SPONSORED LINK
2016年7月25日のtwitterセキュリティクラスタです。アクセス制御を回避されてたんですね。
生徒にいろいろやられてた佐賀県教育システムの調査についていろいろと
徳丸 浩@ockeghem
『自分のIDでログインして生徒権限を教師権限に変更する操作を行いアクセスした』<ここは脆弱性でしょうね。セキュリティ強化よりもモラル教育が前面に出ている印象 / “学校教育ネットワークの不正アクセス事案に係る生徒調査の結果につい…” htn.to/8mcZ28
徳丸 浩@ockeghem
脆弱性診断の経験などからして『生徒権限を教師権限に変更する操作』の例としては下記が予想されます。
URLのパラメータ role=student を role=teacher に変更する
冗談みたいでしょ。この手は意外に多いんです twitter.com/ockeghem/statu…
徳丸 浩@ockeghem
まぁ、URLだったり、POSTだったり、Cookieだったり色々ではありますが、簡単に変更できることには変わりません RT @tomoko_o: URL????まじコワイ twitter.com/ockeghem/statu…
ピッポ@ジグヘッダーズ@jj_202
まさにこれ。似たようなことやったわ。そもそもなんでURLにこんなパラメータ見えるように入れてんの?って思ったら、jsでブラウザのアドレスバー隠そうとしてた。firefoxには無効のjsで。
タモ㌠は日陰おひるね作戦ですっ!@tamosan
SEI-NETのみ。無線LAN側も気になりますね:学校教育ネットワークの不正アクセス事案に係る生徒調査の結果についてお知らせします / 佐賀県 pref.saga.lg.jp/kiji00349413/i…
タモ㌠は日陰おひるね作戦ですっ!@tamosan
@tamosan (補足)記事を見ると、「自分の学習用PCのIDとパスワードを教えた者 2名 ※2名はIDとパスワードがどのような目的で使われるか等は一切知らなかった。」とのくだりが、ちょっと恐ろしいものを感じましたよ。
中村竹七@Takeshich
すごく不可解なことが書かれていて、色んな意味で置いてけぼり。まとめた人がわかった人にチェックしてもらってないんだろうか。。。なんだろうこの斜め上。 / “学校教育ネットワークの不正アクセス事案に係る生徒調査の結果についてお知らせ…” htn.to/bZe54G
中村竹七@Takeshich
SEI-Netへ自分のIDでログインして生徒権限を教師権限に変更する操作を行いアクセスしたけれども、アクセスログ、監査ログを解析しても、教師権限で行える変更などは行っていなかったということなのかなぁ。
pref.saga.lg.jp/kiji00349413/i…
pref.saga.lg.jp/kiji00349413/i…
中村竹七@Takeshich
「(アクセスできる)隠しフォルダにあった校内の全生徒と全職員のID・パスワードを入手し保存していた。(利用はしていない。)」だけで、なんで厳重に注意されんだろうな。置いた側に注意されんの納得行かなくない?
pref.saga.lg.jp/kiji00349413/i…
pref.saga.lg.jp/kiji00349413/i…
Ka-Ka@ka_ka_xyz
生徒から教師へのフィッシング事例(「このPCからログイン出来ない」と報告して偽画面から教師のIDでログインさせるタイプ)が複数報告されてて興味深い。教育現場だとこういう危険があるのか。 / “学校教育ネットワークの不正アクセス事…” htn.to/GxZ9iz
その他に気になったことはこのあたり。
北河拓士 KITAGAWA,Takuji@kitagawa_takuji
備忘録: ランサムウェア対策としてのバックアップに関するいくつかの誤解 kitagawa-takuji.blogspot.com/2016/07/blog-p…
Neutral8✗9eR@0x009AD6_810
バックアップソフトも良いけど、同じ発想で VeraCrypt のコンテナやパーティション暗号化、ドライブ全体暗号化などで、マウント > バックアップ > アンマウント の操作をを自動化するなどの方法も良さげな感じがします kitagawa-takuji.blogspot.jp/2016/07/blog-p…
nobuhiro tsuji@ntsuji
高度セキュリティ人材とかトップガン人材の育成が急務とおっしゃる方々におかれましてはそれらの足りない人数だけではなく、その業務の「日給」も合わせて言及していただきたく。
nobuhiro tsuji@ntsuji
あと「高度セキュリティ人材」や「トップガン人材」が何をする人なのか。どんなスキルセットが要求されるのかを具体的に説明していただきたいものです。
lumin@lumin
官公庁が考える高度セキュリティ人材若しくはトップガン人材の日給は?
