security summary 攻撃者がソーシャル エンジニアリングを活用して詐欺行為をより成功させる方法 from csoonline.com
ソーシャル エンジニアリング攻撃は、ビジネス メール侵害 (BEC) で蔓延しており、ハッカーが被害者を操作して機密情報を漏らしたり、悪意のあるファイルを開かせたりします。攻撃者は、個人を特定できる情報を使用して技術管理者をだまして、パスワ...
2024-03
security summary 
security summary Entro はマシン ID ライフサイクル管理を合理化します from securityboulevard.com
Entro Security は、マシン ID を検出して管理するためのライフ サイクル管理機能をプラットフォームに追加しました。この機能はフォレンジック分析に基づいており、マシンの秘密を特定して保護するのに役立ちます。特に、Entros ...
security summary 変革医療ランサムウェア攻撃の背後にいるハッカー、2,200万ドルの支払いを受け取った from wired.com
医療会社Change Healthcareを標的としたランサムウェア攻撃で2人の被害者が出ており、うち1人は同様の攻撃の被害者となっている。被害者は、当時の為替レートに基づいて、身代金をビットコインで支払いました。これに先立ち、ハッカーらは...
security summary CISA、重要インフラを攻撃するフォボス・ランサムウェア・グループを警告 from securityboulevard.com
ランサムウェア「Phobos」は 5 年前から存在しており、複数の亜種が含まれています。 FBIによると、侵害されたシステム上のファイルを暗号化した上で身代金を要求し、それを公開すると脅迫するという。ファウストの亜種は、Smokeloade...
security summary 新しい GTPDOOR バックドアは通信事業者ネットワークをターゲットに設計されています from securityaffairs.co
セキュリティ研究者が、通信事業者ネットワークをターゲットに設計された「GTPDOOR」(GtpDoor と呼ばれる) を発見しました。バックドアは、悪意のあるペイロードを含む受信 GTP-C エコー リクエスト メッセージをリッスンし、それ...
security summary プロのように認証エンドポイントのレート制限をバイパスします……! from infosecwriteups.com
ヘッダーを使用すると、認証エンドポイントのレート制限をバイパスできます。最初のステップは、リクエスト本文から CAPTCHA パラメータを削除し、予期しない結果が得られるようにメッセージを Intruder に送信することです。もう 1 つ...
security summary Github Dorking: リポジトリ内のシークレットを見つけるための初心者ガイド from infosecwriteups.com
GitHub Dorking は、高度な検索クエリを使用して、Git リポジトリ内に隠された宝物を見つける手法です。高度な検索を使用して脆弱性、構成ミス、機密データを発見する「Google Dork」のような技術は、バグ賞金稼ぎを支援するた...
security summary Google Dorking: 脆弱性を見つけるための初心者ガイド from infosecwriteups.com
Google ハッキングとも呼ばれる Google Dorking は、高度な検索演算子を使用して機密情報を明らかにする検索手法です。これは、適切に保護されていない可能性がある管理インターフェイスのログイン ページを見つけるのに役立ちます。...
security summary 侵入テスト方法論の総合ガイド: ゼロからヒーローまで from infosecwriteups.com
「侵入テスト」は、最も狡猾な敵対者からネットワークとシステムを保護するために専門家によって使用される方法です。物理的な攻撃にはデバイスへの直接アクセスが含まれ、攻撃者がハードウェアとソフトウェアの脆弱性を悪用する可能性があります。攻撃者は物...
security summary ブラインド XXE 脆弱性の発見と悪用 from infosecwriteups.com
ブラインド XXE 攻撃は、アプリケーションが外国人排斥に対して脆弱であるにもかかわらず、その応答内で定義された外部エンティティの値を返さない場合に発生します。攻撃者は、通常、悪意のある DTD を自分の Web サーバーにロードすることで...