2022/3/22 セキュリティ関連Twitterメモ
とある通販サイトを使ったのだけど、『メールアドレス・パスワードを保存する』というチェックボックスがあったので嫌な予感がした。案の定、ログイン画面でメールアドレスとパスワードがフィルされる。特定のクッキーによって、サーバー側でパスワードがHTMLにレンダリングされることがわかった(続く
— 徳丸 浩 (@ockeghem) Mar 13, 2022
NICTER観測統計 - 2021年10月~12月 - NICTER Blog https://t.co/v52uUTxvOX
— piyokango (@piyokango) Mar 14, 2022
記事を投稿しました! IPアドレスすら分からなかった文系事務員がOSCPを手にするまで [ペネトレーションテスト] on #Qiita https://t.co/taj79q4KQg
— keeg_gk_hoge_foo_brabra (@GkKeeg) Mar 13, 2022
新興ランサムアクターのPandoraによる被害を受けた企業を調べた所、5社全てでVMware Horizonが外部公開されていました。 ここが侵入口とは断言できないですがNight Skyも同サーバのLog4jの脆弱性を突く形で悪用していましたので注意が必要です。 21年12月以降パッチを当ててない企業は大至急対策を!
— nekono_nanomotoni (@nekono_naha) Mar 14, 2022
ふるさと納税サイトが600万回のリスト型攻撃で被害、2000件超の個人情報流出か https://t.co/9DzbD75LTs
— piyokango (@piyokango) Mar 15, 2022
昨日から今日にかけて、イスラエル政府のネットワーク (AS8867) に対する DDoS 攻撃が観測されています。時間帯の異なる複数種類の観測報告があがっており、様々なアタックベクターによる複合的な攻撃が行われた可能性があります。IIJ ハニーポットでも今朝から backscatter を観測しています。
— Masafumi Negishi (@MasafumiNegishi) Mar 15, 2022
はてなブログに投稿しました #はてなブログ #FoxonSecurity #セキュリティ メタップスペイメントへの不正アクセス事件を考えてみた その5(事故対応) - Fox on Security https://t.co/jRY4Bcaozm
— キタきつね (@foxbook) Mar 15, 2022
NISTのガイドライン『サービスメッシュを使用したマイクロサービスベースのアプリケーション用のDevSecOpsの実装』リリース SP 800-204C, DevSecOps for Microservices-based App with Service Mesh | CSRC https://t.co/4V4zj6xgMi
— モグ|セキュリティゼネラリスト (@moneymog) Mar 15, 2022
『サイバーセキュリティ施策のロードマップ策定を支援』してくれるとのこと サイバーリーズン、セキュリティ課題の特定と対策を支援する新サービス https://t.co/hGgWYihknp
— モグ|セキュリティゼネラリスト (@moneymog) Mar 15, 2022
WAFと似ていて要するに分類器の評価の問題だと思う。ROC/AUC辺りの知識があれば分類器は目的に合わせて閾値を調整して使うのが当然となるがデータサイエンスやってない人には通じない。適切な閾値は顧客によって違うので初期値は悩む。 https://t.co/Hu7zU3XZ7I
— Kanatoko (@kinyuka) Mar 15, 2022
OSCPの受験記を書いた https://t.co/j1gGT9TdFo
— らむ子 (@kanievalism) Mar 15, 2022
データを完全破壊するワイパー型マルウェア「CaddyWiper」がウクライナで見つかる、ロシアによる侵攻直前からこれで3つ目 https://t.co/jca3dNDPL7
— モグ|セキュリティゼネラリスト (@moneymog) Mar 15, 2022
ビジネス的につながりがある人が多そうなイメージですね 野村総研とラック、クラウドセキュリティの新会社 パブリッククラウド向けのサービスを提供 https://t.co/r7v7vm2aLm
— モグ|セキュリティゼネラリスト (@moneymog) Mar 15, 2022
おおお! / SSH and Git, meet 1Password ?? | 1Password https://t.co/ipdQm6il2A
— Yosuke HASEGAWA (@hasegawayosuke) Mar 16, 2022
Android端末のルート権限を一瞬で奪取するムービーが公開される、Linuxの脆弱性「Dirty Pipe」を用いた攻撃が現実的に - GIGAZINE https://t.co/xFt3fd4NBc
— 辻 伸弘 (nobuhiro tsuji) (@ntsuji) Mar 16, 2022
