新オープンでいろいろ話題の「海老名市立中央図書館」の新サイトにへぼいXSSがあったようです。
うああhttps://t.co/GM0cn7kLho pic.twitter.com/Bg4rx3MUqs
— Hiromitsu Takagi (@HiromitsuTakagi) September 30, 2015
CCC運営「海老名市立中央図書館」の新サイト、システム不良で閲覧できず ページ改ざんされた? – http://t.co/gTyZQHWPnp
— J-CASTニュース (@jcast_news) October 1, 2015
よく読んだらすごいな。「公式サイトは10月1日0時にテスト公開」 え、テスト……!?│CCC運営「海老名市立中央図書館」の新サイト、システム不良で閲覧できず ページ改ざんされた? http://t.co/o6eVMXDDlE @jcast_newsさんから
— 浦島もよ (@monoprixgourmet) October 1, 2015
❧ღ Mai ღ❧@Naganegicco
このXSSを直したのは、だれだーッ …と心のなかで叫んでいる
— 徳丸 浩 (@ockeghem) October 1, 2015
海老名市立図書館には徳丸本が収蔵されていないようなので寄贈しようかと思いました
— 徳丸 浩 (@ockeghem) October 1, 2015
「XSS対策は記号文字のサニタイズやバリデーションではなくエスケープで対処しましょう」…なんて、もう勉強会等で話しても「そんなことは知っている。もっと新しい話題を話せ」と言われそうなんですが、まだまだ啓発が必要だという学びがありました…ちょっとしょんぼりですね
— 徳丸 浩 (@ockeghem) October 1, 2015
「messageのホワイトリスト」というのはこれか…なんか見たことのないような「対策」だな…こんなことするくらいなら、メッセージ番号を渡せばいいのに…
— 徳丸 浩 (@ockeghem) October 1, 2015
なんか(関連する)某サイトで見たのと同じような脆弱性があるから作ってるとこ同じなんだろうか…でも、その問題は指摘して一応直ったので、情報が横展開されていないのか、別会社が作って、たまたま類似の問題が出たか…
— 徳丸 浩 (@ockeghem) October 1, 2015
気になって関連するサイトを見ましたが、やはりエスケープではない方法でXSS「対策」をしている。これは「信念」のようなものだろうか。それとも、「秘伝のソース」のようなものがあって、たまたまそうなっているのが継承されているとか…
— 徳丸 浩 (@ockeghem) October 1, 2015
「XSSの最大の脅威は風評被害」という事例ばかりが積み上がるので、受ける側が業務妨害や名誉棄損で迎え撃つ可能性ばかりが高まり、けっきょくのところXSSを試みる側のリスクだけが増えていく。
— Yosuke HASEGAWA (@hasegawayosuke) October 1, 2015
その他に気になったことはこのあたり。
DJ GINSHARI@inaz2
Cookie InjectionによるHTTPSハイジャックについて調べてみる – ももいろテクノロジー
inaz2.hatenablog.com/entry/2015/10/…
謎の人物(?!)あまざけさんのブログが公開されました。>■8月末に参加したMINI Hardening Project参加レポ|ラック公式ブログ http://t.co/nvSIWx1qTi あら、そうなのね。>『環境・攻撃の詳細については口外しないように運営の方から指示』
— やまざきkei5 (@ymzkei5) October 1, 2015
Kaspersky Total Security と Small Office Security で管理者パスワードがMD5(無塩)でレジストリに格納されているそうなhttp://t.co/67RP53XQhLhttp://t.co/SzjKaBR6YL
— Neutral8✗9eR (@0x009AD6_810) October 1, 2015
https://t.co/LXlt2Fg6nW
というか他にも認証バイパスなど、何だかいっぱいありますね http://t.co/5FFPMRZNs3— Neutral8✗9eR (@0x009AD6_810) October 1, 2015
「海外のハッキング競技大会に出場したことがある」がオンサイトという意味なら、日本に数十人しかいないのでは……。あっという間に足が付きそう。https://t.co/W2DU5ENVfT
— kusanoさん@がんばらない (@kusano_k) September 30, 2015
海外のハッキング競技大会に出場したことがあります(オンライン予選)。
— kusanoさん@がんばらない (@kusano_k) September 30, 2015
本日(10月1日)からサイバーセキュリティ国際キャンペーン開催です!10月の平日は、毎日セキュリティに関する「今日のひとこと」を配信してまいります。お楽しみに! #NISC国際2015 pic.twitter.com/mQbhURY20B
— NISC内閣サイバーセキュリティセンター (@cas_nisc) October 1, 2015
今日のひとことはラオスからの提供です。「信頼できるウェブサイトからのみ、データをダウンロードしましょう」 #NISC国際2015
— NISC内閣サイバーセキュリティセンター (@cas_nisc) October 1, 2015
“北京のCIA職員撤収か サイバー攻撃、米人事情報流出で対策 – 産経ニュース” http://t.co/YWxrYtCCl1
— piyokango (@piyokango) October 1, 2015
Mozilla、起動時にクラッシュする不具合を修正した「Firefox」v41.0.1を公開 http://t.co/PmqjAUSrXN pic.twitter.com/xYFZpiOsg3
— 窓の杜 (@madonomori) October 1, 2015
http://t.co/ZdYKaNRrDg 今後も海外に遅れて日本人をターゲットにした不正広告による攻撃は激化すると思う。そして、今の所まともに防ぐ方法はブラウザとプラグインを常に最新に保つか、広告をブロックすることだけだ。安全のためにもIEを捨て広告ブロックの導入をお勧めする
— 高梨陣平 (@jingbay) October 1, 2015
Scammers use Google AdWords, fake Windows BSOD to steal money from users #cybersecurity http://t.co/mKiSgPvcXP pic.twitter.com/RF9Hw4reax
— TEAM CYMRU (@teamcymru) October 1, 2015
http://t.co/qvPs8ZDqWG 9月に私が色々とつぶやいていたマルウェアの件ですね。悪意のあるJavascriptのキーワード「gURL」「0ru」は、「ads.js」で使用されていた変数名です。
— uɐpnoz@noznʞıʞ (@kikuzou) October 1, 2015
.mario@0x6D6172696F
[レスポンスブログ]Mac OS X の「Gatekeeper」に、簡単にバイパスできる脆弱性が存在 #symantec http://t.co/sY9gCG9WPq
— 株式会社シマンテック (@Symantec_Japan) October 1, 2015
サイバーセキュリティ・ラボのスプラウトは、10月1日よりサイバーセキュリティに特化したオンライン・メディア『THE ZERO/ONE』を始動させました。https://t.co/TpRakF4gb7
— スプラウト (@sprout_group) October 1, 2015
これまで運営してきた『Cyber Incident Report』から名称ともに全面リニューアルし、日本で唯一無二のサイバーセキュリティ情報が集まる場を目指します。the01.jp
— スプラウト (@sprout_group) October 1, 2015
[エンタープライズ]Windowsに不審な更新プログラム、Microsoftが手違い認める http://t.co/CYtxWfY6Kw
— ITmedia (@itmedia) September 30, 2015
[エンタープライズ]WinRARに脆弱性報告、遠隔操作される恐れ http://t.co/4wYKUdPRC8
— ITmedia (@itmedia) October 1, 2015
[@IT]人気連載まとめ読み! @IT eBook(13):2014年版:Twitterセキュリティクラスターまとめのまとめ――セキュリティ界最前線の議論を一挙紹介 http://t.co/VCIHancyUN
— ITmedia (@itmedia) September 30, 2015
