AndroidおよびiOSのInstagramアプリに存在するMozjpeg実装に係る脆弱性について

CheckPointより、 AndroidおよびiOSのInstagramアプリに存在するRCE脆弱性の内容が公開されました。 research.checkpoint.com 当該脆弱性については、2020年2月10日にFacebookよりリリースされたパッチにて修正済みです。 以前にも、Instagramの脆弱性はご紹介しましたが、この時はパスワードリセットの仕組みに問題があり、アカウント乗っ取りができてしまうというものでした。 micro-keyword.hatenablog.com 今回公開されたRCE脆弱性は半年前に修正済みでもありますし、悪用の事実も確認されていないとのことなので、緊…

Magentoで構築されたECサイトを狙った過去最大規模の攻撃について

ECサイトのセキュリティ対策などに強みを持つオランダのセキュリティベンダSansecの発表により、今週末(2020年9月11日~14日)にかけて、Magentoで構築されたECサイトに対する過去最大規模の攻撃が観測されたことが明らかになりました。 sansec.io 本攻撃は、特にMagentoで構築されたECサイトを狙う攻撃グループとして知られるMagecartによる攻撃だとされています。 Magecartについては、過去の記事でも紹介しているので、ご参考にしてください。 micro-keyword.hatenablog.com micro-keyword.hatenablog.com 目次…

PayPayやメルペイは関係ないでいいんだっけ？ドコモ口座の不正送金問題を踏まえた考察

9月8日ごろから話題になっている、「ドコモ口座を悪用した不正送金問題」について、当ブログでも深堀りをしようと思い、まとめることにしました。 www.nikkei.com 以前、7pay事件の際にも、記事を書きましたが、ちょっと似たような空気を感じています。 micro-keyword.hatenablog.com 理由については、記事の最後で書きますが、まずは本題から行きましょう。 目次 まずは不正送金の流れを確認 攻撃者はどうやって暗証番号を入手するのか なぜ自身の銀行口座が他人のアカウントに紐づくのか 攻撃者目線で考えるSMS認証の重要性 SMS認証に対応している決済サービス 銀行口座登録…

WordPressのプラグインFile Managerの脆弱性を悪用した攻撃が確認。70万以上のサイトに影響か。

Wordfenceのブログにて、WordPressのプラグインFile Managerに存在していたゼロディ脆弱性と攻撃の悪用情報が明らかになりました。 wordfence.com 当該脆弱性のパッチは、昨日、2020年9月1日(現地時間)に公開されたとのことですが、アクティブインストールの数も700,000件を超えており、早急なバージョンアップが推奨されています。 当記事では、脆弱性に関する情報と周辺情報をまとめ、公開します。 目次 脆弱性の概要と影響範囲 利用状況と日本ユーザへの影響予測 WordPress運用者へのススメ まとめ 脆弱性の概要と影響範囲 Wordfenceの脅威インテリジ…

WindowsにVisual Studio CodeをインストールしてDjangoの開発環境を快適にしてみた

先日、やってみた系の記事として、Djangoで作ったアプリケーションをAWS Elastic Beanstalkへデプロイする方法をご紹介しました。 今回は、デプロイする前の開発段階で、ローカルのコーディングをより効率化する開発環境のご紹介です。 タイトルですでにお察しかとは思いますがVisual Studio Code、通称VSCodeです！ 今回は、VSCodeの簡単なご紹介とDjangoの開発環境構築チュートリアルをご紹介します。 アプリケーション開発に限らず、HTMLやCSS、Markdownの編集やPythonやRuby、JavaScriptのコーディングにも使えてとても便利なので、…