Security
アマゾンに利用登録がなされているメールアドレスの場合は、以下のような画面に飛びます。この画面に飛んでなお「変更する」となった場合には、変更先のメールアドレスの持ち主に「変更するけど心当たりある?」というような内容のメールが、検証用のリンク*…
事の発端は、アマゾンさんから、以下のようなメールアドレス変更通知が届いたことです。 これがいきなり届くメールアドレスは、アマゾンへの利用登録がなされていないということにほかなりません。
世の中的に改ざん被害が増えてるってのは実感してるんだけど,改ざんされたコンテンツを修復してもまた改ざんされるというのを目の当たりにしてるから,なんですよね. 細かいところ書き始めたらきりがないけど,とりあえずこんなところで.
改ざん被害の原因や「何がいつ改ざんされたのか」というのを特定する前に,改ざんされたものを書き戻したりしちゃうこと.それやる前に保全しろコラ.
改ざん被害にあってしまった時のアクションを取れるように備えること.この一言に尽きる.
改ざんされたタイミングで改ざんされたことに気付けるWebサイトオーナはそうそういない. じゃあ,「OSまるごとインストールしなおし」とか「CMSなりを全部入れ替え」となるのか?と言われると,さっきの対応よりはマシだが実は全然不十分.というのも,なぜ…
改ざんに遭わないのが一番なんだけど,改ざん被害に遭ってしまったらまず最初にどうするか? 改ざんされたと思しきコンテンツをまるごと削除し,バックアップから復旧 バックアップがないので,改ざん箇所を特定の上当該箇所を削除 コンテンツ作成を委託した…
MS15-034については,まとめがPiyokangoさんのところにあるので,そういうまとめ的な話を読みたい方はそちらへどうぞという感じ.この脆弱性に関連する情報でオレが面白いなぁと思ったのは,PoC(Pastebin,Ghostbin,Exploit-DB)のPoCで書かれた検証リクエ…
セキュリティ・キャンプは11回開催ということで,チューター制度は10周年を迎えました. この制度を立ち上げた当初は「来年出来るのかなー…」という心配を常にしていたわけですが,なんとかここまで来て,さらにセキュリティ・キャンプを実施するための協議…
現状私から見て,チューター制度は目論んだ以上の役割を果たしています. 通常の講義や演習をはじめとする当日運営のサポートはもちろんのこと,参加者と講師のジョイント,参加者の(身近な)お兄さん/お姉さん役,参加者の目標の1つ,役割は枚挙に暇があ…
ちょっと言えないわけですが,それまでの参加者は全員チューターに応募する資格を有します(これまでに,社会人になった参加者がチューターをやったこともあります). 正直,セキュリティ・キャンプに参加するのも大変になってしまったわけですが,チュータ…
そこからチューターのレギュレーションが「キャンプに参加したことがある」&「手伝う気がある」というようになったわけです.で,チューターの人数は,当初は10人くらいいた記憶がありますが,今も実は大してかわってません.
