security summary 依存関係の混乱の脆弱性による 5000 ドルの RCE の発見 from infosecwriteups.com
セキュリティ研究者とバグ賞金稼ぎが Twilio の「依存性混乱」の脆弱性を発見しました。攻撃者は、要求されていない npm 依存関係をパブリック リポジトリに公開することで、悪意のあるコードを実行する可能性があります。スクリプトに従って、...
2024-06
security summary 
security summary CSRF の阻止: JSON 悪用の隠れた危険性 from infosecwriteups.com
ハッカーは「単純な」コンテンツ タイプを使用して、GitHub によってホストされている数十の Web サイトで CSRF 保護をバイパスしました。ハッキングは json ファイルを使用して行われ、コーディングの知識がなくても保存され、攻撃...
security summary 現実世界の GitLab アカウント乗っ取り from infosecwriteups.com
GitHub は、脆弱な GitLab サーバーの悪用に関する脆弱性レポートをリリースしました。この脆弱性により、サーバーはパスワードをリセットした電子メールを両方の電子メール アドレスに送信し、攻撃者がリンクをクリックした瞬間にアカウント...
security summary API を見つけるために私が使用する 5 つの方法 from infosecwriteups.com
API は動的であり、アプリのアーキテクチャとサービスに応じて随時変更される可能性があります。たとえば、Django API は「api」にマップされ、フロントエンド経由でのみアクセスできます。同様に、他の API アプリの API エンド...
security summary OpManager: 情報開示のために連鎖した CSRF および XS-Leak from infosecwriteups.com
XS-Leak は、OpManager UI で提供される ping ツールを使用しているユーザーによって発見されました。攻撃者は、ウィンドウが完全にロードされている場合にのみアクセスできる「Child Window Origin」オブジェ...
security summary FFUF によるコンテンツ検出 from infosecwriteups.com
FFUF は、隠しファイルやディレクトリを見つけることができる Web ファザーです。これは、たとえば、raft ディレクトリの wordlist と onelistforallshort.txt を使用することにより、再帰的なコンテンツ検...
security summary 2024 年の最高の旅行用 VPN: 専門家によるテストとレビュー from zdnet.com
NordVPN は旅行に最適な VPN の 1 つとして評価されています。 30日間の返金保証があり、最低額は「コンプリート」プランで月額3.69ドル、プラスプランで月額4.59ドルからとなっている。同社は P2P 共有もサポートしており、...
security summary 私が Flipper Zero で行っている 7 つのクールで便利な事 from zdnet.com
169 ドルの Flipper Zero には、リモコンを含むあらゆるデバイスで実行できるソフトウェアが組み込まれています。このデバイスは、RFID カードやその他のセキュリティ コードを読み取ってクローンを作成できるだけでなく、赤外線モジ...
security summary インド、新たな Discord ハッキングで進化したサイバースパイに直面 from csoonline.com
UPX で圧縮された ELF には、DSOP.pdf とは別に、DISGOMOJI マルウェア ペイロードが含まれており、実行時に IP アドレス、ユーザー名、ホスト名、オペレーティング システム、現在の作業ディレクトリなどのシステム情報を...
security summary ハッカーがスノーフレークからチケットマスターのデータを盗んだとされる方法を詳述 from wired.com
ハッカーは EPAM ワーカーを直接ハッキングすることはできませんが、情報窃取者によって盗まれた資格情報の古いリポジトリから取得したユーザー名とパスワードを使用して Snowflake アカウントにアクセスしました。ハッカーは他の「ビジネス...