タグ

amazonとincidentに関するtsupoのブックマーク (2)

  • 米AmazonのKindle管理サイトに脆弱性、不正な電子書籍で悪用可能に

    Amazonが提供するKindle電子書籍管理用のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性があり、電子書籍に不正なコードを仕込んでアカウントに侵入することが可能だったという。ドイツの研究者が9月12日のブログで伝えた。 それによると、脆弱性が見つかったのは電子書籍を保存したりKindleに転送したりするための管理ページ「Kindle Library」。脆弱性を突いて、例えば電子書籍のタイトルなどのメタデータに不正なコードを挿入できてしまう状態だったという。 不正なコードはユーザーがKindle LibraryのWebページを開くと実行され、攻撃者がcookieを入手して被害者のアカウントに侵入することが可能だった。研究者はコンセプト実証デモも公開している。 この攻撃では、例えば海賊版の書籍などを信頼できない場所から入手して、Amazonの「Send to Ki 米AmazonのKindle管理サイトに脆弱性、不正な電子書籍で悪用可能に

    tsupo
    tsupo 2014/09/17
    Amazonが提供するKindleの電子書籍管理用のWebサイトにクロスサイトスクリプティング(XSS)の脆弱性 / 例えば電子書籍のタイトルなどのメタデータに不正なコードを挿入できてしまう状態だった
  • ScanNetSecurity - SCAN DISPATCH :Amazon EC2へDDoS攻撃、クラウドの弱点が浮き彫り

    SCAN DISPATCH は、アメリカセキュリティ業界及ハッカーコミュニティから届いたニュースを、狭く絞り込み、深く掘り下げて掲載します。 ---- クラウド・コンピューティングの普及と同時に、その脆弱性や弱点が指摘されているが、Amazon EC2(Amazon Elastic Compute Cloud)をホスティングに使っているbitbucket.orgが、17時間近くもダウンするという事件があった。事件自体はたいしたものではないが、クラウド・コンピューティングの弱点を浮き彫りにしている。 bitbucketはオープンソースのコード・ホスティング・サービスで、「データベース、ログファイルからユーザデータまでの全て」(bitbucket.orgのJesper Nohr氏)をAmazon Elastic Block Store (Amazon EBS)に保管している。

    tsupo
    tsupo 2009/10/15
    bitbucketがダウンしたEC2とEBS間のネットワークの問題とは、スプーフィングされたDDoSだった / AmazonのCloudWatchサービスを買うことによって初めて、ネットワークの問題であるということが分かった
  • 1