記憶正しければ,提案したのオレだったと思います(とはいえ,オレが言わなくても誰か言ったんじゃないかと思うので,ここはあまり重要ではないですかねw). セキュリティ・キャンプって,現在はいろいろと企画〜運営しやすくなってるんですが,開始された…
今年もまた42名の参加者にお集まりいただき,献身的なチューター,講師,IPA,セキュリティ・キャンプ実施協議会をはじめとする多くの関係者の連携と協力のもと開催できました.…感想文(と言う名の運営側の宿題)提出しとけよ.>参加者の方々
ここは初めてな気がする. 応募する資格のある人には案内行ってるはず.簡単に言うならば,2004年以降の夏のセキュリティ・キャンプに参加した人に,チューター応募の資格があります(ミニキャンプ参加者は対象外). 絶対に成長するネタはあるはず これまで…
自分の日記で過去に山ほど書いてるので,それらを見るとなにかヒントがあるかもしれません. ミニキャンプやキャンプキャラバンで話をした内容はいくつかあるけど, 応募するかどうか迷うくらいならば,応募すると決めて応募用紙の内容をどう書くかで悩め コ…
すでにパスワードでユーザを認証する,ということが崩壊してるわけで,いかに安価に実装できるからといって,それが今のまま進むというのはいささか甘い.また,指紋認証とか生体認証は,リスト型アカウントハッキングに一定の効果があると感じているが,こ…
昨今の攻撃を見ていると,リスト型アカウントハッキング攻撃の意図は金銭にあるのではないか?というのは真っ先に思いつく. 問題は,攻撃者は金銭をどうやって得るか?というところなのだが….基本,リスト型アカウントハッキング攻撃で入手可能な情報は,…
リスト型アカウントハッキングとか,パスワードリスト攻撃とか,いくつかの呼び名で示されるこの攻撃,要は「どっかから漏れだしたIDとパスワードの組を大量に持っていて,それ使って不正ログインを試行するという攻撃と理解している.この攻撃,落ち着いて…
「水飲み場に毒まいて,飲みに来たカモがひっかかるのを待つ」という,なんともなことでした.狩猟民族的な考え方だとこうはならず,ライオンとかが待ち伏せるという意味になるのかもしれないけど,農耕民族の末裔であるオレとかは,そういう考えには至らず…
間違えて「型」をいれちゃってましたが,正確には「Web待ち伏せ攻撃(Web Ambush Attacks)」ですね.書いた文章は(一部)修正済み.
セキュリティに限らずなんでもそうなんだけど,なんかすごそうなwコトバを並べて恐怖を煽ったりという人が少なからずいるように思う.これはいただけない.なんか厨二病みたいで嫌だなとも感じる. ホントに理解を促したいのであれば,まず「ご理解いただく…
よく考えると,上の引用中に答えが書いてあったよねwという感じもするが,「水飲み場」という場に着目するのではなく「攻撃者が何かを仕掛けて攻撃対象を『待ち伏せる』」という講堂に着目すれば,話は早い. 正規なWebサイトで待ち伏せする水飲み場攻撃に…
なんでもかんでも標的型攻撃に繋げたい方々がいらっしゃるような感もあったり.ちなみにオレは,「なんじゃそりゃ?」という手合いだった. で,水飲み場型攻撃なんだけど,例えば「IEへのゼロデイ攻撃で用いられた“水飲み場型”攻撃」という記事では,水飲み…
リンク先は,「Apache Struts」としか書かれてないけど,Struts 1.x と Struts 2.x は(開発元は同じでも)別モンという認識なので,あえて「Struts 2」と書いている. で,この脆弱性,心底ヤバいという風である.該当するStruts 2を使ってるWebアプリ,本…
別にオレは,世の中のすべてのWebサイトに責任を持つ者でもなんでもないけどw,さすがにここまで放置されているWebサイトが多いと気になる. どのような運用になっているのか?てのはあるけど,自分ところのWebサイトがどんなになってるのか?てのは,折を…
見え見えの特徴があるところで「どうやって?」などと聞かれても「ここまでわかれば普通調べられるだろ」としか言えない. 改ざんコードの特徴を検索エンジンに食わせれば,嫌でも山ほど見つかる…. 見つかったURLを,wgetなりのコマンドで取得して内容を目…
というのは,きわめてあたりまえのことなのだがw,このような改ざんに気づいてないWebサイト/Webサーバの管理者は,次に改ざんされても気づかない可能性がある. 要は「改ざんしやすいWebサイトリスト」に掲載され続けてるように見えるけど,当人は何も気…
少し見て回ると,おおよそなおってるか,改ざんされたWebページが消されてるか閲覧出来ない状況になっているかという風に見える. が,「残ってるんじゃないか?」とちょっとだけ根性入れて探すと,いや,あるわあるわ…. で,残ってるところの特徴をざっと…
ということで,少しだけ調査をしてみた.*1 JPCERT/CCからもWeb サイト改ざんに関する注意喚起としてリリースされていますが,1ヶ月以上経過してたりする. どういう状況なのか?を少し調べてみた. *1:別に暇な訳じゃないけど,いろいろとひっかかる