wp.bmemo.pw

自分のための覚書・備忘録

「 セキュリティー 」 一覧

GitHubの優秀な検索のせいでAWSなどのアクセスキーが流出している件

2018/01/08   -AWS, セキュリティー

GitHubって便利ですよね。この前AWSを使ったコードを書きました。 AWSの全データセンターから最も価格の低いスポットインスタンスを検索するスクリプト で、これ書く前、参考にGitHub漁ってたん …

no image

Raspberry Pi やAndroid でAMラジオを発信する

エアギャップネットワーク / コンピュータ というものをご存知でしょうか。LAN、WLAN、BT等の公衆ネットワークから完全に切り離されたスタンドアロンのネットワーク / コンピュータのことです。 こ …

Avast! 無料版 WEBスキャン機能の脆弱性

最近見つけたけど僅差で先を越されて報奨金取りそこねた脆弱性の解説をします.既に直ってます. 大手のアンチウイルスソフトには「WEBセーフスキャン」だとか「HTTPSスキャン」とかいう「暗号化されたHT …

BugBountyの賞金が口座に振り込まれるまでのメモ

2017/01/21   -セキュリティー, 日記

先日,某アンチウイルスのバグを報告し賞金を頂きました.発見から報告まで自分ともう一人の二人体制でやったため賞金は折半ですが,賞金の引き出しは私がやったためメモに残しておこうかと思います.バグの詳細は修 …

Dirty Cowを使ってDocker から不正に脱出する

乗り遅れましたが CVE-2016-5195 で報告された脆弱性,通称「Dirty Cow」です.この脆弱性は特権昇格に脆弱性を持ちますが,公開された幾つかのPoCの一つに,Dockerコンテナ内で適 …

「ゴルスタ」は個人情報収集アプリなのか?アプリ権限を確認してみる

2016/08/26   -セキュリティー

「ゴルスタ」アプリは中高生限定のアプリで同年代同士匿名でコミュニケーションを撮ったり出来るアプリなのですが,その運営体制にちょっと火がつきました この件に関してはあまり興味が無いので,この炎上案件のつ …

WordPressとMarkdownを使ったXSS

去年見つけたXSS紹介します. WordPress上でとあるMarkdownプラグインを使用すると,JavaScriptの投稿を禁じられたユーザーでもJavaScriptを投稿できるようになります.複 …

強力だけど覚えやすくて打ちやすいパスワードの作成方法

2016/02/03   -セキュリティー

正直パスワードがランダム文字列だと覚えられないし打ちにくい。楽したい でも世間はそれを許してくれない。比較的強力だけど覚えやすいパスワードの作成方法で、自分が実践している方法を紹介します 文章化する …

カスペルスキーがWEBサイトに不審なスクリプトを埋め込んでいた件

2015/11/11   -WEB, セキュリティー

タイトルが不穏ですが調査やサポートに連絡した結果「通常使用は問題ない」との結論になりましたので先に言っておきます。じゃあなぜ記事にしたかというと「WEBサイト作るときに超困る」からです。 追記:以下の …