Twitter XSS 騒動 - Yaks
(2009/04/12 6:40 pm 追記しました) (2009/04/12 7:24 pm 再度追記しました) 先ほどから Twitter上にて XSS のよる被害が出ています。 既に海外のブログなどでも取り上げられています。 HOWTO: Remove StalkDaily.com Auto-Tweets From Your Infected Twitter Profile (Twittercsm) Warning: Twitter Hit By StalkDaily Worm (TechCrunch) 既に XSS の部分は改修されて大分収まったようですが、念のために書いておきます。 内容としては、 1. StalkDaily.com を宣伝するつぶやきが勝手に投稿される 2. プロフィールの Web が改ざんされる 3. 改ざんされたユーザーのページを見ると、自分のプロフィールも
Pwn2Ownのハッカー、Charlie Miller氏へのインタビュー
バンクーバー発 -- CanSecWestセキュリティカンファレンスで、私はCharlie Miller氏と話をする機会を得ることができた。同氏はSafariのコード実行脆弱性を利用して、完全にパッチを適用したMacBookに侵入した。 われわれはウェブブラウザのセキュリティの現状、脆弱性市場、現代のオペレーティングシステムでの耐攻撃措置の必要性について議論した。 --今回の脆弱性について、話せることはありますか。 Charlie Miller氏:あまりありません。コンテストのルールの一部として、私は技術的な詳細に関する守秘義務契約に縛られています。あのコンピュータ(MacBook Air)には、完全にパッチが適用されていたということは言ってもいいでしょう。使った攻撃はSafari 4に対するものですが、これはSafari 3でも使えます。本当は、私はこのバグを去年のPwn2Ownの前に見
สล็อต888 สล็อตเว็บตรง อันดับ 1 เว็บสล็อตใหม่ล่าสุด 2024
สล็อต888 สล็อตเว็บตรง อันดับ 1 เว็บสล็อตใหม่ล่าสุด 2024 สล็อต888 เว็บตรง ไม่ผ่านเอเย่นต์ ไม่มีขั้นต่ำ ผู้ให้บริการ สล็อตเว็บตรง อันดับ 1 ที่มาแรงมากที่สุดในตอนนี้ พบกับสุดยอดเกมสล็อตออนไลน์ที่สามารถทำกำไรได้จริง เว็บสล็อตใหม่ล่าสุด 2024 รวมค่ายสล็อตในเว็บเดียว ปั่นสล็อตเริ่มต้นที่ 1 บาท สล็อต 888 แตกง่าย RTP สูง โบนัสแตกหนักแตกบ่อย เหมาะกับผู้เล่นทุกรูปแบบ มือใหม่ก็เล่นได้ จ่ายเงินจริง การันตีด้วย
สล็อต888 สล็อตเว็บตรง เว็บใหม่มาแรง เว็บสล็อตแท้ 100% ในปี 2025
สล็อต888 เว็บตรงไม่ผ่านเอเย่นต์ เว็บสล็อตแท้ 100% เว็บใหม่มาแรง ในปี 2025 สล็อต888 ได้รวม เกมสล็อตเว็บตรง ลิขสิทธิ์แท้ และมีระบบการทำงานแบบ AUTO ที่ทันสมัยที่สุด ทางเลือกที่ดีที่สุดสำหรับผู้เล่นที่ต้องการเล่น เกมสล็อต 888 เว็บตรง แตกหนัก พร้อมการันตีการจ่ายเงิน สล็อต 888 เว็บตรง ไม่ผ่านเอเย่นต์ ไม่มี ขั้นต่ำ มั่นใจในความปลอดภัย ในทุกๆ การหมุน slot pg นั้นนอกจากจะได้รับความเพลิดเพลินแล้ว ยังมีโอกาส
高木浩光@自宅の日記 - ターゲット公共広告「AC4ny」を開始
■ ターゲット公共広告「AC4ny」を開始 先月25日の日記で書いた「行動ニーゲティング広告」のひとつとして、Winny利用者に向けたメッセージを表示する公共広告「AC4ny」を実験的に設置してみた。Winnyを使用中のIPアドレスからこの日記にアクセスした際に、図1のメッセージを表示する。 ただし、最大約2時間遅れで反映される*1ので、その間にIPアドレスが変わっていた場合、自分は使っていなくても、そのIPアドレスの前の使用者がWinnyを使っていた場合に、この広告が表示されることも起こり得る。また、ケーブルテレビ系ISPなど、NAT内からのアクセスになっている場合、自分は使っていなくても同じアドレスで誰かが使っていれば、この広告は表示される。 ざっと過去のアクセスログと突き合わせてみたところ、この日記の閲覧者のつこうてる率*2*3は、平常時で 1% 弱、特別に関心を呼んでいるケースで
