[雑談] いろいろ。

• PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由 | 徳丸浩の日記

PHPにはエスケープ関数が何種類もあるけど、できればエスケープしない方法が良い理由

このエントリは、 PHP Advent Calendar 2021 の20日目のエントリです。19日目は @takoba さんによる  PHPプロジェクトのComposerパッケージをRenovateで定期アップデートする でした。 SQLインジェクションやクロスサイトスク...

https://blog.tokumaru.org

• JPCERT/CC、Apache Log4j 2の脆弱性狙った攻撃の観測状況を公開 | TECH+

JPCERT/CC、Apache Log4j 2の脆弱性狙った攻撃の観測状況を公開

JPCERTコーディネーションセンター（JPCERT/CC）は12月17日、公式ブログ「JPCERT/CC Eyes」において、Apache Log4j 2.xに報告されているリモートコード実行の脆弱性を狙った攻撃に関する観測結果を公表した。12月10日以降、JPCERT/CCが設置している観測用のハニーポットでも多数の攻撃活動が観測されているという。

https://news.mynavi.jp

• 「Apache Log4j」の脆弱性、ワーム化の懸念など--セキュリティ専門家はどう考える？ - ZDNet Japan

「Apache Log4j」の脆弱性、ワーム化の懸念など--セキュリティ専門家はどう考える？

「Log4Shell」を悪用するワームが作られ、武器化されることは「最大の懸念」だとする研究者がいる一方、恐怖が「強調されすぎている」と指摘する専門家もいる。

https://japan.zdnet.com

• ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃 - ZDNet Japan

ベルギー国防省に「Apache Log4j」を悪用したサイバー攻撃

ベルギー国防省は、同省のネットワークが「Apache Log4j」の脆弱性を利用したサイバー攻撃を受けたことを認めた。

https://japan.zdnet.com

• Apache、Log4jに関する3つ目の修正パッチを公開　新たな脆弱性を修正 - ITmedia エンタープライズ

Apache、Log4jに関する3つ目の修正パッチを公開　新たな脆弱性を修正

Apache Log4jを巡る一連の脆弱性問題で、新たな脆弱性が発見された。Apacheはこれを受けて3つ目のセキュリティパッチを公開した。すでにアップデートをした場合も、現在のバージョンを確認するとともに対策に取り組んでおきたい。

https://www.itmedia.co.jp

• 「Log4j」に新たな脆弱性、深刻度は「High」　バージョン2.17.0へのアップデートを呼び掛け - ITmedia NEWS

「Log4j」に新たな脆弱性、深刻度は「High」　バージョン2.17.0へのアップデートを呼び掛け

The Apache Software Foundation（ASF）がJava環境向けのログ出力ライブラリ「Log4j 2」のバージョン2.17.0の配布を始めた。新たに見つかったDoS攻撃を引き起こす脆弱性「CVE-2021-45105」を修正する。

https://www.itmedia.co.jp

• 「MSEdgeRedirect」にリモートコード実行脆弱性 ～Edgeで開かれてしまうリンクを既定ブラウザーで開くツール - 窓の杜

「MSEdgeRedirect」にリモートコード実行脆弱性 ～Edgeで開かれてしまうリンクを既定ブラウザーで開くツール／ウィジェットのリンクを好みのブラウザーで。OSの検索機能をGoogleに置き換えることも可能

　「Microsoft Edge」で開かれてしまうリンクをシステム既定のWebブラウザーで開けるようにするツール「MSEdgeRedirect」v0.5.0.1が、12月20日（日本時間）に公開された。リモートコード実行（RCE）の脆弱性を修正したセキュリティアップデートとなっている。

https://forest.watch.impress.co.jp

• Fridaを用いてマルウェアの動作を解析・変更する - NTT Communications Engineers' Blog

Fridaを用いてマルウェアの動作を解析・変更する - NTT Communications Engineers' Blog

この記事は NTTコミュニケーションズ Advent Calendar 2021 の19日目の記事です。 はじめに こんにちは。イノベーションセンターテクノロジー部門の田中と申します。インターネットにおける攻撃インフラ撲滅に向けた追跡活動を主に行っています。例えば、追跡中のIPアドレスは真に該当マルウェアのC2であるか、現在も活動中であるか等をOSINTを活用して精度を上げて特定していくのですが、さらに情報が必要になるケースがあります。その際に、有力な技術の1つになるのが、マルウェアやC2に与える情報を制御し、挙動の差異を観測するという手法です。本記事では、Fridaというツールを利用して、解…

https://engineers.ntt.com

• incognitoから紐解くトークン偽装攻撃の仕組み - NFLabs. エンジニアブログ

incognitoから紐解くトークン偽装攻撃の仕組み - NFLabs. エンジニアブログ

こんにちは。NFLabs. 事業推進部の中堂です。 この記事は NFLabs. アドベントカレンダー9日目です。 今回は、Windows環境に対するペネトレーションテストで多用される「トークン偽装(Token Impersonation/Theft)」という攻撃テクニックについて解説したいと思います。 トークン偽装は、簡単に言えば別ユーザーになりすますことができる手法ですが、どのような仕組みになっているのでしょうか。 この仕組みを理解するにあたりまずアクセストークンについて焦点を当てたいと思います。 アクセストークンとは トークンの種類 偽装トークン トークンの権限借用レベル ログオンセッショ…

https://blog.nflabs.jp

• HTTP Public Key Pinning (HPKP) - HTTP | MDN

HTTP Public Key Pinning (HPKP) | MDN

HTTP Public Key Pinning (HPKP) は、ウェブクライアントに特定の公開鍵をあるウェブサーバーに関連付けさせることで、偽造された証明書による中間者攻撃のリスクを減少させるためのセキュリティ機能でした。これは最近のブラウザーでは削除され、対応がなくなりました。

