LINE Developer Meetup #34 で発表した資料です。https://line.connpass.com/event/84156/
![バグハンターが見てきたBug Bountyの7年 / LINE Developer Meetup #34 Security Bug Bounty](https://cdn-ak-scissors.b.st-hatena.com/image/square/195201164258de363750aa9fe399b5399a34288c/height=288;version=1;width=512/https%3A%2F%2Ffiles.speakerdeck.com%2Fpresentations%2F9aa51fbb52ee449aa81d3b494a77a2d9%2Fslide_0.jpg%3F10021718)
TLS has exactly one performance problem: it is not used widely enough. Everything else can be optimized. Data delivered over an unencrypted channel is insecure, untrustworthy, and trivially intercepted. We owe it to our users to protect the security, privacy, and integrity of their data — all data must be encrypted while in flight and at rest. Historically, concerns over performance have been the
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
1. 概要 本ページは、「Apache Struts(脚注1)」の脆弱性対策情報をまとめたものです。 「Apache Struts」はウェブアプリケーションを開発するためのソフトウェアフレームワークで、Apache Software Foundation(以降、ASF)から提供されています。日本国内ではウェブサイト構築に大変多く利用されており、その結果、「Apache Struts」で構築されたウェブサイトは相当数存在すると考えられます。 ウェブサイトはインターネット上に一旦公開すると24時間365日いつでもどこからでもアクセスが可能です。 そのため、ウェブサイトに脆弱性が存在した場合、それを放置すると、情報漏えい等の被害を受けるおそれもあります。こうした事態を避けるため、ASFより「Apache Struts」の修正パッチが公開された際には、速やかに修正パッチを適用する必要があります。
DOWNLOAD THE BOOK INTO AVAILABLE FORMAT (New Update) ......................................................................................................................... ......................................................................................................................... Download Full PDF EBOOK here { https://urlzs.com/UABbn } ..............................................
Join the official community for Google Workspace administrators In the Google Cloud Community, connect with Googlers and other Google Workspace admins like yourself. Participate in product discussions, check out the Community Articles, and learn tips and tricks that will make your work and life easier. Be the first to know what's happening with Google Workspace. ______________ Learn about more Goo
Holy procrastination, startup founders! Tomorrow’s your last chance to apply to the Startup Battlefield 200 at TechCrunch Disrupt 2024. Your last chance for a shot to stand on the Disrupt…
徳丸さんにご推薦を頂いて光栄です。立命館大学の上原です。 私からも補足を。 セキュリティの分野で今、最先端で活躍しておられる方の中には、少なからず「大学でも専門学校でもセキュリティのことを学ばなかった」方がおられます。中には、そもそも高校を出てすぐこの世界に入ってこられ、全くの独学で大変高い技術を身につけられた方もいらっしゃいます。なので、「セキュリティエンジニアは技術さえあれば学歴は関係ない」と言われるのだと思います。 ですが、こういう先達の方々はご自分で大変努力されていること、また、セキュリティの問題がそれほど複雑でなかった時代から、複雑化した現代までの経過をずっとリアルタイムで追ってこられたという、言わば「産まれた時代が良かった」という点は見逃せないと思います。これからセキュリティエンジニアを目指す方がその境地追いつくのは大変です。そのためには、基礎からきっちりと体系立てて学ばれるこ
