そう、URLさえわかればね。 セキュリティの講義のネタでよく話してるんですけど、以外と知られていないようなので。 公開範囲は 自分のみ URLさえわかれば表示することが可能です。下記はそのURLです。 https://scontent-a.xx.fbcdn.net/hphotos-xpa1/t31.0-…

Webサーバーがレスポンスを発行する際に、HTTPレスポンスヘッダーに付けるとセキュリティレベルの向上につながるヘッダーフィールドを紹介します。 囲み内は推奨する設定の一例です。ブラウザによっては対応していないヘッダーフィールドやオプションなども…

私も海外でよく使っていたイモトのWi-Fi「GLOBALDATA」のWebサーバーに不正アクセスがあり、調査の結果最大146,701件のクレジットカード情報を含む情報漏えいがあったことが判明しています。 不正アクセスによるお客様情報流出に関するお知らせとお詫び | エ…

OWASP Japan Leader らしく、OWASP Top 10 2013 RC1版の紹介でも。 https://www.owasp.org/index.php/Category:OWASP_Top_Ten_Project OWASPでは、PCI DSSなどでも参照しているOWASP Top 10 の 2013年版のリリース準備中です。現在、RC1をリリースして、コメ…

いわゆる"Bug Bounty Programs"と言われている、Webサイトの脆弱性情報などを受け付けて、それに報奨金を出すというプログラムです。報奨金で飯を食えるようになるといいですね。 Google Program Rules – Application Security – Google facebook Security B…

お名前.comで取ってるドメインがあったので、とりあえずレンタルサーバーも使ってみようと申し込んでみました。 月額1575円の共用サーバー SD｜ドメイン取得なら お名前.com 設定を始めたところ、設定用のWebインタフェースのコントロールパネルに、メールア…

米国証券取引委員会（The US Securities and Exchange Commission : SEC）の職員が、ハッカーの会議（たぶん今年のBlackHat USA？）に機密情報がたくさん入ったPCを持ち込んだおかげで、安全かどうかの検証に20万ドルも費やす結果となったそうです。 PCのデ…

HPが主催し、英国のPonemon Instituteが調査したさまざまな産業分野の38団体のサンプルに基づくセキュリティのベンチマーク調査レポートです。 サイバー犯罪は被害・対策ともに高く付く。年間平均コストは平均210万£（約2.7億円）で、4百万£〜770万£の範囲 …

OWASPではXSS Filter 回避のためのチートシート（XSS Filter Evasion Cheat Sheet）を公開しました。 これは有名な「XSS (Cross Site Scripting) Cheat Sheet（http://ha.ckers.org/xss.html）」を移行したものです。Robert "RSnake" Hansenの協力に感謝！ X…

ターミナルを起動して下記のコマンドを実行する。 security dump-keychain -d ~/Library/Keychains/login.keychain 「”security”がキーチェーン”ログイン”を使おうとしています。キーチェーンのパスワードを入力して下さい」とパスワードを聞いてこない場合…

GoogleやDropboxなどが次々と二要素認証に対応していますが、そろそろウチのsshも二要素認証対応にという方向けに。30秒の簡単導入です。 $ curl 'https://raw.github.com/authy/authy-ssh/master/authy-ssh' -o authy-ssh $ sudo bash authy-ssh install /u…

Intel Core2DuoのCPUキャッシュコントローラーの脆弱性を利用したリモートコード実行のPoCが公開されています。Core2Duo以外にもAtomでも動くそうです。 Intel Core2Duo cpu cache controller bug PoC | Inj3ct0r - exploit database : vulnerability : 0day…

元ペンタゴンのアナリストによると、中国政府または人民解放軍が世界の通信の約80％にアクセスできるバックドアを持っていると伝えています。 中国企業のHuawei社とZTE社製品のネットワーク機器にバックドアがあるので、それらを使っているネットワークには…

F-Secureの研究者がコロンビア交通のWebサイトで、Windows、MacOS、Linuxなどマルチプラットフォームで動作するバックドアを発見しました。 バックドアは署名されたJavaのJARファイルを使って、ユーザーの端末がどのOSかを判定して、プラットフォームに適し…

RFC6648として、アプリケーションプロトコル内での"X-"接頭辞と同様の構造の廃止というのが上がっていました。 HTTPなど多くのプロトコルでは、非標準パラメーターに”X-”接頭辞を付けることで、標準パラメーターと区別していましたが、メリットがないという…

