Clik here to view.
auじぶん銀行のフィッシングSMSが届いた
3日前に、auじぶん銀行の巧妙な不正出金についてYouTube動画を公開しました。みんな見てねー。auじぶん銀行アプリに対する不正出金の驚くべき手口そうしたところ、先程私のiPhoneに以下のようなSMSが届きました。ふーん、au自分銀行のときは宅配事業者を装ったSMSということでしたが、これはどうなんでしょうね。開いてみると…詐欺サイトの警告が出ていますが、構わずに開いてみると…きたきたきたー。こ...
View ArticleClik here to view.
PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由
このエントリは、PHP Advent Calendar 2021の20日目のエントリです。19日目は @takobaさんによる...
View ArticleClik here to view.
Clik here to view.
Clik here to view.
DNSリバインディング(DNS Rebinding)対策総まとめ
サマリDNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策機能が有効になっている。...
View ArticleClik here to view.
メタップスペイメント不正アクセス事件の第三者報告書から攻撃の模様を読み解く
株式会社メタップスペイメントの運営する決済代行システムから約288万件のクレジットカード情報が漏洩した不正アクセス事件について、第三者委員会の報告書および経済産業省の行政処分(改善命令)があいついで公開されました。第三者委員会調査報告書(公表版)クレジットカード番号等取扱業者に対する行政処分を行いました...
View ArticlePHPカンファレンス2022にてSPAセキュリティ超入門の話をします
今年もPHPカンファレンスにてトークさせていただくことになりまして、以下のようなお話をいたします。日時:9月25日(日) 14:40〜15:40場所:大田区産業プラザPiO および YouTube費用:無料講演タイトル:SPAセキュリティ超入門申し込み: connpassアジェンダ:SPA(Single Page...
View ArticleRuby cgi gemのHTTPヘッダインジェクション脆弱性CVE-2021-33621の概要と発見の経緯
div.code-frame { background-color: #2f3232; color: #e3e3e3; padding: 0.1em 0 0.1em 1.2em; } この記事はRuby Advent Calendar 2022の第20日の記事です。前日の記事は@ydahさんによる「RuboCopのバージョンを最新に保つ技術」でした。2022年11月22日に、Ruby cgi...
View Article[書評] ハッキングAPI ―Web APIを攻撃から守るためのテスト技法
サマリハッキングAPI―Web APIを攻撃から守るためのテスト技法(2023年3月27日発売)を読んだ。本書は、Web...
View ArticleClik here to view.
2023年4月においてクリックジャッキング未対策のサイトはどの条件で被害を受けるか
サマリCookieやlocalStorage等でセッション管理しているウェブサイトがクリックジャッキング対策していない場合、どの条件で被害を受けるかを説明する。SameSite属性のないCookieでセッション管理しているウェブサイトは、主要ブラウザのデフォルト設定ではクリックジャッキングの影響を受けない。一方、loaclStorageにトークン類を格納するウェブサイトでは、Google...
View ArticleClik here to view.
「はじめて学ぶ最新サイバーセキュリティ講義」の監訳を担当しました
日経BPから4月4日発売予定の『はじめて学ぶ最新サイバーセキュリティ講義 「都市伝説」と「誤解」を乗り越え、正しい知識と対策を身につける』の監訳を担当したので紹介させていただきます。本書の原書は、ユージーン・H・スパフォード、レイ・メトカーフ、ジョサイヤ・ダイクストラの3名の共著として書かれた「Cybersecurity Myths and...
View ArticleClik here to view.
ISO-2022-JPの自動判定によるクロスサイト・スクリプティング(XSS)
div.code-frame { /* pre { */ border-radius: 8px; margin: 12px -16px; padding: 4px 16px; position: relative; background-color: #2f3232; color: #e3e3e3; /* overflow-wrap: break-word; */ word-wrap:...
View ArticleClik here to view.
ISO-2022-JP自動判定を用いたHTMLコンテキスト破壊によるXSS
code { background-color: rgba(0,0,0,.05); border-radius: 3px; padding: 2px 4px } pre>code { background-color: rgba(0,0,0,.05); display: block; padding: .5em; -webkit-text-size-adjust: none;...
View Article
