ユーザーがアカウントを作る前に乗っ取る、常識破りの「事前ハイジャック」の手口

Webサービスなどのアカウントを乗っ取るサイバー攻撃が相次いでいる。今回米Microsoft(マイクロソフト)の研究者らは、特定のユーザーのアカウントを、そのユーザーが作成する前に乗っ取れることを示した。「事前ハイジャック攻撃」や「プリハイジャック攻撃」などと呼ぶ。 従来の攻撃では、攻撃者は正規ユーザーのIDや…

自治体のそっくり偽サイト相次ぐ 公式が「消えた」自治体も:朝日新聞デジタル

自治体のウェブサイトになりすました偽サイトが相次ぎ確認されている。特定の検索エンジンで検索すると、公式サイトが一切表示されず、偽サイトが上位に表示されるケースもある。自治体は、偽サイトをひらくとウイルス感染などの恐れがあるとして、注意を呼びかけている。 徳島市は9日、「不正に個人情報が抜き取られる…

SPAセキュリティ入門~PHP Conference Japan 2021 | ドクセル

作者について: 徳丸本の中の人 OWASP Japanアドバイザリーボード EGセキュアソリューションズ取締役CTO IPA非常勤職員 YouTubeチャンネル: 徳丸浩のウェブセキュリティ講座 https://j.mp/web-sec-study スライド一覧 各ページのテキスト 1. SPAセキュリティ入門 EGセキュアソリューションズ株式会社 徳丸 浩 2. 徳丸浩の…

SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 – @mizumotokのブログ

SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保…

SSVCを参考にした脆弱性管理について本気出して考えてみている(進行中) – ペネトレーションしのべくん

はじめに ここ最近脆弱性管理についてずっと考えていたのですが、SSVCを知ってからというもの、かなりシンプルに考えられるようになりました。試み自体はまだ途上なのですが、以下のようなことを目的として、SSVCの概要や、現時点での経過や私の考えを文字に起こしてみます。 アイデアを整理したい 脆弱性管理・運用に悩…

Load cross-origin resources without CORP headers using `COEP: credentialless` – Chrome Developers

Load cross-origin resources without CORP headers using `COEP: credentialless`Cross-origin resources served by third-parties often do not include adequate CORP headers. If they can be requested without credentials, now you can enable cross-origin isolation by marking them as such. Published on Thu…

[無料]3分で読める、初めて山に登る人が読むべき情報|松本圭司@ジオグラフィカ開発者|note

最近、都市近郊の低山を登る人が増えていて、同時に低山での山岳遭難も増えているそうです。なので、初めて登山する人が注意すべき装備や行動を最低限書きました。 お願いですから、これくらいは読んでから山に入ってください。 対象読者初めて山に登る人、連れて行ってもらったことあっても自分で予定などを決めて登る…

送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説-エンタープライズIT [COLUMNS]

送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説 実在するメールアドレスを悪用して、マルウェアに感染させたり、ID/パスワードなどの重要情報を騙し取る「なりすましメール」の被害が後を絶ちません。偽の口座に直接金銭を振り込ませるなどの実害も発生しています。なり…