sudo airodump-ng -c 1 --bssid 00:11:22:33:44:55 -w aircap wlan1
セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュリティサービスの開発とかをすることになったので、 もし同じような人が居た際になんとなし参考になればいいかなという意図で書いてます。 ちなみにセキュリティ部門に異動するまでのセキュリティの知識レベルは「徳丸本を2回通しで読んでる」程度です。 セキュリティ部門に移ってからは脆弱性診断・ログ監視・開発ガイドライン周り・脆弱性管理とかをやってました。 本記事では自分自身がユーザ系の企業に属しているので、ベンダーとかそちら寄りの内容ではないです。 あとできる限り社内の事情を記載しません。何が問題になる
コインチェック株式会社(代表取締役社長:和田晃一良、以下:当社)が運営する仮想通貨取引所サービス「Coincheck」において、発生した仮想通貨NEMの不正送金に伴い、現在日本円を含めた全ての通貨における出金を停止しております。 このため、日本円の入金は通常通り可能となっておりますが、日本円の出金に関しましては不可となっております。また、日本円以外の取扱仮想通貨に関しましては、現在入金を停止しております。 今般の不正送金に伴い、一部サービスの停止などお客様、取引先、関係者の皆様にご迷惑をおかけしており、重ねてお詫び申し上げます。原因究明、セキュリティ体制の強化などを含めたサービスの再開に尽力するとともに、金融庁への仮想通貨交換業者の登録申請の継続的な取り組みも併せて、今後も事業を継続して参りますので、引き続き、宜しくお願い申し上げます。
セキュリティ情報ブログ「piyolog」のpiyokango氏などが「サイバーセキュリティに関する総務大臣奨励賞」初の受賞者に。 総務省は5月29日、サイバーセキュリティ分野で顕著な功績があった個人や団体を表彰する「サイバーセキュリティに関する総務大臣奨励賞」の初の受賞者として、セキュリティ情報ブログ「piyolog」を運営する「piyokango氏」など個人2人と団体1人を選んだと発表した。6月1日に都内で表彰式を行う。 同賞は、地方自治体や民間企業などの現場でサイバーセキュリティ向上の観点から顕著な功績があり、今後も活躍が期待される個人や団体に授与する賞で、今年スタートした。公募や推薦で候補者を募り、選考委員会で受賞者を選んだ。 初の受賞者となったのは、セキュリティリサーチャーのpiyokango氏と、日立製作所Hitachi Incident Response Teamチーフコーディ
オンラインストレージが多いことに越したことはない。無料でもらえるものはもらっておこう! 昨年に引き続き、今年も「Safer Internet Day 2016」を記念してGoogleアカウントの「セキュリティ診断」を行ったユーザーに対し、「Google Drive」の無料ストレージを2GB追加してもらえるプレゼントキャンペーンを実施している! アカウントの復旧情報や接続端末、権限の確認など 僕の場合、なぜか「セキュリティ診断」の内容がすべて英語で表示されていたが、アカウント復旧情報、接続端末、アカウント権限の確認を済ませるだけで無料ストレージ2GBが手に入るのだ。作業時間も2、3分で終わる内容となっているため、自分のGoogleアカウントのセキュリティ状況を確認しつつ行うべし! なお、僕も試したところ無事2GBのストレージが追加されていることが確認できた。昨年に引き続き2回目のキャンペーン
「ITの専門家なら情報漏えい対策は施しておくべきじゃないですか!」、「いや、システム要件にない機能は実装しませんよ」――。あるECサイトにおける悲劇の現場を再現すると、システム発注者側とシステム開発を受注した会社の間では、おそらくこのような会話がなされたに違いない。 上記は、セキュリティ関係者の間で話題になった判決(東京地方裁判所判決 平成23年(ワ)第32060号)を読んで、筆者が想像した会話だ。 インテリア用品の販売会社(原告)が運営するECサイトが、外部からのSQLインジェクション攻撃によってクレジットカード情報などの個人情報を流出させてしまった。SQLインジェクションとは、Webサイトの入力フォームを悪用し、データベースで不正な処理を実行するプログラム(SQL文)を送り付ける攻撃手法だ。 販売会社側は、顧客の個人情報が漏洩した責任はECサイトのシステム開発を受託した会社(被告)にあ