GoogleカレンダーのHTMLソースに氏名とメールアドレス | スラド セキュリティ
ストーリー by hayakawa 2008年11月26日 12時16分 そもそもなんのために使ってるんだろう? 部門より Googleカレンダーをお使いの方、匿名のつもりでカレンダーを公開していませんか? メインのカレンダーでは、カレンダーIDがgoogleアカウントのメールアドレスとなるため、URL中にそのメールアドレスが入ります。サブのカレンダーを作るとランダムなカレンダーID({英数字26文字}@group.calendar.google.com)となり、URL中にはメールアドレスが含まれないため、これを匿名のつもりで公開している方も少なくないのではないでしょうか。 ところが、カレンダーのHTMLソースを見ると、ばっちり、登録した氏名とメールアドレスが埋め込まれているのです。バレると恥ずかしいカレンダーを公開している人は注意しましょう。 蛇足かもしれませんが、一応補足させていただき
それ Unicode で
UTF-7 を使ってスクリプトを記述 +ADw-SCRIPT+AD4-alert(\'XSS\');+ADw-+AC8-SCRIPT+AD4- IE は、文字エンコーディングが不明で UTF-7 っぽい文字列があれば、自動判別で UTF-7 となる。
Greasemonkeyの共通な落とし穴を避ける - minghaiの日記
Greasemonkeyの過去においてのセキュリティ上の問題の解説。 Greasemonkeyだけに限らず、JavaScriptによるユーザ拡張を作成している全ての方に対して一読の価値があるドキュメントだと思われます。 原文:O'Reilly Media - Technology and Business Training Greasemonkeyの共通な落とし穴を避ける Greasemonkeyのセキュリティの歴史があなたの今にどう影響するのか (著) Mark pilgrim "Greasemonkey Hacks"の著者 2005/11/11 昔々、あるところにセキュリティホールがありました。(これは普通のおとぎ話ではないからそのまま読んでください。) Greasemonkeyのアーキテクチャは最初に書かれて以来大幅に変更されてきた。Version0.3は初めて広範囲に人気を得たバー
スパマーがCAPTCHAの突破に成功? | スラド
本家/.の記事より。HotmailやYahooといった無料メールアカウントの大量自動作成に成功したスパマーがいるらしい。セキュリティ企業BitDefenderによれば、すでに15,000以上のHotmailアカウントが機械的に作成されているという。HotmailもYahooもCAPTCHAを採用しているため、スパマーはCAPTCHAの突破に何らかの手段で成功したということになる(TECH.BLORGE.comの記事)。また、自動的に作成されたYahooやHotmailのアカウントをスパムメールの送信に悪用するトロイの木馬、Trojan.Spammer.HotLan.Aも登場したようだ。 CAPTCHAの突破に関しては、本物の人間を使った人海戦術や、偽装サイトにおびき寄せた人間に代わりにCAPTCHAを突破してもらうといった比較的ローテクな手法から、AIや機械的画像認識アルゴリズムを利用した
LDRユーザーは仕事サボってるのがバレバレな件 - hnwの日記
livedoor Reader(以下LDR)って便利ですよね。僕も最近使うようになって便利さを実感しています。ところで、LDRに関して最近こんな記述を見つけました。 更新通知API http://rpc.reader.livedoor.com/notify param: user livedoor ID を渡す method: get/post 該当するlivedoor IDユーザの未読Feed数を取得する。存在しないユーザの場合は -1 が返ってくる。これだけ reader.livedoor.com ではなく rpc.reader.livedoor.com なので注意。 livedoor ReaderのAPI一覧 - ヨコナビ 要するに、LDRの他人の未読数が誰でも取れるんですね。IDを知っている必要がありますけど、LDRのフィード公開してる人とか、livedoor クリップとか、いくら
我々は公共性の進化に見あった速度で進化しているか - アンカテ
Attacking PHP - Matzにっき(2008-01-26) まつもとさんのこのエントリから凄い騒ぎになっているようだけど、ここで一番重要なことは、PHPやRubyがどうのこうのでなくて Webアプリケーションをなめるな こっちの方だと思う。 「初心者にやさしい言語(技術、方法論)の開発」→「本質的な問題の隠蔽と関係者の人口増加の同時進行」→「問題の拡散」というパターンはこれまで何度も繰り返されてきたことだ。 たとえば、VisualBasicやAccessやExcelのユーザが増えはじめた時は、「DBをなめるな」と私は思った。データベースというものは、しっかり業務分析をした上で、論理設計と物理設計をきちんとしないと、最後には破綻する。イージーなツールにも使い道はあるけど、明かに想定を超えた使い方で業務ソフトを作ってしまい、つぎはぎだらけになって収拾がつかなくなる例を何度も見てきた
