はてなブックマーク

受験記eCDFP（eLearnSecurity Certified Digital Forensics Professional）受験記 みなさんこんにちは。 株式会社レオンテクノロジーの調査・監視部に所属している宮﨑です。 今回、私はキャリアアップの一環として、INE Security社が提供するデジタルフォレンジックの資格「eCDFP（eLearnSecurity Certified Digital Forensics Professional）」を受験しました。そして、無事に1発合格できました。 eLearnSecurityの資格に関するブログはいくつか見かけますが、国内でのeCDFPの受験記は見当たりませんでした。そこで、これから受験を考えている方の参考になればと思い、私の学習方法や試験に関する情報を今回もブログにまとめたいと思います。 eLearnSecurityとは eLear

こんにちは、ヒロセです。 僕が入社したての頃、Burpの初期設定で時間をかけてしまい先輩に助けてもらった経験があります。試用期間だったこともあり、先輩に「こんなことも出来ないのか」と思われているんじゃないかとビクビクしていました。 この記事では、過去の自分のように今すぐBurpを使えるようになりたいという方向けに「BurpSuite」の使い方について記載します。今回は、「BurpSuite」インストールからHTTP通信のキャプチャまで記載します。 以下の方に向けて記載しています。 脆弱性診断に興味がある人 自分で自身のサイトを簡易診断したい人 Burp Suiteの初期設定を知りたい人 目次 Burp Suiteのインストール Burp Suiteを起動する Burp Suiteの初期設定 Webブラウザのプロキシサーバ設定(Firefox) Burp Suite証明書のインポート Bur

お久しぶりです。 目覚ましは７つセットするヨシダです。 よくセキュリティ診断を実行した際に記載されているCVSSスコアという謎の数値がありますが、今回はその数値を出す計算方法とスコアの見方を解説していきます。 CVSS（Common Vulnerability Scoring System) とは共通脆弱性評価システムと呼ばれ「基本評価基準，現状評価基準，環境評価基準の３つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」です。脆弱性の深刻度を計算して見やすいようにスコアにすることによって、それがどの程度の脆弱性で、どの程度緊急で対応しなければいけないのか、そういったことがわかりやすくなります。情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法になります。 CVSSというシステムにもバージョンがあり、現在最新のバージョンはv3となって

どーも、マクドナルドは「マック」じゃなくて「マクド」、セブンイレブンは「セブン」じゃなくて「セブイレ」派のヨシダです。 今日は、Webアプリケーションのセキュリティ診断をやっている人ならみんな使用しているであろうツールを紹介します。その名も「Wappalyzer」。読み方は「ワパライザー」と読んでる人が多いみたいです。（僕は「アパライザー」と読んでました←） このツールはサイトがどんなサーバー,CMS,言語などを使っているかがひと目でわかるツールで、Chromeの拡張機能・Firefoxのアドオンで提供されています。何がすごいかと言うと、そのサイトが使用しているCMSや言語などの種類だけでなく、バージョンもわかるというところです。ハッカーはこの種類やバージョンをパッと見ただけで、「あー、このサイトはサーバーはこれを使ってて、CMSの古いバージョンを使ってるから、たしかこんな攻撃が行えるなー

（ただでブログをはじめたいけど、広告が邪魔だなあ・・・） （ブログのページも自分でカスタマイズしたいなあ・・・） （サーバーも自分でカスタマイズできて、ドメインも設定できたらなあ・・・） そう思っていた時期が僕にもありました。 しかし、それがAWSの無料枠を使用すれば全部できちゃったんですよ！ 僕が作ったサイト→https://www.yoshidamasaaki.com/ ただ、これに関してはyoshidamasaaki.comという自分のフルネームのドメインが欲しかったためだけに1200円だけ課金しました。 そうなんです。アホなんです僕。 URLがなんでもよければ、もちろん無料でできますよ。 今回はその方法を書きたいと思います。 ①アカウント登録 https://aws.amazon.com/jp/←AWSの公式ページです。右上の「まずは無料で始める」をクリックしてください。 そしてど

どーも、腹痛、腰痛、寝不足、運動不足、女に悩むヨシダです。 タイトル通り、Active Directory（以下AD）の構築方法や、導入するにあたっての注意などを解説していきますが、正直解説しきれません笑 だって、できることが多すぎるんだもん… なので、ざっとになりますが解説します！ まずは、導入を考えている方は弊社のLP「アクティブディレクトリ構築サービス」をご覧いただきたい。 こちらに書かれているようなことに悩んでる方は、人が増える前にさっさとADを導入するべきです!! お気軽にご相談ください。 設定できる機能の例 ADを導入したら設定できる機能の例は以下の通りです。 ①パソコンやサーバーのID、パスワード管理 管理者がAD配下のPCやサーバーについてのID、パスワードを管理しやすくなり、セキュリティ的に非常によくなります。 ②部署や役職ごとのアクセス権設定 ADサーバー内に全てのユー

ヨシダですけどAWSを使って、無料でサイトを常時SSL化　全手順（EC2＋Word Press＋ELB＋Certificate Manager＋Route 53） wordpress certified by bitnamiで説明 AWSを使って、無料でサイトを常時SSL化　全手順（EC2＋Word Press＋ELB＋Certificate Manager＋Route 53） 世間はハロウィンということで、僕も仮装してみました。 はい。ということで今回は無料でサイトをHTTPS通信で表示できるようになったので、手順をずらっと書きました。 完成したサイトが毎度おなじみ、ヨシダのサイトです。 ちゃんとHTTP通信で表示させないように、HTTPS通信にリダイレクトしてます。 ためしにhttp://で入力してみたらわかりますぞ。 まずは常時SSL化のメリットから話します。 ウェブサイトのすべての

WordPressに限らず、ソフトウェアにはセキュリティが求められます。そして、ソフトウェアがどの程度安全か（もしくは危険か）を判断するために、「セキュリティ診断」という行為が存在します。 ただ、セキュリティ診断を行ってもその正しい見方を知らなければ、診断の意味はありません。例えば診断を行った結果、「脆弱性が有ります」と言われても、それがどの程度の脆弱性で、どの程度緊急で対応しなければいけないのか、そういったことがわからなければ対策を打つことが難しくなります。 では、セキュリティ脆弱性の程度を測るためのものさしはあるのでしょうか。実は色々なものが存在します。その中でも代表的なものさしである、CVSS基本値スコアについてご紹介します。 CVSS基本値スコアは、正式名を共通脆弱性評価システム（ Common Vulnerability Scoring System）と言い、元々はアメリカの国家

Yet Another Related Posts Plugin for WordPress (YARPP) contains a flaw as HTTP requests to the yarpp page, as called by /wp-admin/options-general.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSR

SERVICEサービス レオンテクノロジーでは、お客様のご要望に合わせ、様々なサービスのご提供が可能です。サイバーセキュリティに不可欠なサービスを統合的にご提供いたします。