PayPal もバグ報奨金プログラムを開始しました。GoogleやFirefoxなどがやっているあれです。 対象となる脆弱性は、XSS、CSRF、SQLインジェクション、認証のバイパスとのこと。報告したらいくらぐらいもらえるんでしょうね？ For Security Researchers - PayP…

フランスのexploit販売会社のVupenによると、ターゲットの制御を得ることができるようなゼロデイ攻撃の価格は下記のようになっているとのこと。 Adobe Reader $5,000-$30,000 Mac OSX $20,000-$50,000 Android $30,000-$60,000 Flash,Java Plugin $40,000-$1…

「めんどうくさいWebセキュリティ」という本を出します。内容はタイトルの通り、日々めんどうくさくなっているWebのセキュリティについて整理した一冊です。著者はMichal Zalewski氏で、私は日本語版の監修を務めました。 本書の発売を記念して、同時期に出…

「md5crypt() でパスワードを守るのはもう安全じゃないよ」と、作者のPoul-Henning Kamp氏が声明を出しています。 md5cryptパスワードスクランブラーは、1995年に作成されて、当時は十分に強力な保護機能を発揮していましたが、もはや現在は十分ではないので…

”10.0.0.1.xip.io”とするだけで、”10.0.0.1”に名前解決してくれるんだぜぇ〜？ワイルドだろ〜。 他にもこんな感じで。 10.0.0.1.xip.io → 10.0.0.1 www.10.0.0.1.xip.io → 10.0.0.1 mysite.10.0.0.1.xip.io → 10.0.0.1 foo.bar.10.0.0.1.xip.io → 10.0.0.1 x…

2012年07月06日（金）に東京商工会議所の情報セキュリティセミナー技術編にIPAの人として登壇予定です。 内容は2012年版10大脅威や新しいタイプの攻撃あたりの予定です。 1日のセミナーですが、午前と午後で申し込みがわかれているようです。 情報セキュリテ…

一気にニュースになっていますが、LinkedInのパスワード（saltなしのSHA-1ハッシュ）が漏えいして、単純なパスワードの多くがクラックされている可能性があるとのことです。 ユーザーの方はパスワードの変更かリセットをしておきましょう。 Linkedin Blog

セブから帰り、白浜から帰った翌週からロシアのモスクワで行われた「PHDays2012」というセキュリティカンファレンスに行っていました。初ロシア。 セブに行くためパスポートを旅行会社などに預けられないため、ビザ取るのも自分で大使館に行ったりしたので結…

Nmap の新バージョン Nmap 6 がリリースされました。メジャーバージョンアップで改善された6つのポイントは下記の通りです。 NSE (Nmap Scripting Engine) の機能強化 スクリプトがNmap 5 の59個に比べて、6 は348個と大幅に増えています。 Webスキャニング…

PtoPでやりとりする仮想通貨のBitcoinは中央銀行的な存在がありません。故に、どこの国もBitcoinを取り締まることはありません。Bitcoinの価値を認めた使いたい人だけが使います。実際の円やドルなどの通貨との両替もできるので、相場もあります。そのBitcoi…

顔検出技術がデジカメなどを初めとして、ソフトウェアで簡単に使えるようになっています。しかし、顔検出から逃れたい人もいると思いますので、そんな方のためのテクニックです。 検出の際に顔として読み取るためには鼻梁、いわゆる鼻筋が重要で、または両眼…

4月21日(土)都内某所で行われたHardening Zero イベントが無事にが終了しました。 WASForumは、セキュリティ・イベント「Hardening Zero 」を、2012/4/21土曜日に、都内某所にて開催します。これは。最高の「守る」技術を持つトップエンジニアを発掘・顕彰す…

全世界でAngry Birdsが流行してますね。といっても、日本ではほとんど流行ってない気がします。海外に行くと、Angry Birdsグッズがそこいらで売ってます。個人的には流行ってるので、ストラップを買ってみたり。付けてないけど。 そんなAngry Birds の新作 A…

ウイルスの大流行が少ないMacですが、65万台のMacが感染していると言われるトロイの木馬「Flashback」が先日ニュースになりました。 Mac OS Xに感染するトロイの木馬、調査により世界で55万台の感染が判明（Dr.WEB） | ScanNetSecurity (レポート、調査・ホ…

4月2日、3日に韓国・ソウル COEXで開催されたセキュリティカンファレンスCODEGATE2012に参加してきました。写真でどうぞ。 今回はAVTOKYOでブースを出しました。パネルとムービーなどでイベント紹介。 hack in the boxのDhillonと我らがtessyさん。 テープカ…