サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ドラクエ3
www.leon-tec.co.jp
みなさんこんにちは。調査・監視部に所属する宮﨑です。 普段の業務ではブルーチームとして、SOC監視・調査やフォレンジック調査、マルウェア解析などを行なっています。 今回はOffsec社が提供する、Webペンテストの資格 2種へ挑戦し合格したため、受験記を投稿します。 OSWA・OSWEとは これらはOffsec社が提供するWebペンテスト系の資格で、それぞれの正式名称は以下のとおりです。 OSWA (Offsec Web Assessor) OSWE (Offsec Web Expert) 資格の難易度とレベル Offsec社のコンテンツの難易度は、100から400まで存在し、通常の契約プランで購入できるコンテンツは300までになります。そして、OSWAは200、OSWEは300の位置付けにいるため、単純にOSWEの方が難易度としては高いです。また、300のコンテンツ・試験ではエクスプロイ
受験記eCDFP(eLearnSecurity Certified Digital Forensics Professional)受験記 みなさんこんにちは。 株式会社レオンテクノロジーの調査・監視部に所属している宮﨑です。 今回、私はキャリアアップの一環として、INE Security社が提供するデジタルフォレンジックの資格「eCDFP(eLearnSecurity Certified Digital Forensics Professional)」を受験しました。そして、無事に1発合格できました。 eLearnSecurityの資格に関するブログはいくつか見かけますが、国内でのeCDFPの受験記は見当たりませんでした。そこで、これから受験を考えている方の参考になればと思い、私の学習方法や試験に関する情報を今回もブログにまとめたいと思います。 eLearnSecurityとは eLear
こんにちは、ヒロセです。 僕が入社したての頃、Burpの初期設定で時間をかけてしまい先輩に助けてもらった経験があります。試用期間だったこともあり、先輩に「こんなことも出来ないのか」と思われているんじゃないかとビクビクしていました。 この記事では、過去の自分のように今すぐBurpを使えるようになりたいという方向けに「BurpSuite」の使い方について記載します。今回は、「BurpSuite」インストールからHTTP通信のキャプチャまで記載します。 以下の方に向けて記載しています。 脆弱性診断に興味がある人 自分で自身のサイトを簡易診断したい人 Burp Suiteの初期設定を知りたい人 目次 Burp Suiteのインストール Burp Suiteを起動する Burp Suiteの初期設定 Webブラウザのプロキシサーバ設定(Firefox) Burp Suite証明書のインポート Bur
お久しぶりです。 目覚ましは7つセットするヨシダです。 よくセキュリティ診断を実行した際に記載されているCVSSスコアという謎の数値がありますが、今回はその数値を出す計算方法とスコアの見方を解説していきます。 CVSS(Common Vulnerability Scoring System) とは共通脆弱性評価システムと呼ばれ「基本評価基準,現状評価基準,環境評価基準の3つの基準でIT製品のセキュリティ脆弱性の深刻さを評価するもの」です。脆弱性の深刻度を計算して見やすいようにスコアにすることによって、それがどの程度の脆弱性で、どの程度緊急で対応しなければいけないのか、そういったことがわかりやすくなります。情報システムの脆弱性に対するオープンで汎用的な評価手法であり、ベンダーに依存しない共通の評価方法になります。 CVSSというシステムにもバージョンがあり、現在最新のバージョンはv3となって
どーも、マクドナルドは「マック」じゃなくて「マクド」、セブンイレブンは「セブン」じゃなくて「セブイレ」派のヨシダです。 今日は、Webアプリケーションのセキュリティ診断をやっている人ならみんな使用しているであろうツールを紹介します。その名も「Wappalyzer」。読み方は「ワパライザー」と読んでる人が多いみたいです。(僕は「アパライザー」と読んでました←) このツールはサイトがどんなサーバー,CMS,言語などを使っているかがひと目でわかるツールで、Chromeの拡張機能・Firefoxのアドオンで提供されています。何がすごいかと言うと、そのサイトが使用しているCMSや言語などの種類だけでなく、バージョンもわかるというところです。ハッカーはこの種類やバージョンをパッと見ただけで、「あー、このサイトはサーバーはこれを使ってて、CMSの古いバージョンを使ってるから、たしかこんな攻撃が行えるなー
(ただでブログをはじめたいけど、広告が邪魔だなあ・・・) (ブログのページも自分でカスタマイズしたいなあ・・・) (サーバーも自分でカスタマイズできて、ドメインも設定できたらなあ・・・) そう思っていた時期が僕にもありました。 しかし、それがAWSの無料枠を使用すれば全部できちゃったんですよ! 僕が作ったサイト→https://www.yoshidamasaaki.com/ ただ、これに関してはyoshidamasaaki.comという自分のフルネームのドメインが欲しかったためだけに1200円だけ課金しました。 そうなんです。アホなんです僕。 URLがなんでもよければ、もちろん無料でできますよ。 今回はその方法を書きたいと思います。 ①アカウント登録 https://aws.amazon.com/jp/←AWSの公式ページです。右上の「まずは無料で始める」をクリックしてください。 そしてど
