security summary 同じHTML内の複数のDOM XSSをdorkで検索する from openbugbounty.org
1 か月前に「バグ報奨金」を検索しようとしたところ、HTML ドメインが表示されて見つかりました。 PHP で title を使用して検索しようとしても問題ありませんでしたが、Duckduckgo で試してみると、数十の異なるドメインが存在...
2023-07
security summary security summary 認証バイパスの脆弱性の手法 from openbugbounty.org
セキュリティ チェックにより、「sso」でログインした後、特定のアプリケーションに対して JWT トークンが生成されないことが判明しました。テストは成功しましたが、アプリケーションは 0 文字のみのエラー メッセージを返しました。他にも、J...
security summary コマンドインジェクションの脆弱性を学ぶ from openbugbounty.org
さまざまなシェル メタキャラクタを使用して、OS コマンド インジェクション攻撃を実行できます。 「inventory」コマンドが予期された引数なしで実行されたため、エラー メッセージが返されました。 ping コマンドは、アプリケーション...
security summary DTEX InTERCEPT と Microsoft 365 E5: パートナーの機会 from securityboulevard.com
DTEX と Microsoft 365 E5 は、価値実現までの時間を短縮し、顧客への導入を確実に成功させたいと考えている企業にとって、素晴らしいパートナーの機会です。 Dtex と MS は、すべての Microsoft 製品からのアラ...
security summary アドビ、ColdFusion の脆弱性が悪用されているため、新しいパッチを公開 from thehackernews.com
アドビは、Adobe ColdFusion の「CVE-2023-38205」脆弱性の不完全な修正に対処するための新たなアップデートをリリースしました。この欠陥は、「セキュリティ バイパス」を引き起こす可能性がある不適切なアクセス制御の例で...
security summary 自分のコンピュータをマルウェアに感染させた後、攻撃者が特定される from securityboulevard.com
イスラエルのサイバーセキュリティ会社ハドソンロックによると、企業のコンピュータシステムへのハッキングで知られるLaCitrixのようなハッカーは、ダークウェブ上で侵害されたシステムへのアクセスを販売していたという。ブラックハットハッカーは誤...
security summary 中国関連のハッカーが WyrmSpy と DragonEgg スパイウェアでモバイル デバイスを狙う from threcord.media(cybercrime)
中国のハッカーは、WyrmSpy および DragonEgg と呼ばれるスパイウェア株を使用してモバイル デバイスをターゲットにしています。このマルウェアは、ユーザーに通知を表示するために使用されるデフォルトのオペレーティング システム ア...
security summary DDoS攻撃の巧妙化の「憂慮すべきエスカレーション」、Cloudflareが語る from securityboulevard.com
コンテンツ配信ネットワークプロバイダーのCloudflareによると、金融システムへの攻撃はますます高度化、複雑化しているという。この攻撃は、大量のインターネット トラフィックで Web サイトやネットワークを圧倒するように設計されています...
security summary LLM パッケージの依存関係によりアプリが脆弱になる: レポート from csoonline.com
サイバーセキュリティ企業は、2022 年 1 月以降、OpenAI API 呼び出しをサポートするパッケージの数を追跡した「依存関係管理の現状 2023」をリリースしました。レポートではさらに、2024 年 1 月 20 日の ChatGP...
security summary バイデン政権。 「傭兵スパイウェア」企業を禁止リストに追加 from securityboulevard.com
米国政府は、新たに外国テクノロジー企業2社、IntellexaとCytroxを輸出禁止リストからブラックリストに追加した。これらの企業は、厄介なスパイウェア Predator の御用達です。 iPhoneに感染するスパイソフトウェアに名前が...