読者です 読者をやめる 読者になる 読者になる

でかるちゃー

毎日の発見に驚き、感じる!感謝する!

-スポンサードリンク-

そのSkype ハッキングされてませんか?

今朝、知り合い三人のSkypeから同じメッセージを受け取った。

f:id:watouch:20160704105935p:plain

ショー

ht(リンク防止)tp://www.goo.gl/bLMvBI?profile_photo=******

この短縮URLの正しいリンク先を確認した所、

ht(リンク防止)tp://site.edu.in/plugins/tcpdf/profile.php=*****

で、おそらくSkypeのプロフィールページをPDFとして保存するスクリプトでも打ち込まれているのでしょう。
そこから個人情報とか抜くのかな?

あとZipファイルがDLされるっぽいので、その中に乗っ取りとか遠隔操作のウィルスも入ってるんだろうな~。

皆様お気をつけ下さい。

はてなさんと百度さんの件について

結局、一番損していると言うか、ダメな対応したちゃったのは、はてなさんでしたね。

気になった記事がコレなのだけど、コレでキャンペーン申し込んで良いのかな?かな?

 

と、言うわけでキーワード

はてなブックマークで気になったニュース

投稿出来たかな?

脆弱性診断とかを何とかする

Webサービスの開発に携わっている方なら、脆弱性診断というのを実施した経験者は多いかと思います。

仕事でやっているなら、大抵はITセキュリティ専門の会社と契約して、専門家や専用のツールを使って診断をしてもらって、診断結果や修正が必要な場合は、その修正方法も含めた内容をレポートしてもらうというのが一般的かと思います。

普通の会社なら、当たり前ですが、そこまでお金だせない会社とか、個人で開発していた場合にどうすればよいのか考えてみたことがあります。

もちろん、SQLインジェクションXSSとか、CSRF等々、ひとつひとつ手作業で確認すればなんとかなるのかもしれませんが、さすがに無理ですよね。

ということで、個人で使えるツールないかなーと探してみると、IPAのサイトにそれらしいことが・・・

なるほど、こちらを見ると、Java用とPHP用でソースコードレベルの検査を実施するツールの検証が行われています。

 

  • LAPSE+(Java用)

(参考)

OWASP LAPSE Project - OWASP

 

  • RIPS(PHP用)


ちなみに、このブログで何度も出てくる「超直訳(β)」は、PHPで書かれているので、今度こちらで実際にどうなるかを試してみたいと思います。

(つづく。。。)