どーも、腹痛、腰痛、寝不足、運動不足、女に悩むヨシダです。 タイトル通り、Active Directory(以下AD)の構築方法や、導入するにあたっての注意などを解説していきますが、正直解説しきれません笑 だって、できることが多すぎるんだもん… なので、ざっとになりますが解説します! まずは、導入を考えている方は弊社のLP「アクティブディレクトリ構築サービス」をご覧いただきたい。 こちらに書かれているようなことに悩んでる方は、人が増える前にさっさとADを導入するべきです!! お気軽にご相談ください。 設定できる機能の例 ADを導入したら設定できる機能の例は以下の通りです。 ①パソコンやサーバーのID、パスワード管理 管理者がAD配下のPCやサーバーについてのID、パスワードを管理しやすくなり、セキュリティ的に非常によくなります。 ②部署や役職ごとのアクセス権設定 ADサーバー内に全てのユー
ヨシダですけどAWSを使って、無料でサイトを常時SSL化 全手順(EC2+Word Press+ELB+Certificate Manager+Route 53) wordpress certified by bitnamiで説明 AWSを使って、無料でサイトを常時SSL化 全手順(EC2+Word Press+ELB+Certificate Manager+Route 53) 世間はハロウィンということで、僕も仮装してみました。 はい。ということで今回は無料でサイトをHTTPS通信で表示できるようになったので、手順をずらっと書きました。 完成したサイトが毎度おなじみ、ヨシダのサイトです。 ちゃんとHTTP通信で表示させないように、HTTPS通信にリダイレクトしてます。 ためしにhttp://で入力してみたらわかりますぞ。 まずは常時SSL化のメリットから話します。 ウェブサイトのすべての
先日、中国のハッカーサイトである「WooYun」がネットで話題になりました。 その理由は。。。 中国ハッカー、穴のあるサイト公表…日本関連も 中国のハッカーサイトが今年2月以降、セキュリティーに穴(脆弱ぜいじゃく性)のある日本の公的機関や企業のサイト名100件以上を公表していることがわかった。(YOMIURIONLINE) それによればまず、 ①ハッカーが脆弱性のあるサイトを発見する ②「WooYun」に「○○サイトに△△の脆弱性があります。◎◎日後に公開します。」と投稿する ③日本でいえばJPCERTなどのセキュリティ関連団体などがその投稿を確認する ④当該サイトの運営企業などに連絡をする 主な流れはこのようです。 当サイトの気になる特徴が2点ある。 まずひとつは、一定の猶予期限が過ぎると脆弱性の対策の有無を問わず、脆弱性情報を掲載する点だろう。 日本と言えば、基本的に非公開である。危険
WordPressに限らず、ソフトウェアにはセキュリティが求められます。そして、ソフトウェアがどの程度安全か(もしくは危険か)を判断するために、「セキュリティ診断」という行為が存在します。 ただ、セキュリティ診断を行ってもその正しい見方を知らなければ、診断の意味はありません。例えば診断を行った結果、「脆弱性が有ります」と言われても、それがどの程度の脆弱性で、どの程度緊急で対応しなければいけないのか、そういったことがわからなければ対策を打つことが難しくなります。 では、セキュリティ脆弱性の程度を測るためのものさしはあるのでしょうか。実は色々なものが存在します。その中でも代表的なものさしである、CVSS基本値スコアについてご紹介します。 CVSS基本値スコアは、正式名を共通脆弱性評価システム( Common Vulnerability Scoring System)と言い、元々はアメリカの国家
Yet Another Related Posts Plugin for WordPress (YARPP) contains a flaw as HTTP requests to the yarpp page, as called by /wp-admin/options-general.php, do not require multiple steps, explicit confirmation, or a unique token when performing certain sensitive actions. By tricking a user into following a specially crafted link, a context-dependent attacker can perform a Cross-Site Request Forgery (CSR
SERVICEサービス レオンテクノロジーでは、お客様のご要望に合わせ、様々なサービスのご提供が可能です。サイバーセキュリティに不可欠なサービスを統合的にご提供いたします。
このページを最初にブックマークしてみませんか?
『少数精鋭のホワイトハッカー集団 | 株式会社レオンテクノロジー』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く