security summary CISO とサイバー チームが今日直面している 10 の最大の問題 from csoonline.com
ある CISO は、セキュリティはまだ多くの組織の構造の一部ではないと述べています。 「より多くの組織がサイバーセキュリティをトップダウンで導入し、それを単なる技術的な問題ではなく、運用上の要件として捉えています」と同氏は付け加え、セキュリ...
2024-10
security summary 
security summary サイバー リスク評価: CISO に対するリスク評価 from csoonline.com
以下の6文に関するニュース記事。時間は、Rahmen einer ausführlichen Assessment-Prozess immer wieder weitere Sicherheitsprobleme zutage, von l...
security summary JWT 認証バイパスにより管理者コントロール パネルが表示される from infosecwriteups.com
JSON Web Token (JWT) は、ユーザーがサイトのどのページにいるかを追跡するために使用される認証方法です。 「uid」(ユーザー ID)を使用してトークンを検証するように設定された Cookie は、その後「有効」に変更され...
security summary ParrotCTF のバグ from infosecwriteups.com
これはバグ報奨金ハンターの Web サイトで、Active Directory サイトや他の Web サイトで公開されている .git ディレクトリを見つけました。この脆弱性は Firefox 拡張機能 DotGit (DoTGIF) によ...
security summary 中国のハッカーがトランプ陣営顧問の通話音声を収集 – 報道 from theguardian.com
中国政府系ハッカーらは、ドナルド・トランプ氏の匿名の選挙顧問を含む米国の政界関係者らの電話の音声を傍受した。ハッカーは個人のテキストメッセージなどの通信にもアクセスした。議会は調査を行っており、中国はあらゆる形態のサイバー攻撃とサイバーセキ...
security summary CVE-2024–0195 コード生成の不適切な制御 (「コード インジェクション」) from infosecwriteups.com
Spiderflow バージョン 0.4.3 の「CVE-2024-0195」脆弱性は重大な脆弱性です。これにより、攻撃者は影響を受けるシステム上で任意のコードを実行することができ、システムの完全な侵害や機密データの盗難につながる可能性があ...
security summary 弱いサインアップ フローで 250 ドルを獲得した方法 from infosecwriteups.com
私はこのようなかなり合法に見えるアプリをランダムに閲覧していました。サイトは私のパスワードが「password123」であっても気にせず、セキュリティをチェックしました。 Web サイトに脆弱性があることがわかりました。おそらく、Web サ...
security summary CVE-2024-44000 – セッション Cookie ハイジャックにつながる WordPress デバッグ ログの公開 from infosecwriteups.com
WordPress 用の LiteSpeed Cache プラグインでは、デバッグ ログからの Cookie の盗難による認証されていないアカウントの乗っ取りが許可されます。デバッグ ログが有効になっている場合、デバッグ ログに公的にアクセ...
security summary ハッキングに AI モデルを活用: AI を使用した CAPTCHA のバイパスはアカウント乗っ取りにつながる |バグ報奨金 from infosecwriteups.com
AI モデルを使用すると、サーバー側での発信元の検証を行わずに、CAPTCHA 画像からテキストを抽出することができました。 CAPTCHA コードは、人間が正しく読み取れるように、ガウスぼかし、しきい値処理、ペイント操作を使用して数学の問...
security summary 匿名投稿を使用してアカウント停止を回避する | Facebook バグ報奨金 from infosecwriteups.com
Facebook Bug Bounty は、匿名の投稿を使用してアカウント停止を回避することを目的としています。グループで一時停止されたユーザーは、引き続き匿名共有経由で投稿およびコメントすることができます。これは、匿名投稿では、一時停止さ...