XSSの脅威に関する考察、具体的な事例も記載してあり、参考になります。 『サイトの性質によっては「サーバー上で任意コードが実行される」』なんて考え方があるんですね!! XSSの脅威を考察する https://t.co/6tsysCwYFT
— モグ|セキュリティゼネラリスト (@moneymog) Mar 16, 2022
#Emotet in the last two days exec commands ?? Parent process: Excel (xlsm) > regsvr32.exe -s ..\fbd.dll regsvr32.exe -s ..\rfs.dll regsvr32.exe -s ..\ujg.dll [+] regsvr32\.exe -s ..\\[a-z]{3}\.dll Next stage: regsvr32.exe /s '[Path]\[DllName].[Random_Extension]' https://t.co/ug2zplnL81 https://t.co/VtgA70FKeN
— Max_Malyutin (@Max_Mal_) Mar 16, 2022
ディープフェイクで作られた、ゼレンスキー大統領が国民に武器を置くように呼び掛ける偽映像が流されているとのこと。 https://t.co/9iAeR1GBEL @snopesから https://t.co/HWcSg2odNn
— mssn65 (@jpg2t785) Mar 17, 2022
ウクライナ保安庁に捕まったロシアのハッカーが、軍に指令を伝達したりウクライナ当局者に向けて降伏を促すメッセージを送るのに使用していた機材をまとめました。 #OSINT https://t.co/GTqfEYs8Zg https://t.co/w4kX7jC9MH
— SttyK (@SttyK) Mar 17, 2022
4ヶ月ほど前、うちの高校の周りの塀(腰の高さのコンクリ塀+金属製の柵)の上にモバイルバッテリーの繋がった車のスマートキーのようなものが2つ置いてあるを友人が見つけた 友人は怪しいと思いながら拾って学校に持ってきた 続く https://t.co/X6c7GuHXi3
— WOLKE?????? (@AztWolke) Mar 17, 2022
脆弱性に学ぶコンテナセキュリティ https://t.co/dkVone9imk ちょっと前に公開されていた、コンテナ環境からエスケープして特権昇格が可能となるcgroupsの脆弱性(CVE-2022-0492)を調べてみたよというお話。
— とある診断員 (@tigerszk) Mar 19, 2022
The evolution of memory corruption exploit techniques & mitigations - By Mohamed Hassan https://t.co/4oN4VFXQ7C https://t.co/5gqv0F694f
— Mehdi Talbi (@abu_y0ussef) Mar 17, 2022
すごく勉強になるし、なによりすごく面白い話 高木浩光さんに訊く、個人データ保護の真髄 ??いま解き明かされる半世紀の経緯と混乱 https://t.co/HkEL80b1U9
— mich0w0h (@mich0w0h) Mar 19, 2022
A tale of EDR bypass methods #infosec #pentest #redteam https://t.co/HRK938cSED https://t.co/6fYZLQXbme
— Florian Hansemann (@CyberWarship) Mar 19, 2022
企業ネットワークからさまざまな情報を盗み出して第三者に販売する「アクセスブローカー」 アングラでこういう市場もできるるあるということですね・・・ ランサムウェア「Conti」の世界的な感染拡大の裏で暗躍するサイバー犯罪組織「Exotic Lily」とは? https://t.co/DthJPSCQNL
— モグ|セキュリティゼネラリスト (@moneymog) Mar 19, 2022
これ、親戚のタブレットでもあったなぁ・・・。 IPAがまとめページ作ってくれてるんですね。 ブラウザ通知機能悪用手口~知識の新陳代謝の必要性を改めて感じた出来事~ https://t.co/aJQ5KWHLaI
— モグ|セキュリティゼネラリスト (@moneymog) Mar 19, 2022
From XSS to RCE (dompdf 0day) https://t.co/4K5HM48ulP PDF出力を行うPHPライブラリであるdompdfの脆弱性を利用して、XSSからRCEにつなけたという記事みたい。面白かった。
— とある診断員 (@tigerszk) Mar 19, 2022
イラストで正しく理解するTLS 1.3の暗号技術 https://t.co/ngKeiiBhy5 すごくわかりやすい解説で勉強になった。
— とある診断員 (@tigerszk) Mar 19, 2022