https://developer.mozilla.org

• さくらのクラウドやSlackが“政府認定クラウドサービス”に登録　各省庁の調達対象に - ITmedia NEWS

さくらのクラウドやSlackが“政府認定クラウドサービス”に登録　各省庁の調達対象に

政府が「さくらのクラウド」や「Slack」など14サービスを、クラウドサービスの認定制度「ISMAP」のリストに登録。政府調達の対象として認定した。

https://www.itmedia.co.jp

• 「楽天回線のiPhoneで着信ができない」問題　現状を楽天モバイルに確認した - ITmedia Mobile

「楽天回線のiPhoneで着信ができない」問題　現状を楽天モバイルに確認した

「楽天モバイルのiPhoneで着信ができない」との声が増えている。楽天モバイルの回線でiPhoneを利用すると、相手が電話をかけても着信が表示されない、留守番電話に切り替わるという状態になるという。楽天モバイルのiPhoneで何が起きているのか。同社広報に確認した。

https://www.itmedia.co.jp

• 接種証明書アプリ、「よくできた」からこそ見えてきた「本当の課題」 - ITmedia NEWS

接種証明書アプリ、「よくできた」からこそ見えてきた「本当の課題」

新型コロナワクチン接種証明書アプリがリリースされ、アプリ自体は評判が良い。しかし、そこにはまだやるべきことが残っている。西田宗千佳さんが指摘する課題とは……。

https://www.itmedia.co.jp

• 接種証明書アプリ、ちゃんと使えた？　iPhoneとAndroidで感じてしまう“格差”：ヤマーとマツの、ねえこれ知ってる？ - ITmedia NEWS

接種証明書アプリ、ちゃんと使えた？　iPhoneとAndroidで感じてしまう“格差”

実際にワクチン接種証明書アプリを2人で試しながら語り合いました。

https://www.itmedia.co.jp

• 超凄いIPv6解説書(488ページ)を無料配布します！:Geekなぺーじ

超凄いIPv6解説書(488ページ)を無料配布します！:Geekなぺーじ

https://www.geekpage.jp

• 「Visual Studio Code」で執筆するSF作家　藤井太洋氏が作る物書きのための拡張機能 - ログミーTech

「Visual Studio Code」で執筆するSF作家　藤井太洋氏が作る物書きのための拡張機能

「VS Code Meetup」は、強力かつ軽量なオープンソースのコードエディター「Visual Studio Code」のミートアップです。今年もVS Code Meetup 主催の年次カンファレンス、「VS Code Conference Japan 2021」が開催されました。招待講演では、SF作家の藤井太洋氏が登壇。VS Codeで執筆を支援する機能拡張「novel-writer」の制作について発表しました。

https://logmi.jp

• 新言語『TypoScript』を作った - Qiita

新言語『TypoScript』を作った - Qiita

この記事は、クソアプリAdvent Calendar2021の20日目(ホノルル時間)の記事であると同時に、GMOペパボエンジニア Advent Calendar 2021の21日目(日本時間)の記事でもあります。 みなさん、Typ...

https://qiita.com

• 20日目: 正規表現が ReDoS 脆弱になる 3 つの経験則 | 立命館コンピュータクラブ

20日目: 正規表現が ReDoS 脆弱になる 3 つの経験則

正規表現がReDoS脆弱性になる原因、典型的な３つのパターン、その対策方法についてのまとめ。便利な正規表現ツールやライブラリも紹介！

http://www.rcc.ritsumei.ac.jp

• recheck | MakeNowJust-Labo

Site not found · GitHub Pages

https://makenowjust-labo.github.io

• 東海道新幹線「のぞみ」のテレワークサービス「S Work車両」で仕事してみた - ITmedia NEWS

東海道新幹線「のぞみ」のテレワークサービス「S Work車両」で仕事してみた

JR東海のビジネスパーソン向け「S Work車両」サービスを試した。

https://www.itmedia.co.jp

• 毒入りドリンクを注ぎ分けられる「暗殺ティーポット」のトリックを解説 - ナゾロジー

毒入りドリンクを注ぎ分けられる「暗殺ティーポット」のトリックを解説 - ナゾロジー

中国で生まれたとされる「暗殺者のティーポット」。これは同じポットで、3種類の飲み物を注ぎ分けられるという驚くべき代物。ポットの中身の秘密と、科学的メカニズムを紐解いていきます。

https://nazology.net

• 「まだ子犬!?」「迫力半端ない」　生後6カ月のグレートピレニーズが人間の大人なみのでっかさで話題に - ねとらぼ

「まだ子犬!?」「迫力半端ない」　生後6カ月のグレートピレニーズが人間の大人なみのでっかさで話題に

抱きつきたい。

https://nlab.itmedia.co.jp

• 「今帰ったにゃー！」と雪の壁を突き破って帰宅した猫さんに、飼い主さんも思わずビックリ (ﾟДﾟ；)！ | エウレカ！

「今帰ったにゃー！」雪の壁を突き破って帰宅した猫さんの姿に、飼い主さんも思わずビックリ (ﾟДﾟ；)！

ある日、雪の中を散歩に出かけた猫さん。しばらく家の周りで散歩を楽しむと、自宅へと戻ってきました。 出典：Ann Got 帰宅した猫さんに気づいた飼い主さんは、玄関の場所を教えるために、高く降り積もった

https://eureka.tokyo