node の security checkをするなら nsp が便利 - from scratch
nspとは 先日たまたま会社で Vulnerability の話になって色々と Node.js だとこういうのあるんですよって言ったら知らなかった方も多かったので紹介。 nsp は node security platform の頭文字を取ったプロジェクトである。 Node Security Platform はサイト上で脆弱性を公開している。 Node.js のコアの脆弱性というよりも npm モジュールなどのモジュールの脆弱性だ。 nsp に挙げられてる脆弱性の一例 例えばこの脆弱性なんかは2017年2月11日に公開された脆弱性である。 https://nodesecurity.io/advisories/313 github.com どういう脆弱性かというと、このモジュールはJavaScript Objectをシリアライズするためのモジュールだが、そのserializeする時に関数ま
日本のLinuxセキュリティは時代遅れ!? Linuxセキュリティの最先端イベント「Linux Security Summit 2017」レポート―2日目
日本のLinuxセキュリティは時代遅れ!? Linuxセキュリティの最先端イベント「Linux Security Summit 2017」レポート―2日目 2017年9月14~15日、アメリカのロサンゼルスで「Linux Security Summit 2017」が開催されました。 前回は1日目のセッション内容をダイジェストで紹介しましたが、今回は引き続き2日目に行われた各セッションの簡単なダイジェストを紹介していきます。 なお、実際の発表資料の多くは下記のURLからダウンロードできます。 ●Linux-Security-Summitのサイト http://events.linuxfoundation.org/events/linux-security-summit/program/slides ●James Morris氏(本サミットのオーガナイザー。Oracle社)のブログ https
モバイルアプリサービス開発で扱う認証情報管理のベストプラクティス | DevelopersIO
我々が扱う認証情報 モバイルアプリやサーバーアプリを開発したり運用したりする上で、私たちは重要な認証情報を数多く扱います。また受託開発の場合は、お客様にとってかなり重要な情報資産を扱うことや、複数のお客様の情報を扱うこともあります。このような状況の中で、我々は様々な認証情報を安全に管理しながら、迅速に開発を行わなければいけません。 ここでは、私なりの認証情報の扱い方を書き記します。 GitHub GitHub自体の安全性 ソースコード管理にGitHubを利用する場合、GitHubが推奨するセキィリティ対策を取っていれば、基本的には安全に利用できるはずです。 GitHubが実施しているセキュリティ施策は下記にまとめられています。時間のあるときに見ておくようにしましょう。 GitHub Security - User Documentation また、脆弱性を探し出す方法はBug Bounty
Docker最新動向2017秋+セキュリティの落とし穴
1. 1 Engineer / Technology Evangelist, SAKURA Internet, Inc. @zembutsu 前佛 雅人 ZEMBUTSU Masahito 2017年9月22日(金) Developers Summit 2017 KYUSYU Docker CEの最新動向等What’s new in Docker for Developers (2017 Fall version) 3. とある事例 Docker Engine "swarm mode" (SwarmKit)≠ Docker Swarm ・「簡単にアプリケーションを実行できる環境を提供」する目的 ・swarm mode はクラスタを簡単に組める、manager と worker の role ・swarm モードではIngress Network と Routing mesh、サービスディス
オープンソースの侵入防御システム「Suricata 4.0」リリース | OSDN Magazine
オープンソースの侵入防御システム(IPS)「Suricata」の開発チームは7月27日、最新版となる「Suricata 4.0」をリリースした。 Suricataは高速で堅牢な脅威検出エンジン。リアルタイムで侵入検知や防御ができ、ルールと署名を利用したネットワークトラフィック検査や、Luaスクリプティングを利用した複雑な脅威の検出といった機能を持つ。Open Information Security Foundation(OISF)がオープンソースプロジェクトとして開発し、GPLv2で公開されている。 Suricate 4.0は2016年1月に公開されたバージョン3に続くメジャーリリース。検出機能を強化し、HTTP、SSHなどのプロトコル検査のためのルールキーワードが加わった。ルール作成にあたっての細かな設定も可能になった。 TLSでは、SMTPとFTPで暗号化通信拡張のSTARTTLSを
SELinux を使おう.使ってくれ. - Qiita
この記事の目的 SELinux って邪魔者ですか? 「トラブルシュートの時に邪魔だから」「トラブルの元だから」とか言う理由で /etc/selinux/config で SELINUX=disable したり setenforce 0 したりしていませんか? SELinux は理解さえすればとても簡単です. 本番環境でファイアウォールと WAF の設定をして満足していないで SELinux を使いましょう. 対象 SELinux を初めて触る人向けです. 玄人の方は他へ... 本稿の範囲 本稿では SELinux を導入しておしまいです.あくまで「みんな,簡単だからね,使おうね!」と言いたいのです. 本当は SELinux の効果を示すために Exploit を仕込んだアプリケーションから root を取って不正にファイルに触るところまでやりたいのですが,これまた別の記事にします. 僕の願
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として公開しました。 本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。 下記より「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」についてのレポート(PDF版)をダウンロードしてご利用いただけます。 1.被害事例および脆弱性検査ツールの活用 2.ウェブアプリケーション脆弱性検査ツールの概要 3.脆弱性検査ツールのタイプの定義とツールの紹介 4.脆弱性検査ツールの使用例 5.評価・まとめ 6.おわりに 7.参考
あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
単純ではない、最新「クロスサイトスクリプティング」事情
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
明日から使える?! PATHでXSSする技術/ Shibuya.XSS techtalk #7
Shibuya.XSS techtalk #7 の資料です。
マルチプラットフォームで動く「Electron」は本当に使える技術なのか?|CodeIQ MAGAZINE
2018年4月25日をもちまして、 『CodeIQ』のプログラミング腕試しサービス、年収確約スカウトサービスは、 ITエンジニアのための年収確約スカウトサービス『moffers by CodeIQ』https://moffers.jp/ へ一本化いたしました。 これまで多くのITエンジニアの方に『CodeIQ』をご利用いただきまして、 改めて心より深く御礼申し上げます。 また、エンジニアのためのWebマガジン「CodeIQ MAGAZINE」は、 リクナビNEXTジャーナル( https://next.rikunabi.com/journal/ )に一部の記事の移行を予定しております。 今後は『moffers by CodeIQ』にて、 ITエンジニアの皆様のより良い転職をサポートするために、より一層努めてまいりますので、 引き続きご愛顧のほど何卒よろしくお願い申し上げます。 また、Cod
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
JCISPA – JASA クラウドセキュリティ推進協議会 | 公開資料JCISPA - JASA クラウドセキュリティ推進協議会
超絶技巧CSRF / Shibuya.XSS techtalk #7