概要 Apache の設定について共通化できるセキュリティ設定とその各項目についてまとめた。 設定例 必須設定 cat << _EOF_ > /etc/httpd/conf.d/security.conf # バージョン情報の隠蔽 ServerTokens ProductOnly Header always unset "X-Powered-By" # httpoxy 対策 RequestHeader unset Proxy # クリックジャッキング対策 Header always set X-Frame-Options "SAMEORIGIN" # XSS対策 Header always set X-XSS-Protection "1; mode=block" Header always set X-Content-Type-Options "nosniff" # XST対策 Trace
こんにちは、五島夕夏です! 普段はフリーランスとしてイラストレーターやモデルのお仕事をしている私ですが、今日はNO MORE 情報漏えいプロジェクトの一員として、一日インタビュアーに挑戦します! 突然ですが皆さんは、毎日の生活の中で「セキュリティ」についてどれくらい気をつけていることがありますか? 私もTwitterやFacebookをよく利用しますし、お仕事もメールで受けています。PCを使う機会も多いので情報の管理には気をつけなきゃと思っているのですが、「具体的に何をどう気をつければいいのかわからない!」という人は私だけではないはずです。 ということで今回は、セキュリティのプロフェッショナルと呼ばれる徳丸 浩(とくまる ひろし)先生に密着取材! プロがどんなところに気をつけているのか、私たちの生活にも活かせそうなテクニックを盗んできたいと思います! 徳丸 浩(とくまる ひろし)先生 HA
(Last Updated On: 2019年2月18日)入力バリデーションはセキュリティ対策として最も重要なセキュリティ対策です。なぜセキュリティ対策であるのか?を理解していない方も見かけますが「ほぼ全てのインジェクション攻撃を無効化/防止する入力バリデーション」の効果と拡張方法を見れば解るのではないでしょうか? ソフトウェア開発者が知っておくべきセキュリティの定義/標準/ガイドで紹介しているセキュリティガイドラインでは入力バリデーションが最も重要なセキュリティ対策であるとしています。 厳格な入力バリデーションを行うと、開発者が意識しなくても、非常に多くの脆弱性を利用した攻撃を防止できます。今回は比較的緩い入力バリデーション関数でも、ほとんどのインジェクション攻撃を防止できることを紹介します。 重要:セキュア/防御的プログラミングでは入力と出力のセキュリティ対策は”独立”した対策です。ど
本資料は、web アプリケーションにおける脆弱性のひとつ、CSRF (クロスサイトリクエ ストフォージェリ) の仕組みとその対策に関する説明資料です。 また、CSRF 対策のためのライブラリのいくつかについて、その概要と適用例も紹介しています。 Webアプリケーションを作成する開発者の方々が、CSRF 脆弱性に対する理解を深め、よりセキュアなWebアプリケーションの開発の一助となれば幸いです。 自習用の資料や勉強会での資料としてご活用ください。 - 改訂版+1: 図版や誤記の修正 (2015年10月20日) ※ コメントくださった皆様ありがとうございます! - 改訂版: JPCERT/CC Web サイトにて公開 (2015年10月6日) - 初版: OSC2015Hokkaido 講演資料 (2015年6月13日) Read less
「安全なウェブサイトの作り方」は、IPAが届出(*1)を受けた脆弱性関連情報を基に、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、ウェブサイト開発者や運営者が適切なセキュリティを考慮したウェブサイトを作成するための資料です。 「安全なウェブサイトの作り方」改訂第7版の内容 第1章では、「ウェブアプリケーションのセキュリティ実装」として、SQLインジェクション 、OSコマンド・インジェクション やクロスサイト・スクリプティング 等11種類の脆弱性を取り上げ、それぞれの脆弱性で発生しうる脅威や特に注意が必要なウェブサイトの特徴等を解説し、脆弱性の原因そのものをなくす根本的な解決策、攻撃による影響の低減を期待できる対策を示しています。 第2章では、「ウェブサイトの安全性向上のための取り組み」として、ウェブサーバの運用に関する対策やウェブサイトにおけるパスワードの取扱いに関す