調査の結果、これらのPHPファイルが改ざんされたことにより、Webサイトからのレスポンス内に不正なコードが、閲覧者のアクセス毎に動的に挿入されていたことが判明しました。 改ざんされたPHPファイルによって不正なコードが挿入される仕組み 改ざんされたPHPファイルには、「//istart」および「//iend」というコメントに挟まれた、図 1のような不正なPHPコードが挿入されていました(不正なPHPコードが難読化されている場合も確認しています)。 この不正なPHPコードは、外部から取得したコードを挿入する機能を持っており、特定のURLから不正なコードを受け取り、特定の位置に挿入します。 図 1: 「//istart」および「//iend」に挟まれた不正なPHPコード 挿入される不正なコード Webサイトに閲覧者がアクセスすると、改ざんされたPHPファイル中の不正なPHPコードは、図 2のよ
HTTP ガイド リソースと URI ウェブ上のリソースの識別 データ URL MIME タイプ入門 よくある MIME タイプ www 付きと www なしの URL の選択 HTTP ガイド HTTP の基本 HTTP の概要 HTTP の進化 HTTP メッセージ 典型的な HTTP セッション HTTP/1.x のコネクション管理 プロトコルのアップグレードの仕組み HTTP セキュリティ Content Security Policy (CSP) HTTP Strict Transport Security (HSTS) X-Content-Type-Options X-Frame-Options X-XSS-Protection Mozilla web security guidelines Mozilla Observatory HTTP アクセス制御 (CORS) HTTP
注意! ATMのネットワークケーブルにデバイスを差し込むだけで情報が読み取れてしまうようです2016.02.15 20:00 SHIORI ATM使用に関して警告です。 ATMを狙った犯罪のすべてが、必ずしも複雑な読み取り装置を使用するわけではありません。最近になって登場したパターンの攻撃では、ATMのイーサネット回線をジャックすることでカード情報を不正に取得するという方法もあるようです。 セキュリティ・ジャーナリストのブライアン・クレブス氏が自身のサイトKrebs on Securityで語っている内容によれば、NCRという私たちがそれこそ毎日のように使っているATMなどのキャッシングマシンを数多く製造している会社が、この新種の攻撃に関して警告を発したとのことです。 これはあるデバイスを使った手法で、そのデバイスを機械のネットワーク回線に接続することでカードの詳細情報を入手するというもの
Oracleは5日、Java SE 6/7/8のWindows版インストーラーで見つかった脆弱性に対する緊急アップデートをリリースした(The Oracle Software Security Assurance Blog、Oracle Security Alert for CVE-2016-0603、BetaNews、窓の杜)。 サポート中のバージョンで影響を受けるのは、Java SE 6u111、7u95、8u71、8u72。脆弱性を悪用するには、Java SEのインストール前にユーザーを攻撃用Webサイトに誘導し、悪意のあるファイルをダウンロードさせる必要がある。複雑な攻撃が必要となるものの、実際に悪用が成功するとシステムが完全に乗っ取られる可能性があるとのこと。 脆弱性の影響を受けるのはインストール時のみなので、既にJava SEがインストールされている場合はアップデートの必要はな
経緯と概要 当社が運営する緊急対応サービス「サイバー119」は、昨年の後半より複数の大手企業様より遠隔操作ウイルスに関連する対応要請を受け、調査を行ってまいりました。 これらの事案で発見された遠隔操作ウイルスを調査したところ、攻撃者がインターネット側から企業内ネットワークで動作する遠隔操作ウイルスを操る際に、DNSプロトコルを使用するDNSトンネリングとも言われる手口を利用していることが確認されました。 これまでの代表的な遠隔操作ウイルスにおいては、Web閲覧で用いられるHTTP(S)プロトコルを使用し、Webサーバを模した指令サーバを使用しています。しかしながら今回はDNSサーバを模した指令サーバを構築していることが確認されました。 図1:Web閲覧におけるDNSの動き DNSプロトコルはインターネットにおいて、ドメイン名(FQDN)からIPアドレスなどの情報を得るためにDNSサーバとの
LINE株式会社は、2023年10月1日にLINEヤフー株式会社になりました。 LINEヤフー株式会社のコーポレートサイトはこちらです。 当ページに記載されている情報は、2023年9月30日時点の情報です。 当社は電気通信事業法に定める、「通信の秘密」を保護する義務があり、また、個人情報の定義を法律よりも幅広く捉え、ユーザーのプライバシー(個人情報、トーク内容等)保護を経営の最重要事項とし、厳密に管理しています。 ユーザーのスマートフォン端末およびLINEの登録メールアドレスとパスワードが適切に保護されていれば、自身が意図しない形でユーザー情報や、やり取りの内容が第三者に渡ることはありません。 その上で、一部報道機関でも取り上げられております、第三者によるLINEアカウントへのアクセスの可能性に関し、改めてご説明いたします。 1) 他のスマートフォン端末によるアクセスについて LINEは1
2015年、Web開発者は以前よりもSSLに関する理解を深めています。そうしたWeb開発者たちがHacker Newsを読むなら知っておくべきことを以下に挙げてみます。 ドメイン認証(DV)証明書は Let’s Encrypt から無料で取得することが可能。 拡張認証(EV)証明書 は CertSimple かいくつかのチェックののちの支払いで取得することが可能。これが我々のやり方。 Mozilla SSL Config Generator を使用すれば、サポートしたいブラウザに対して、サーバを可能な限り安全に設定することが可能。 完了後に SSL Labs を使って全てをチェックし、A評価獲得を確認しましょう。そうでなければ人に小言を言われます。 その他はどうでしょうか。我々の顧客から寄せられる最も多い質問について、回答を紹介していきましょう。 1. Chromeで”古い暗号スイート”を
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く