ã‚サイトã§æ›¸ã‹ã‚Œã¦ã„ãŸã‚ˆã†ãª 「å•ç”無用ã§ãƒ–ãƒãƒƒã‚¯ã€ ã¨ã„ã†ã®ã¯ç…½ã‚Šã‚¿ã‚¤ãƒˆãƒ«ãªã®ã§ã‚ã¾ã‚ŠçœŸã«å—ã‘ã‚‹ã®ã¯ã‚„ã‚ãŸ
é«˜æœ¨æµ©å…‰ï¼ è‡ªå®…ã®æ—¥è¨˜ - 「都税クレジットカードãŠæ”¯æ‰•ã‚µã‚¤ãƒˆã€æµå‡ºäº‹ä»¶ã®è²¬ä»»ã¯èª°ãŒã¨ã‚‹ã®ã‹
■「都税クレジットカードãŠæ”¯æ‰•ã‚µã‚¤ãƒˆã€æµå‡ºäº‹ä»¶ã®è²¬ä»»ã¯èª°ãŒã¨ã‚‹ã®ã‹ 残念ãªãƒ‹ãƒ¥ãƒ¼ã‚¹ãŒå…¥ã£ã¦ããŸã€‚ 都税ã®ã‚µã‚¤ãƒˆã«ä¸æ£ã‚¢ã‚¯ã‚»ã‚¹ 67万件余ã®å€‹äººæƒ…å ±æµå‡ºã‹, NHKニュース, 2017å¹´3月10æ—¥ ã“ã®ã‚µã‚¤ãƒˆã«ã¤ã„ã¦ã¯ã€ä»Šå¹´ã®æ£æœˆæ—©ã€…ã«ä»¥ä¸‹ã®ä»¶ã§è©±é¡Œã«ãªã£ã¦ã„ãŸã€‚ 「国税クレジットカードãŠæ”¯æ‰•ã‚µã‚¤ãƒˆã€ã¯èª°ãŒé‹å–¶ã™ã‚‹ã‚µã‚¤ãƒˆãªã®ã‹, togetterã¾ã¨ã‚, 2017å¹´1月5æ—¥ ã“ã®ã¨ãã€ã‚¿ã‚¤ãƒˆãƒ«ã«ã¯ã€Œå›½ç¨Žâ€¦â€¦ã€ã¨ã‚ã‚‹ãŒã€ã€Œå›½ç¨Žã‚¯ãƒ¬ã‚¸ãƒƒãƒˆã‚«ãƒ¼ãƒ‰ãŠæ”¯æ‰•ã‚µã‚¤ãƒˆã€ã¨ã€Œéƒ½ç¨Žã‚¯ãƒ¬ã‚¸ãƒƒãƒˆã‚«ãƒ¼ãƒ‰ãŠæ”¯æ‰•ã‚µã‚¤ãƒˆã€ã®ä¸¡æ–¹ã‚’話題ã«ã—ã¦ã„ãŸã€‚ ã“ã‚Œã¯ã€GMOãƒšã‚¤ãƒ¡ãƒ³ãƒˆã‚²ãƒ¼ãƒˆã‚¦ã‚§ã‚¤æ ªå¼ä¼šç¤¾ã¨ãƒˆãƒ¨ã‚¿ãƒ•ã‚¡ã‚¤ãƒŠãƒ³ã‚¹æ ªå¼ä¼šç¤¾ãŒçµ„ã‚“ã§ã€æ±äº¬éƒ½ã¸ã®éƒ½ç¨Žã®ç´ç¨Žä»£è¡Œã¨ã€å›½ç¨Žåºã¸ã®å›½ç¨Žã®ç´ç¨Žä»£è¡Œã‚’ã™ã‚‹ã€Œã‚¯ãƒ¬ã‚¸ãƒƒãƒˆã‚«ãƒ¼ãƒ‰ãŠæ”¯æ‰•ã„サイトã€ã‚’é‹å–¶ã—ã¦ã„ã‚‹*1ã®ã ãŒã€ã‚µã‚¤ãƒˆã®ç”»é¢æ§‹æˆã‹ã‚‰ã—ã¦ã€èª°ãŒé‹å–¶ä¸»ä½“ãªã®ã‹ä¸æ˜Žã ã¨ã„ã†ã“ã¨ãŒå•é¡Œã¨ãªã£ã¦ã„ãŸ
CDNä¼æ¥Cloudflareã®ãƒã‚°ã§ã€å¤šæ•°ã®ã‚µãƒ¼ãƒ“スã§æ©Ÿå¯†ãƒ‡ãƒ¼ã‚¿æµå‡ºã®å¯èƒ½æ€§ - ITmedia NEWS
多数ã®Webサービスã«CDN(コンテンツé…ä¿¡ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ï¼‰ã‚’æä¾›ã—ã¦ã„ã‚‹ç±³Cloudflareã¯2月23日(ç¾åœ°æ™‚間)ã€ã‚¨ãƒƒã‚¸ã‚µãƒ¼ãƒã®ã‚»ã‚ュリティå•é¡Œã§é¡§å®¢ã®HTTPクッã‚ーã€èªè¨¼ãƒˆãƒ¼ã‚¯ãƒ³ã€HTTP POST本体ãªã©ã®æ©Ÿå¯†ãƒ‡ãƒ¼ã‚¿ãŒæµå‡ºã—ã€ã•ã‚‰ã«ãã®ä¸€éƒ¨ã¯Googleã‚„Bingãªã©ã®æ¤œç´¢ã‚¨ãƒ³ã‚¸ãƒ³ã«ã‚ˆã£ã¦ã‚ャッシュã•ã‚Œã¦ã„ãŸã¨ç™ºè¡¨ã—ãŸã€‚ ãƒã‚°ã¯æ—¢ã«ä¿®æ£ã•ã‚ŒãŸã€‚ã‚ャッシュã•ã‚ŒãŸãƒ‡ãƒ¼ã‚¿ã«ã¤ã„ã¦ã¯ã€Googleã€Yahooã€Bingãªã©ã®å”力ã«ã‚ˆã‚Šã€æ—¢ã«ãƒ‘ージã•ã‚ŒãŸã€‚Cloudflareã¯ã€æµå‡ºã—ãŸãƒ‡ãƒ¼ã‚¿ãŒæ‚ªç”¨ã•ã‚ŒãŸã¨ã„ã†å ±å‘Šã¯ä»Šã®ã¨ã“ã‚ãªã„ã¨ã—ã¦ã„る。 