セキュリティ過敏症 - ぼくはまちちゃん!(Hatena)
初心者はPHPで脆弱なウェブアプリをどんどん量産すべし ↑のブックマーク うん。増田くんはいつもいいこと書くね! ブックマークの方には 危険だとか迷惑だとか踏み台だとか色々かいてあるけれど(というか踏み台ってなんだろ?) そんなに大切な個人情報をたくさん扱ってるサイトなんてどれだけあるかな。 みんなそういうサービスつくってるの? なんかすごいね。 ぼくの使っている範囲だと、(提供側が気をつけていないと) 本当にまずいのは銀行と証券とカード会社のような、お金のからむサービスくらいだよ。 もちろん、他にメール内容だとか、購読しているフィードだとか、知られたくない個人情報なんてのは、人によってたくさんあるよね。 だけど、例えばぼくがメールサービス作りましたなんて言ったら誰か使う? それか無名の団体だったらどうかな。それで大切なメールやりとりしちゃうの? そう。そもそも、利用者もそれほどバカじゃな
sourceforge.jp
We’re getting things ready Loading your experience… This won’t take long.
グーグルを脆弱性スキャナにする新ツール ― @IT
検閲反対のスタンスで知られるハッカー集団、Cult of the Dead Cow(cDc)が、グーグルの検索エンジンを、使い勝手のいい脆弱性スキャナに変える新ツールをリリースした。 ジョニー・ロング氏の「Google Dorks」――機密情報を見つけるための検索クエリ――にヒントを得たcDcの「Goolag Scan」は、さらに限界に挑み、Windows GUIベースのスタンドアロン検索アプリケーションを提供している。 オープンソースのGoolag Scanには、脆弱なWebアプリケーション、設定ミスでバックドアが開いているWebサーバ、ユーザー名とパスワードなど、インターネット上で誤ってさらされてしまっている文書を検索するための約1500種のカスタムGoogleクエリがデフォルトで組み込まれている。 「Webがプラットフォームであることは明白だ」とcDcの広報担当オクスブラッド・ラフィ
変形文字「CAPTCHA」はもう無意味?
Webサービスの認証などに利用される変形文字のCAPTCHAはユーザーの妨げになるだけで、不正アカウント取得を防ぐ役には立たなくなったのか。 Webサービスでアカウントの不正取得を防ぐために使われている変形文字の「CAPTCHA」は、もう役に立たなくなっている――。人気WebメールのCAPTCHAを破るボットの相次ぐ登場を受け、セキュリティ研究者がこう指摘した。 セキュリティ企業のWebsenseは先に、米Microsoftの無料Webメール「Windows Live Mail」のCAPTCHAを破るボットが出現したと報告。続いてGoogleのGmailのCAPTCHAも破られたと伝えている。 IBM傘下のセキュリティ企業Internet Security Systems(ISS)のガンター・オルマン氏は2月25日のブログでこうした現状について紹介。CAPTCHAはかつてはいいアイデアだっ
ブログが続かないわけ | 初心者プログラマーが簡単なフォームを作るときにやりがちな6つのミス
お問い合わせフォーム、登録フォーム、キャンペーンの申込フォーム。 Webにはいろいろなフォームがある。 Webプログラマーであれば誰もが一度は作ったことがあると思う。 新人プログラマーの初めての実務がフォームであることも多いだろう。 新人が作っているというのにもかかわらず、技術的にも面白い部分がないせいか、正しい知識のある人がレビューすることが少ないと思われる。 単純さゆえにテストが不足しているということもあるかもしれない。 上記の理由は憶測にすぎないが、杜撰なフォームがたくさん出回っているのは事実だ。 もう、CAPTCHAの話とか以前の問題だ。 よく見かける悪い例を簡単にあげておく。新人が初めての実務に当たるときにこれを気にしてくれれば、世の中のフォームがだいぶ良くなると思う。 1. クライアントサイド(JavaScript)でのチェックのみ。 2. 選択肢式の入力欄に対するチェックの漏
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
IPAがWinnyによる情報漏洩の対策技術を公募 | スラド
http://www.isskk.co.jp/isscc/story/index.html
FlashからUPnPによりルータの設定を変更できる問題、US-CERTなどが警告
秀逸なXSSの練習サイト | スラド セキュリティ