ハッカーはIPアドレスを取得後、WhatWebコマンドを活用したウェブサイト解析でサイトを丸裸にして脆弱性を見つける | AIを武器にホワイトハッカーになる
【注意】このサイトに記載されていることを他人に試すことは「不正アクセス禁止法」に該当する場合があります。詳しくはこちらから
話題のGoogle製OSS - Tsunamiを試してみた - Qiita
はじめに 先日発表された話題のGoogle製OSS - Tsunamiを触ってみたので,実行方法と概要を残したいと思います. TL;DR サクッとコマンド叩くと脆弱性をjson形式で返してくれるので便利 ただ,XSSやSQLインジェクションといった内部のセキュリティーホールは見てくれない(これから対応するかもしれないが) どちらかと言うと,システムたくさん持ってる企業向け しかし,実行まで3分もかからないので,試してみる価値はあると思います. Tsunamiとは Tsunamiは,システムの脆弱性を高い信頼性のもと最小の誤検知率でRCE(遠隔からのコード実行)のような深刻度の高い脆弱性の検出を行います. 特徴としては,システム内部から実行することなく,外部から高速に実行でき,かつ,システムの規模に合わせて簡単にスケールすることができます. 作られた背景 昨今,攻撃者は自動化に力を入れている
自宅ルータの脆弱性検知システムの開発 - Sansan Tech Blog
Sansan 技術本部 情報セキュリティ部 CSIRT グループの川口です。 2023年4月からセキュリティエンジニアで新卒として、Sansan に入社しました。 現在は ログ基盤(SIEM)のログの取り込み部分の機能修正、問い合わせ対応、インシデント対応などの業務に取り組んでいます。 今回は内定者インターンシップで開発した、自宅ルータの脆弱性検知システムについて紹介します。 目次は以下の通りとなります。 開発に至った経緯 作成したシステム 技術的な話 EDR ポートスキャン チケットシステムへの起票 SOAR まとめと今後の課題 開発に至った経緯 新型コロナウイルスの流行に伴い、リモートワークという言葉をよく耳にするようになったと思います。 弊社でも緊急事態宣言下においては、原則リモートワークとなり、現在はオンライン・オフラインを併用した働き方をしています。 ここで問題となってくるのが自
LDAPインジェクションをしたかった話 - まったり技術ブログ
はじめに 検証環境 ホスト コンテナ 構築 OpenLDAP LDAPクライアントアプリケーション 1. アプリケーションの用意 2. コンテナの準備 3. コンテナの実行 動作確認 OpenLDAPの動作確認 予想外の事態発生 脆弱性の検証 正常系の動作確認 脆弱性の確認 ダメな対策 対策 ldap_escape関数 まとめ 参考 更新履歴 はじめに 今更ながらLDAPインジェクションがどのようなものなのかの検証をやってみました。 LDAPインジェクションは脆弱性としてそこそこ有名であり、名前だけは目にすることがあるが、イマイチ実際に検証を行う気になれない脆弱性でもあると思う。特にLDAPの環境構築は手間になりそうだし。 このままだとLDAPインジェクションを体験しないまま死んでしまってもおかしくないので、DockerでさくっとLDAPインジェクションの検証環境を構築し体験してみるとする
CVE-2020-1938: Ghostcat vulnerability
Ghostcat is a high-risk file read / include vulnerability in Tomcat 【 CVE-2020-1938 】 IntroductionJava is currently the most popular programming language in Web development, and Tomcat is one of the most popular Java middleware servers. It has been used for more than 20 years since its initial release. Ghostcat is a serious vulnerability in Tomcat discovered by security researcher of Chaitin Tech.
Log4j RCE CVE-2021-44228 Exploitation Detection
log4j_rce_detection.md log4j RCE Exploitation Detection You can use these commands and rules to search for exploitation attempts against log4j RCE vulnerability CVE-2021-44228 Grep / Zgrep This command searches for exploitation attempts in uncompressed files in folder /var/log and all sub folders sudo egrep -I -i -r '\$(\{|%7B)jndi:(ldap[s]?|rmi|dns|nis|iiop|corba|nds|http):/[^\n]+' /var/log This
脆弱性診断ツールVulsを使う - ごちうさ民の覚え書き
はじめに 脆弱性検査ツールには有償のもの、無償のもの様々なものが存在する。すべての脆弱性の検知は無理なので適切な脆弱性検査ツールを用いることがシステムの脆弱性をなくすうえで重要である。 ではどういった条件の時にどのツールを使えばいいのかは調べなければわからない。今回はVulsを調べる Vulsとは Vulsインストール IPAがVulsに関してはインストールと使い方含め資料を出しています。 https://www.ipa.go.jp/files/000071584.pdf 今回はそれをなぞった記事となります。少しだけコマンドが変わってる、バージョンが新しいとかありますが問題なんてほとんどありません。 Vulsインストール手動編 事前準備 ここではvulsを使うために必要なパッケージ等を入手します。 vulsを使うためにはsqlite, gcc, git, make, wget, goになり
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - paulveillard/cybersecurity-threat-intelligence: An ongoing & curated collection of awesome software best practices and remediation techniques, libraries and frameworks, E-books and videos, Technical guidelines and important resources about Threat
GitHub - ATpiu/asset-scan: asset-scan是一款适用甲方企业的外网资产周期性扫描监控系统
GitHub - Bert-JanP/Hunting-Queries-Detection-Rules: KQL Queries. Defender For Endpoint and Azure Sentinel Hunting and Detection Queries in KQL. Out of the box KQL queries for: Advanced Hunting, Custom Detection, Analytics Rules & Hunting Rules.
Intrusion Detection and Prevention Systems Cheat Sheet: Choosing the Best Solution, Common Misconfigurations, Evasion Techniques, and Recommendations. | SANS Institute
GitHub - anouarbensaad/vulnx: vulnx 🕷️ an intelligent Bot, Shell can achieve automatic injection, and help researchers detect security vulnerabilities CMS system. It can perform a quick CMS security detection, information collection (including sub-domain
Penetrating Testing/Assessment Workflow
machine_learning_security/Security_and_MachineLearning/README.md at master · 13o-bbr-bbq/machine_learning_security
Deep Dive: Exploring an NTLM Brute Force Attack with Bloodhound
GitHub - botherder/kraken: Cross-platform Yara scanner written in Go
GitHub - 0x4D31/awesome-threat-detection: ✨ A curated list of awesome threat detection and hunting resources 🕵️♂️
GitHub - s0md3v/AwesomeXSS: Awesome XSS stuff
GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language libraries, Network devices