Cloudflareã®ã‚µãƒ¼ãƒ“スã¯ã€ä¾‹ãˆã°Uberã‚„FitBitã€Feedlyãªã©ã€ä¸–ç•Œã®550万以上ã®ä¼æ¥ãŒåˆ©ç”¨ã—ã¦ã„る。ã“ã®å•é¡Œã®å½±éŸ¿ã‚’å—ã‘ãŸå¯èƒ½æ€§ã®ã‚ã‚‹ä¼æ¥ã®ãƒªã‚¹ãƒˆã‚’第三者ãŒGitHubã§å…¬é–‹ã—ã¦ã„ã‚‹ãŒã€ãれを確èªã™ã‚‹ã‚ˆã‚Šã‚‚ã€è‡ªåˆ†ãŒä½¿ã£ã¦ã„るサ
JVN#71666779: 脆弱性体験å¦ç¿’ツール AppGoat ã«ãŠã„ã¦ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ãŒå®Ÿè¡Œå¯èƒ½ãªè„†å¼±æ€§
「脆弱性体験å¦ç¿’ツール AppGoat ウェブアプリケーション用å¦ç¿’ツールã€ã«ã¯ã€ä»»æ„ã®ã‚³ãƒ¼ãƒ‰ãŒå®Ÿè¡Œå¯èƒ½ãªè„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚
WordPress 4.7.1 ã®æ¨©é™æ˜‡æ ¼è„†å¼±æ€§ã«ã¤ã„ã¦æ¤œè¨¼ã—ãŸ
エグゼクティブサマリ WordPress 4.7ã¨4.7.1ã®REST APIã«ã€èªè¨¼ã‚’回é¿ã—ã¦ã‚³ãƒ³ãƒ†ãƒ³ãƒ„を書ãæ›ãˆã‚‰ã‚Œã‚‹è„†å¼±æ€§ãŒå˜åœ¨ã™ã‚‹ã€‚攻撃ã¯æ¥µã‚ã¦å®¹æ˜“ã§ã€ãã®å½±éŸ¿ã¯ä»»æ„コンテンツã®æ›¸ãæ›ãˆã§ã‚ã‚‹ãŸã‚ã€é‡å¤§ãªçµæžœã‚’åŠã¼ã™ã€‚対ç–ã¯WordPressã®æœ€æ–°ç‰ˆã«ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ã™ã‚‹ã“ã¨ã§ã‚る。 本稿ã§ã¯ã€è„†å¼±æ€§æ··å…¥ã®åŽŸå› ã«ã¤ã„ã¦å ±å‘Šã™ã‚‹ã€‚ ã¯ã˜ã‚ã« WordPress本体ã«ä¹…ã—ã¶ã‚Šã«é‡å¤§ãªè„†å¼±æ€§ãŒè¦‹ã¤ã‹ã£ãŸã¨ç™ºè¡¨ã•ã‚Œã¾ã—ãŸã€‚ ã“ã‚“ãªé¢¨ã«æ›¸ãã¨ã€WordPressã®è„†å¼±æ€§ãªã‚“ã¦ã—ょã£ã¡ã‚…ã†è¦‹ã¤ã‹ã£ã¦ã„ã‚‹ã¨ã„ã†æ„見もã‚ã‚Šãã†ã§ã™ãŒã€èƒ½å‹•çš„ã‹ã¤èªè¨¼ãªã—ã«ã€ä¾µå…¥ã§ãる脆弱性ã¯ã“ã“数年出ã¦ã„ãªã„よã†ã«æ€ã„ã¾ã™ã€‚ãã†ã„ã†ã‚¯ãƒ©ã‚¹ã®ã‚‚ã®ãŒä¹…ã—ã¶ã‚Šã«è¦‹ã¤ã‹ã£ãŸã¨ã„ã†ã“ã¨ã§ã™ã。 WordPressã€æ›´æ–°ç‰ˆã§æ·±åˆ»ãªè„†å¼±æ€§ã‚’ä¿®æ£ã€€å®‰å…¨ç¢ºä¿ã®ãŸã‚æƒ…å ±å…¬é–‹ã‚’å…ˆé€ã‚Š Make WordPress Core Conten
Chrome Extensionã®Live HTTP Headersã®èª¿æŸ»(CoolBar.Proå°Žå…¥ ExtensionãŒä½•ã‚’è¡Œã†ã‹ã®èª¿æŸ»)