ソニーDNAさんの『入門!基礎からわかる「失敗しないWeb診断業者の選び方」』というブログ記事を読みました。 全体的に穏当な内容で異論はないのですが、興味深い内容なので、屋上屋を架すようですが少し追加して考えてみたいと思います。 私が特に注目したのは以下の箇所です。 2. 検査対象を適切に絞れるか? セキュリティ対策をくまなく実施できれば安心ですが、それは大きな費用がかかり現実的ではないというケースも多いでしょう。そのため、Web診断では検査対象を適切に絞り込むことが必要です。ログイン画面や課金機能、個人情報管理機能など、セキュリティ対策が特に求められる機能を重点的に検査するには、検査対象を明確にすることが重要になります。 上記の考え方は、脆弱性診断の現場でよく行われているもので、筆者もこれに従うことは多いのですが、検査対象の選定は重要なのでもう少し掘り下げて考えてみたいと思います。 脆弱
米Googleは2月10日(現地時間)、「Safer Internet Day」を記念して、Googleアカウントの「セキュリティ診断」をするだけでGoogleドライブ2Gバイト分を無料で提供するキャンペーンを開始すると発表した。 上記のリンク先からGoogleアカウントにログインし、数ステップの確認作業をするだけで、Googleドライブに2Gバイト追加される。この作業で無料ストレージがもらえるのは2月17日までだ。 セキュリティ診断では、アカウント復旧に必要な登録情報の確認、最近のアクティビティ、同じアカウントで使っているAndroidやChromecastなどを含むすべての端末や登録しているアプリの権限などを確認していく。 セキュリティ診断完了後すぐにGoogleドライブが増量されるわけではなく、今月末までに自動的に追加される見込みだ。この追加分は、QuickOfficeやChrome
下記のメールに気付いたのは、今日の昼ころで、BBCの大井真理子記者のツイートで、そういうメールが来ているとのことで、もしやと思い迷惑メールボックスを見たところ入っていました。私や大井記者以外に23名、合計25名に送られていて、アドレスを見ると、ほとんどがマスコミ関係者です。前に真犯人から送られたメールの宛先と、ほぼ重複しているのではないかと思います。 差出人名は小保方銃蔵で、ヤフーメールのアドレスが使われていました。件名は、かなりえげつなくて、まずそうなところを(省略)としつつ紹介すると、 皇居にロケット砲を撃ち込んで(省略)を始末する地下鉄霞が関駅でサリン散布する(省略)裁判官と(省略)弁護士と(省略)検事を上九一色村製AK47で射殺する(省略)病院爆破する(省略)小学校で小女子喰う(省略)を去勢して天皇制断絶(省略)の閉経マンkにVXガス注射してポアする(省略)店に牛五十頭突っ込ます
インターネット上ではSNS・ショッピング・メールなどなど、ユーザー名とパスワードを入力してログインする必要のあるサービスが多く存在します。セキュリティを高めるには推測されにくいパスワードにする必要があり、同じものを使用しないのが好ましいのですが、増えすぎると管理するだけで大変になってしまいます。そんなパスワード情報を軍レベルのセキュリティで保護しながら一元管理してくれる無料かつWindows/Mac/iOS/Android、IE/Firefox/Chromeと各種OS・ブラウザで使用&同期可能なパスワード管理ソフトが「PasswordBox」です。 無料のパスワードマネージャー | PasswordBox https://www.passwordbox.com/ja ◆iOSアプリ あらゆるプラットフォームで使用できるPasswordBoxのiOSアプリは以下のページからインストールできま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く