徳丸 浩@ockeghem
『現在使用していない過去のウェブページが一部残存していること、さらに、そのウェブページのソースコード(PHP)の一部が、外部から確認できる状態…第三者から情報提供』 / “IPAが運営するウェブサイトに関する情報提供と対応完了に…” htn.to/iweevD
Isao Takaesu@bbr_bbq
本日のAISECjpで話した内容をSlideShareしました。
機械学習でWebアプリの脆弱性を見つける – Reflected XSS 編 – #machinelearning slideshare.net/babaroa/web-re… @SlideShareさんから #AISECjp
機械学習でWebアプリの脆弱性を見つける – Reflected XSS 編 – #machinelearning slideshare.net/babaroa/web-re… @SlideShareさんから #AISECjp
Kyoko HANADA (花田 経子)@cchanabo
#cchanabomemo #yuzawaws
情報セキュリティワークショップin越後湯沢2016の一般参加申し込みは、8/1を予定しております。anisec.jp/yuzawa/?info=8…
今年もどうぞよろしくお願いします。(なかのひとより)
情報セキュリティワークショップin越後湯沢2016の一般参加申し込みは、8/1を予定しております。anisec.jp/yuzawa/?info=8…
今年もどうぞよろしくお願いします。(なかのひとより)
上原 哲太郎@tetsutalow
“「情報セキュリティワークショップin越後湯沢 2016」への参加申し込みは、 こちらのページから、8月1日(月)より開始いたします。”今年も瞬殺が予想される…一瞬の油断が命取りだぜ… / “参加登録 | 情報セキュリティワーク…” htn.to/AsNE63
ISC2_Japan@ISC2_Japan
今年も「情報セキュリティワークショップ in 越後湯沢」ブース出展します。 twitter.com/yuzawaws/statu…
rryu@rryu2010
セキュリティ事案かと思ったらunityのRich Textらしい。この部分だけうっかりリッチテキストを有効にしたっぽい。 / “#ポケモンGO ニックネームにHTMLのタグが使えて太字や斜体にできる! – Togetterまとめ” htn.to/rek9KT
警視庁犯罪抑止対策本部@MPD_yokushi
(この画像は、出勤後、「作ろう!」ということになり急遽作成いたしました。ですから、言葉もあまり練れていないところがありますが、「~しない」や「やめましょう」という禁止の文言は極力使わずに作成いたしました…)(甲) pic.twitter.com/jdPAPfKUQi
ITmedia@itmedia
[ねとらぼ]超絶かわいい警視庁公認ケモノ娘“テワタサナイーヌ”から「ポケモンGO」トレーナーへお願い! 「安全に楽しくプレイしてね!」 bit.ly/2ajZCIE
.mario@0x6D6172696F
AngluarJS sandbox bypasses for each and every version (1.2.0 to 1.5.7):
pastebin.com/xMXwsm0N (credits @garethheyes @cure53berlin @tehjh)
pastebin.com/xMXwsm0N (credits @garethheyes @cure53berlin @tehjh)
High-Tech Bridge SA@htbridge
Researchers used 0day RCE in PHP to hack PornHub via #BugBounty securityweek.com/researchers-us… #websecurity
yaworsk@yaworsk
Published new version of leanpub.com/web-hacking-101. Includes examples from @esevece @zseano @strukt93 @brutelogic and tools thanks to @Jhaddix
Rob Waters@r0bertwaters
Time For Apple Inc. (AAPL) To Consider Bug Bounties #Apple $AAPL #bugbounty #cybersecurity apple.news/Ac1smnrteS5aHg…
SecurityInsight.jp@sec_insight
日本ヒューレット・パッカード、サイバー犯罪を後押しする地下経済を広く検証した「ハッキングビジネス」レポートの日本語版を発行:
日本ヒューレット・パッカードは7月22日、サイバー犯罪を後押しする地下経済を広く検証した… tinyurl.com/jk7qrjt
日本ヒューレット・パッカードは7月22日、サイバー犯罪を後押しする地下経済を広く検証した… tinyurl.com/jk7qrjt
セキュリティ・トレンド bot@sec_trend
「CTCセキュリティサミット2016」に見る、セキュリティ実現に必要な3つのキーワード
business-on-it.com/security_16072… – izumino.jp/Security/sec_t…
business-on-it.com/security_16072… – izumino.jp/Security/sec_t…
スラド 公式@sradjp
hardware.srad.jp/story/16/07/25… #hardwarehack 3DSソフト「プチコン3号 SmileBASIC」で任意のコードを実行できる問題が確認される
ITmedia@itmedia
[TechTargetジャパン]中小企業こそ真剣な取り組みを:専門家も意見が分かれる「ランサムウェアに身代金を払うべきか、払わないべきか?」 bit.ly/29Y02lw
ITmedia@itmedia
[@IT]端末を遠隔操作するバックドア型アプリも存在:Pokemon GOの「偽アプリ」にご用心 bit.ly/2a4EcCi
CNET Japan@cnet_japan
「Clash of Kings」の公式フォーラムがハッキング被害–約160万件のアカウント情報が流出 japan.cnet.com/news/service/3…
CNET Japan@cnet_japan
スノーデン氏、情報漏えいを防ぐ「iPhone」ケースをデザイン japan.cnet.com/news/service/3…
INTERNET Watch@internet_watch
Android 4.1.2以前の機種に2つの脆弱性、不正アプリから電話をかけさせられる恐れなど internet.watch.impress.co.jp/docs/news/1012… pic.twitter.com/suqkhaS6wi
kusanoさん@がんばらない@kusano_k
アップデートが提供されていない端末はどうすれば…?
“アップデートが提供されていない端末では対策方法がないことから公表されていなかった”
Android 4.1.2以前の機種に2つの脆弱性、不正アプリから電話をかけさせられる恐れなど
internet.watch.impress.co.jp/docs/news/1012…
“アップデートが提供されていない端末では対策方法がないことから公表されていなかった”
Android 4.1.2以前の機種に2つの脆弱性、不正アプリから電話をかけさせられる恐れなど
internet.watch.impress.co.jp/docs/news/1012…
https://matome.naver.jp/odai/2146942877128393101
2016年07月26日
