2025-10

マルチモーダルAI、ハッカーにとって全く新しいソーシャルエンジニアリングの遊び場 from securityboulevard.com security summary

マルチモーダルAI、ハッカーにとって全く新しいソーシャルエンジニアリングの遊び場 from securityboulevard.com

マルチモーダルAIシステムは、画像内に悪意のあるプロンプトを直接埋め込むことで侵害を受ける可能性があり、視覚的な入力を事実上実行可能なコマンドに変換します。攻撃者は音声またはテキスト入力を乗っ取って実行可能にし、コマンドを実行します。これは...
2025.10.10
security summary
JavaScript ファイル内の隠れた API エンドポイントを見つけるための初心者向けガイド from infosecwriteups.com security summary

JavaScript ファイル内の隠れた API エンドポイントを見つけるための初心者向けガイド from infosecwriteups.com

初心者向けガイドを使用すると、JavaScriptファイル内に隠されたAPIエンドポイントパスを見つけることができます。エンドポイントへのパスは通常、「api/v1/secure_adminList」でマークされています。これにより、手動で...
2025.10.10
security summary
SideFXのメッセージングシステムにおける500ドル相当の保存型XSSバグ from infosecwriteups.com security summary

SideFXのメッセージングシステムにおける500ドル相当の保存型XSSバグ from infosecwriteups.com

Houdiniユーザー向けコミュニティハブであるSideFXに、保存型クロスサイトシナリオスクリプティング(XSS)の脆弱性が研究者によって発見された。研究者によると、このバグはオープンフォーラムで報告された後に発見されたという。「他のユー...
2025.10.10
security summary
バグ報奨金のためのワンクリックですべての偵察 from infosecwriteups.com security summary

バグ報奨金のためのワンクリックですべての偵察 from infosecwriteups.com

「Bad Bounty World」のハンターは、偵察技術を用いてバグをハンティングする能力で知られています。偵察技術は、IDやIDORバグの取得に役立ちます。XSS、IDOR、PIIデータ漏洩、アクセス制御の不備(BAC)などのバグを見つ...
2025.10.10
security summary
信じられないセキュリティホール:シリーズBの資金調達を受けた企業のJWTシークレット from infosecwriteups.com security summary

信じられないセキュリティホール:シリーズBの資金調達を受けた企業のJWTシークレット from infosecwriteups.com

JWTトークンを使用してみたところ、ユーザーアカウントへのアクセスに使用されているキーが無効であることがわかりました。パスワードは「XXX」に変更されましたが、エラーとして返されました。これにより、パスワードをより細かく制御できるようになり...
2025.10.10
security summary
ビジネスロジックエラー – テストカードによる支払いのバイパス from infosecwriteups.com security summary

ビジネスロジックエラー – テストカードによる支払いのバイパス from infosecwriteups.com

YWH/HackerOneプログラムは、実稼働環境で決済テストカードの認証情報をフィルタリングするための基本的なチェックをいくつか実装しています。しかし、ビジネスロジックは詳細が本物であるかどうかを検証できず、ゲートウェイはそれを受け入れま...
2025.10.10
security summary
政治のレッドピルング – カリフォルニア州の政治ディープフェイクに関する法律を裁判所が無効とする from securityboulevard.com security summary

政治のレッドピルング – カリフォルニア州の政治ディープフェイクに関する法律を裁判所が無効とする from securityboulevard.com

AIが生成した、候補者が虚偽の発言をしている様子を描写した動画や音声クリップは「実質的に欺瞞的」とみなされ、その他のものは「リベンジポルノ」とみなされます。裁判所は、このようなコンテンツは名誉毀損や真の脅迫に該当するとしても保護されると判決...
2025.10.10
security summary
今すぐテレビの ACR を無効にしてください (プライバシーへの影響も) from zdnet.com security summary

今すぐテレビの ACR を無効にしてください (プライバシーへの影響も) from zdnet.com

eMarketerの推計によると、広告主は2022年に自動コンテンツ認識(ACR)を搭載したスマートテレビに186億ドルを費やしました。この技術は、ユーザーが視聴するすべてのコンテンツに関するデータを収集し、中央データベースに送信して、広告...
2025.10.10
security summary
シャドウAI:エージェントアクセスとデータリスクの新たなフロンティア from securityboulevard.com security summary

シャドウAI:エージェントアクセスとデータリスクの新たなフロンティア from securityboulevard.com

AIエージェントは、従来のセキュリティツールを回避し、コンテキストや意図に関わらず規制対象データにアクセスし、それに基づいて行動することができます。最近の例として、保護対象の医療情報を含むElasticsearchデータベースが、エージェン...
2025.10.10
security summary
オーストラリアの最新ニュース:無所属のソフィー・スキャンプス議員、ポーコック議員の追放を受け議会スポーツクラブを退会。ポレパンカの捜索に警官が増員 from theguardian.com security summary

オーストラリアの最新ニュース:無所属のソフィー・スキャンプス議員、ポーコック議員の追放を受け議会スポーツクラブを退会。ポレパンカの捜索に警官が増員 from theguardian.com

ニューサウスウェールズ州議会議員のデイビッド・ポーコック氏は、賭博業界のスポンサーシップについて懸念を表明したため、ニューサウスウェールズ州のパーラメンタリー・スポーツクラブへの入場を禁止された。クラブ会員は、このクラブはロビイストが政治家...
2025.10.10
security summary
次のページ