a.md Chrome Extensionã®Live HTTP Headersを調査ã—ãŸã€‚Firefox用ã®ã‚‚ã®ã§ã¯ãªã„。Firefox用ã®ã‚‚ã®ã§ã¯ãªã„。 https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo 11/7追記 é¡žä¼¼ or åŒæ§˜ã®æ–¹æ³•ã§é›£èªåŒ–scriptを埋ã‚込んã§ã„る拡張機能ãŒå¤§é‡ã«ã‚ã£ãŸãŸã‚ã€Googleã«å ±å‘Šæ¸ˆã¿ã€‚ https://twitter.com/bulkneets/status/795260268221636608 English version: https://translate.google.com/translate?sl=ja&tl=en&js=y&prev=_t&hl=ja&ie=UTF-8&u=https%3A%2F%
JVNVU#91485132: CGI ウェブサーãƒãŒãƒ˜ãƒƒãƒ€ Proxy ã®å€¤ã‚’環境変数 HTTP_PROXY ã«è¨å®šã™ã‚‹è„†å¼±æ€§
JVNVU#91485132 CGI ウェブサーãƒãŒãƒ˜ãƒƒãƒ€ Proxy ã®å€¤ã‚’環境変数 HTTP_PROXY ã«è¨å®šã™ã‚‹è„†å¼±æ€§ CGI ã¾ãŸã¯é¡žä¼¼ã®ã‚³ãƒ³ãƒ†ã‚ストã§å‹•ä½œã—ã¦ã„るウェブサーãƒã«ã¯ã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆãŒæŒ‡å®šã—ãŸãƒ˜ãƒƒãƒ€ Proxy ã®å€¤ã‚’内部ã®ç’°å¢ƒå¤‰æ•° HTTP_PROXY ã«ç™»éŒ²ã—ã¦ã—ã¾ã†è„†å¼±æ€§ãŒå˜åœ¨ã—ã¾ã™ã€‚ã“ã®è„†å¼±æ€§ã«ã‚ˆã£ã¦ã€å†…部ã®ã‚µãƒ–リクエストã«ä¸é–“者攻撃 (man-in-the-middle attack) ã‚’å—ã‘ãŸã‚Šã€ã‚µãƒ¼ãƒã‚’ä»»æ„ã®ãƒ›ã‚¹ãƒˆã«æŽ¥ç¶šã•ã›ã‚‰ã‚ŒãŸã‚Šã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ ä¿¡é ¼ã§ããªã„入力値ã«ã‚ˆã‚‹ã‚»ã‚ュリティ判定 (CWE-807) ãŠã‚ˆã³ 外部入力ã«ã‚ˆã‚‹é‡è¦ãªå¤‰æ•°ã¾ãŸã¯ãƒ‡ãƒ¼ã‚¿ã®åˆæœŸåŒ– (CWE-454) CGI ã¾ãŸã¯é¡žä¼¼ã®ã‚³ãƒ³ãƒ†ã‚ストã§å‹•ä½œã—ã¦ã„るウェブサーãƒã«ã¯ã€ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆãŒæŒ‡å®šã—ãŸãƒ˜ãƒƒãƒ€ Proxy ã®å€¤ã‚’内部ã®ç’°å¢ƒå¤‰æ•° HTTP_PROXY ã«ç™»éŒ²ã™ã‚‹è„†å¼±æ€§ãŒ
ランã‚ング
障害
ランã‚ング
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
https://jp.techcrunch.com/2017/11/29/2017-11-28-astonishing-os-x-bug-lets-anyone-log-into-a-high-sierra-machine/
https://jp.techcrunch.com/2017/03/06/20170304researcher-finds-bug-that-allows-free-uber-rides/
脆弱性発見者ã‹ã‚™æ³¨ç›®ã™ã‚‹è¿‘å¹´ã®Web技術
脆弱性ã¯èª°ã®ã›ã„? �PHPã€MySQLã€Joomla! ã®è²¬ä»»ã‚„ã„ã‹ã«
{{#tags}}- {{label}}
{{/tags}}