151
安全なWebアプリケーションの作り方第2版の実習環境を M1/M2 Mac 向けに Docker対応いたしました。ARM64だけでなくAMD64にも対応しています。 / “Docker版実習環境の使い方 - 安全なWebアプリケーションの作り方 第2版 サポートサイト” htn.to/2QTMHTvUs8
152
ちょっと理解しがたい事態なのでメディアの方はHerokuかセールスフォース・ジャパンに取材して欲しい / “【復旧】12月23日、24日に発生しました障害に関するご報告” htn.to/3VGQwKrJMd
153
やはりGETでの更新は原則避けるべきだと思います。
(1) GETの方がキャッシュされやすく、更新処理のリクエストがエンドポイントに届かない場合がある
(2) ブラウザ等の先読み機能で「勝手に」アクセスされる可能性
(3) フレームワーク類がGETでの更新を想定していないのでCSRF保護が働かない twitter.com/phono2xx/statu…
154
1月23日追記として、以下が追記されているが…
12月28日14時00分: セールスフォース・ジャパンのご担当者の方々が当社を訪問し、Herokuの障害ではないことを確認し、同社が把握している状況の詳しい説明を受ける。
01月23日12時00分: セールスフォース・ジャパンとの協議を経て、本件が完全に解決。 twitter.com/ockeghem/statu…
155
こちらを見て、Cookieのtweetdeck_versionを削除したら、TweetDeck使えるようになりました(legacyになっていた) twitter.com/hetima/status/…
156
クレジットカード情報11万件の漏洩。これ、1月4日にカード情報漏洩の懸念が伝えられているのに、1月17日まで漏洩が続いているのが初動の問題ですね / “弊社が運営する「ソースネクストオンラインショップ」への不正アクセスによる個人情報漏えいに関するお詫びとお知らせ|…” htn.to/3bziMusC6U
157
手元の集計では、2022年にはクレジットカード情報漏洩のリリースが52件あり、いずれもセキュリティコードが漏れています。名義が漏れない事件はありましたが、セキュリティコードはどの事件でも漏れています
158
「ペイメントアプリケーションの改ざん」でカード情報を盗む手口はこちら。日本では10年間にわたって使われている手法ですが、まだまだ認知されていないようです
youtube.com/watch?v=XNgVeH…
159
ECサイトからのクレジットカード情報漏洩でセキュリティコード含めて漏れるのは、セキュリティコードを保存していたからではないケースが大半と10年間言い続けているが、いっこうに浸透しない…が言い続けるしかない
160
ChatGPTに「Reactで○○するプログラムを書いて」と指示したら、私の罠を見事に回避して脆弱性のないコードを提示したので関心したのだけど、ふと閃いて、Vue.jsで書いてもらったら、私の意図通りXSSのあるコードを生成したので今日はもう帰ってもいいですか?
161
『大阪府の40歳代男性名義で再発行したSIMカードを利用し、スマホを使って金融機関のアプリに不正にログイン。男性名義の口座から約600万円を両被告らの管理する口座に送った疑い』 / “SIMカード再発行でスマホ乗っ取り、不正送金の男2人を全国初逮捕…世界で…” htn.to/YcNr1KQE86
162
本日公開しました。ウェブ健康診断仕様の13種類をはじめ多種の脆弱性が学べる脆弱性入りアプリ(やられアプリ)です。非営利の個人利用向けに公開しています / “GitHub - Bad Todo 非常に多種の脆弱性を含む診断実習やられアプリbadtodo” htn.to/2jNWUzY9mq
163
さっそく入社試験問題をChatGPTに解かせてみましたが、GPT-3.5だと当方の誘導が必要でしたが、GPT-4だと誘導も必要なく最初から完璧な解答が得られました。問題は不正アクセス事件の概要を読ませ、原因と対策を問うものです。 twitter.com/ockeghem/statu…
164
無茶言うなよ。できるわけないだろ>『新たな対策として、(家庭用ルーターの)見覚えのない設定変更がなされていないか定期的に確認する。をお願いします』 / “家庭用ルーターの不正利用に関する注意喚起について 警視庁” htn.to/2PzvrpLJ8S
165
こういう認識の人が多いから、POSTすべき処理をGETでやって、脆弱性診断等で指摘されるんでしょうね(結構ある)。GETとPOSTの使い分けについては、拙著でも記載しています。 twitter.com/ebiebi_pg/stat…
166
古いPHPプログラムのPHPバージョンアップ業務をChatGPTに質問して、その結果をTeratailでレビュー依頼する人物が現れた模様です
167
『システムへのアクセス集中により印刷処理の待ちが生じた結果、印刷イメージファイルのロックが解除され、同時期に交付を申請した別の利用者が当該ファイルを印刷できてしまったという』 / “コンビニ交付で別人の住民票が発行されるバグ、富士通Japanが原因を説明” htn.to/6QKXKSiYT5
168
IPAのページにGoogle検索でいくと404になるので、案内に従ってIPAサイト内検索したところ、やはり404になるのウケる(ウケない)
169
YouTubeでセキュリティの勉強をしようと思い、10万回再生されているブラウザ設定の動画を視聴していたら、『DNSをまったく利用していないという方は、オフでも構いません』と説明していた。この方、インターネットをまったく理解していない🤔コメントは絶賛の嵐なんですが…
170
生々しいルポ。いきなり逮捕などでなくてよかった。捜査員がその場で確認したのですね。対策については同意しません / “自宅に捜査員が…家のルーターが知らぬ間にサイバー攻撃発信元に | 毎日新聞” htn.to/25ZKne5cM1
171
既にレインボーテーブルは第一の脅威ではなくて、GPUによる総当りが脅威だと思います。レインボーテーブル対策であればソルトで十分ですが、GPU総当りだとソルトだけでは不十分で、ストレッチングあるいは遅いハッシュ関数を使うべし…というのは徳丸本2版P477に書いてあります twitter.com/omochimetaru/s…
172
毎日これやるの?>『同市の情報システム課とひまわりネットワークにおいて、日々の業務開始前に「強制BCCシステム」の稼働状況を双方で確認する』
「強制BCCシステム」停止 メールアドレス 652 件流出、ライセンス更新怠る | ScanNetSecurity
scan.netsecurity.ne.jp/article/2023/0…
173
こちら、Shift_JISの0x5c問題ではないかという推測をしている方がおられますね。そうかもしれません。0x5c問題については、徳丸本初版・2版とも第6章で説明しています。実は6章は2版の削除候補だったのですが、残しておいて良かったということかな? twitter.com/CompileHeartWe…
174
もうSMS認証だめじゃないの? 海外では以前から問題視されていて、日本だけ安全というはずもなく
"スマホ「解約されています」、突然乗っ取り「SIMスワップ」横行…不正送金1000万円被害も : 読売新聞"
yomiuri.co.jp/national/20230…
175
逐次処理というかキューでしょ。これ自体はありだと思うけど、逐次処理なのに『複数の申請が同時に行われたためアクセス集中により負荷がかかり』というのが本当に謎
"他人の住民票が誤発行される謎バグの真相、富士通Japanの「稚拙」設計に専門家も驚く | 日経クロステック"
xtech.nikkei.com/atcl/nxt/colum…
徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員
YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 youtube.com/@websecstudy