サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
百貨店「高島屋大阪店」(大阪市中央区)から、2022年版福袋の発売が決定。福袋らしからぬ体験企画が勢揃いする。 同百貨店では、豪華金製品、アパレルブランドといった定番福袋のほか、体験型の企画福袋を発売。「帝国ホテル大阪」とタッグを組んだ「ウェディングフォト&豪華ホテル宿泊セット福袋」(20万2200円)や、「マイ包丁製本体験福袋」(1万1000円)など、種類も価格帯もさまざま。 なかでも注目は、プロ棋士・山崎隆之八段、室谷由紀女流三段、どちらかと対局できる福袋(1万6500円)。普段であればお金を払ってもできないプロとの対局は、またとない機会となりそうだ(対局する棋士の選択は不可)。 また同福袋には、長時間対局する棋士を支えるべく老舗寝具ブランド「昭和西川」と「日本将棋連盟」が共同開発した「ムアツ座布団」もセットで付いてくるという。購入方法は抽選・先着順など福袋によって異なり、詳細は公式
PCI DSSなどのセキュリティ基準ではデータベースの暗号化を求めているケースがあり、また個人情報保護の目的でデータベース暗号化を求めている場合が多いです。 それでは、データベースの暗号化は実際にはどうすればよいか、代表的な3方式について、概要とメリット・デメリットを説明します。 今回の目玉: データベースを取り巻く脅威について、簡単な脅威分析を行い、どの脅威が各方式で守れるかを解説します。 データベースに対するSQLインジェクションやリモートコード実行(RCE)によりデータベースの情報が漏洩する方法については、以下の動画でデモンストレーションしています。 ・SQLインジェクションによりクレジットカード情報を盗むデモンストレーション https://www.youtube.com/watch?v=Vvgmeu128ak ・DBに保存されたクレジットカード情報をバックドア経由で
5月末から6月初旬にかけて、複数の暗号資産(仮想通貨)取引所でドメインの登録内容が、第三者によって不正に書き換えられる被害が発生した。いずれもドメイン登録サービス「お名前.com」の脆弱性が悪用されたと見られるが、被害の原因となった脆弱性は明らかにされていない。 ドメイン登録サービス「お名前.com」を運営するGMOインターネットによれば、同サービスの利用者向けに提供している管理ツール「お名前.com Navi」において通信内容が改ざんされる脆弱性が存在。同社と顧客間で連絡を取るために利用される登録メールアドレスが、脆弱性によって改ざんされた。 同社は、6月5日の時点で脆弱性の影響を受けた顧客は2件としており、社名などは明らかにしていないが、すでに被害を公表しているコインチェックとビットバンクと見られる。 脆弱性によって被害者が登録しているメールアドレスが、攻撃者の用意したメールアドレスに
お名前.com Naviの「通信を改ざんできる不具合を利用してメールアドレスを書き換えた」事件に着想を得て、「メールアドレス改竄脆弱性を手元で安全に試せる」実習環境を準備しました。想定する脆弱性として認可制御不備になります。「そんな単純なことで」と思う方も多いと思いますが、実は割合よく見かける脆弱性です。 メールアドレスを改竄して、パスワードリセットから、管理者アカウントでのログインまで試すことができます。 ※ お名前.com Naviの事件内容の推測ではなく、この事件に着想を得た脆弱性実習です 参考: お名前.com Naviで発生した事象につきまして https://www.onamae.com/news/domain/20200603_1/ 実習シナリオ、スクリプト等はこちら https://github.com/ockeghem/web-sec-study/tree/mast
HTTP認証の一種Digest認証が、サーバーに保存したハッシュ値が漏洩すると、直ちに不正ログインできることを実験で確かめます。 前編: https://www.youtube.com/watch?v=fpdQAEjgxOc デモ環境(実習もできます) 徳丸本2版の実習用VM Firefox OWASP ZAP 実習用スクリプト: https://github.com/ockeghem/web-sec-study/tree/master/digest-auth-part2 0:26 Digest認証のおさらい 1:06 ブラウザとサーバーにおけるハッシュ値の計算方法 2:16 攻撃のイメージ 2:56 攻撃用スクリプト 3:56 デモ 6:12 Digest認証のパスワード情報保護について 7:55 Basic認証との比較 9:06 まとめ 9:35 徳丸浩へのお仕事の依頼方法
HTTP認証の一種Digest認証に対して中間者攻撃をやってみます。Digest認証があまり使われない理由が納得できるかもしれませんよ。 続編: https://www.youtube.com/watch?v=aGS26pW2gY4 デモ環境(実習もできます) 徳丸本2版の実習用VM OWASP ZAP 実習用スクリプト: https://github.com/ockeghem/web-sec-study/tree/master/digest-auth-part1 目次 0:28 Basic認証の説明(復習) 1:10 Digest認証の説明 3:15 徳丸本にDigestの環境を設定する 6:09 Digest認証のデモ 7:25 Digest認証は中間者攻撃に脆弱 7:57 想定環境の説明 8:35 Digest認証に対する中間者攻撃のデモ 10:30 まとめ 12:32 徳丸
