会期中は、多数の入場者が訪れたばかりか、その選りすぐられた講師陣が海外でも話題を呼び、ヨーロッパ等国外からの参加者も多数来日しました。
同会議には今年も昨年に引き続き、日頃SCANに寄稿いただいている専門技術者の方が、レポーターとして、参加しました。「Winny」「カーネル内でのWindowsフォレンジック分析」「イントラネットへの外部からの攻撃」「AJAXウェブアプリケーションへの攻撃」等、BHJ2006 のハイライトの一部を紹介します。
──────
●Ajaxでは攻撃も複雑化
従来のWebアプリケーションでは、殆どのプロセスがサーバ側で処理されていたが、Ajaxのアーキテクチャではサーバ側とクライアント側の双方で処理が行われる。つまり、攻撃者にとって標的が増えたことになるのである。Ajaxは、JavaScriptを利用した手法であるため、これらのプロセスの処理はブラウザ上で行われる。つまり、悪意のあるJavaScriptをダウンストリームに埋め込むことにより、容易に不正操作を行うことが可能となるといえる。
Alex氏は、攻撃例としてクロスサイトスクリプティング(以降、XSS)とクロスサイトリクエストフォージェリ(以降、XSRF)を例に挙げ、Web 1.0とWeb 2.0(Ajax)環境における攻撃方法の差異を説明した。
先ず、XSSの場合だが、Web 1.0の通信方式ではHTMLをブラウザにダウンロードしていたため、攻撃者はHTMLにスクリプトを挿入すれば良かった。例えば、入力フォームに
Scan PREMIUM 会員限定記事
もっと見る-
-
Jenkins に任意のファイルの読み取りが可能となるコマンドラインインターフェース機能におけるアクセス制御不備の脆弱性(Scan Tech Report)
2024 年 1 月に公開された、任意のファイルの読み取りが可能となる Jenkins の脆弱性に対するエクスプロイトコードが公開されています。
-
今日もどこかで情報漏えい 第22回「2024年2月の情報漏えい」プロモーションではなかった 公式 X への攻撃
2 月に最も件数換算の被害規模が大きかったのは、株式会社大藤つり具による「大藤つり具にランサムウェア攻撃、過去にダイレクトメールを送付した顧客情報が流出した可能性」の最大 約20 万件だった。
-
人かAIか? 生成方法別フィッシングメール打率比較
類似の実験では「見分けがつかない」「成功率が高い」といった結果にとどまっていることが多いが、この論文では AI 作成フィッシングメールの「品質評価」、人力と AI 作成メールに対して AI がどの程度、真贋や意図を判定できるかにまで踏み込んで調べた。