The document discusses an SSRF attack onAmazon EC2 Instance Metadata Service (IMDS) version 1.It describes how IMDSv1 could be accessed from outside the instance by exploiting vulnerabilities in a web application firewall (WAF). The attack allowed accessingcredentials of an IAM role that had permissions to an S3 bucket storing personal information. To mitigate such risks,Amazon introduced IMDS
2020年02月01日15:09@konoyubtmr台湾人、中国人によるマスク買い占めを防ぐために台湾国旗を印刷したらしい仕事/社会ネタ 30コメント Tweet 1 : 風吹けば名無し 2020/02/01(土) 11:31:36 ID:SvcIqwmQ0.net 2 : 風吹けば名無し 2020/02/01(土) 11:32:06 ID:yqzeqp7X0.net 頭いい 4 : 風吹けば名無し 2020/02/01(土) 11:32:11 ID:H1OpoQ0wd.net 草 5 : 風吹けば名無し 2020/02/01(土) 11:32:26 ID:aH2BdqH/d.net やるやん ■うっかり読んじゃう記事 【画像】日本のアニメ、男女が向き合って手を繋ぎながらスカイダイビング好きすぎ問題 なかやまきんに君、前科者になる 原宿に一部屋「67億6000万円」のマンションが爆誕
以下の業務委託について、公募型プロポーザルを行います。 青梅市ホームページシステム再構築業務委託公募型プロポーザル 業務概要、参加資格要件、申請方法および申請書類等の詳細については、下記の「関係書類」を御確認ください。 なお、参加申請は令和元年7月1日から令和元年7月8日正午までに行ってください。 また、質問回答を掲載する場合は本頁にて行います。 関係書類 青梅市ホームページシステム再構築業務委託公募型プロポーザル実施要領(PDF) 青梅市ホームページシステム再構築業務委託仕様書(PDF) CMS機能要件一覧(PDF)(EXCEL) データセンター要求仕様一覧(PDF)(EXCEL) (様式第1号)参加申請書(PDF)(WORD) (様式第2号)会社概要書(PDF)(WORD) (様式第3号)業務実績書(PDF)(WORD) (様式第4号)質問書(PDF)(WORD) (様式第5号)見積書
回答 (3件中の1件目) パスワード(事前共有鍵)がわかっていれば、暗号化されたWiFiでも復号が可能です。以下の記事をお読みください。 パスワードが公開された公衆無線LAN、暗号化されていても盗聴できる? この記事とは別の方法もあります。SSIDとパスワードがわかっていれば、同じSSIDとパスワードを設定した「偽アクセスポイント」を容易に作ることができます。利用者からは、本物と偽物を区別することはできないで、偽アクセスポイントに接続した利用者の通信は、暗号化されていない有線区間で容易に盗聴できます。 これらのことから、フリーWiFiの危険性は、共通の(公開された)パスワードがあっ...
AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門 この記事の中で、以下のように紹介しました。ホスト名からIPアドレスを求める際にも以下の問題が発生します。DNSサーバーが複数のIPアドレスを返す場合の処理の漏れIPアドレスの表記の多様性(参考記事)IPアドレスチェックとHTTPリクエストのタイミングの差を悪用した攻撃(TOCTOU脆弱性) リクエスト先のWebサーバーが、攻撃対象サーバーにリダイレクトする 上記のTOCTOU(Time of check to time of use)問題は、DNSの名前解決の文脈ではDNS Rebindingとも呼ばれます。DNS R
前提・実現したいこと 現在ITインフラ会社のコーポレートサイトを制作しております。 公開用のサーバーは先方で用意してもらったのですが、以下のことがわからない状態です。 ①FTP接続 ②ブラウザからのアクセス方法、ドメイン設定 ③WordPress用にデータベースの作成 普段はヘテムルやエックスサーバーのレンタルサーバーを使用しており、 諸々の設定はコントロールパネルから行い、の情報を元に接続しているのですが、 先方からは接続情報として、サーバーのログイン情報(ユーザー1つとroot権)と リモートコンソール(VNC)接続の情報(IP、ポート、パスワード)をもらいました。MACのVNCクライアントから接続し、ログインするところまではできました。 FTPクライアントのTransmitから接続を試みているのですが、 リモートコンソールというものに馴染みがなく、 調べても同じようなケースややり方
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
サマリ この記事の想定読者は、企業等の脆弱性ハンドリング担当者です。脆弱性情報にしばしば出てくるCWE-20の読み解き方を説明します。 追記(2024/11/26) 現在CWE-20の本家のサイトでは、VulnerabilityMapping: DISCOURAGED(脆弱性マッピング:非推奨)と表記されています。詳細を見ると、以下が記載されています。 VulnerabilityMappingNotesUsage: DISCOURAGED (this CWE ID should not be used tomap to real-world vulnerabilities) Reason: Frequent Misuse Rationale: CWE-20 is commonly misused in low-information vulnerabilityreports w
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
