ウェブ・セキュリティ基礎試験(徳丸試験)受験のすゝめ - Qiita
合格率も高く,ITSSのスキルレベルもITパスポート同等のものであるため,比較的とっつきやすい試験だと感じております. なぜ受けるべきか 「知識をつけたいなら参考書を読むだけで十分」「資格試験は取るだけでは実務に活かせる部分が少なく意味がない」等々,色々な意見があるのは重々承知していますし,どれも間違いではないと思います. ですが,「学習を進め,知識の習得率を測るために試験合格をゴールとする」ことは大変有意義なことだと私個人は思います.その理由を以下に2点述べたいと思います. セキュリティの体系的な知識は知ろうとしないと身につかない まず大前提ですが,受け身で学習していても部分的な知識しか身につきません. 受け身でいる場合,ニュースで見るようなセキュリティ事故やSNSで閲覧する表層的な知識くらい得ることができません.情報収集がしやすい反面,体系的に学ぶことができないのが欠点です. これは,
FPSのチーターを撲滅した天才的アイデアとは?
by Colony of Gamers 記事作成時点ではアップグレード版の「Counter-Strike 2」としてPCゲームプラットフォーム・Steamで配信されている「Counter-Strike: Global Offensive(CSGO)」は、2012年のリリース以来長年にわたりゲーマーに愛されているFPSです。そんなCSGOで横行していたチートを優れた機転で駆逐した方法を、著名ゲームサーバーの設立者が公開しています。 How we Outsmarted CSGO Cheaters with IdentityLogger - Mo Beigi https://mobeigi.com/blog/gaming/how-we-outsmarted-csgo-cheaters-with-identitylogger/ 今回、CSGOのチーターを撲滅したアイデアを公開したのは、ソフトウェア
社内システムのセキュリティ向上のため、Lambda + CloudFront + S3でインフラ基盤を再構築した話 - Uzabase for Engineers
はじめに ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は、AWSサービスである「Lambda」「CloudFront」「S3」を用いて、弊社で使用している社内向けシステムの基盤を再構築し、開発者体験の向上やセキュリティ対策を行なったお話です。 お話の内容 弊社で使用している社内向けシステムの一つに「Watson」というシステムがあります。「Watson」とは簡単にいうと「NewsPicks」のユーザーIDをもとにユーザーごとの情報を検索・閲覧できるシステムで、お客様からの問い合わせ対応等に活用される重要なシステムです。「Watson」は構築されたのが8年前と歴史が古く、歴史が古い故に数々の問題を抱えていました。今回のお話では、歴史の古い社内システムのインフラとバックエンドを更改し抱えていた問題を解決したぜ!というお話となっています。 抱えていた課
Loggolというサービスを作った理由 - Loggol ブログ
はじめに ついにLoggol(ロゴル)の正式版をリリースすることが出来ました。それに合わせてLoggolブログも開始です。まず最初の記事として、そもそも何故このサービスを作ったのかについて書いてみようと思います。理由は複数あり、それらが複合的に混ざることで実際のサービス化を決心しました。 1. WAFの技術を活かせる 私はLoggolの開発以前より、継続して2つのクラウド型のセキュリティサービスの開発・運用に携わってきました。1つはWAFであるScutum、もう1つは脆弱性検査ツールであるVAddyです。どちらもおかげさまで順調にユーザを獲得でき、軌道に乗っています。 前者はWAFなので、受け取ったHTTPリクエストのデータを見て、それが「攻撃かどうか」を判断するという部分がサービスの中核になります。これはソフトウェアによって瞬時に行われる処理であり、人が判断するヒマはありません。ウェブア
AWSでのDevSecOps~セキュリティ運用/実装~ - Adwaysエンジニアブログ
広告事業本部でリードデータエンジニアを行なっている大窄 直樹 (おおさこ)です. 前回は, AWSでのログ設計/実装に焦点を当てたブログを書きました. 今回は, AWSでのセキュリティ運用/実装に関する内容をお届けしようと思います! セキュリティ運用は難しいですよね. 日々新たな脆弱性が次々と発見されており, 脆弱性自体に気づくのも一苦労です. それに加えて, 対応してもお金を生み出すわけではないため, 過剰な対応をするわけにもいかず, 悩ましいところです(笑) 概要 このブログでは, セキュリティの考え方, 及びAWSでDevSecOpsを行う一手法を紹介します. 利用するサービスは以下のとおりです. Security Hub Amazon Inspector Snyk これらのサービスを使うことで, 開発, セキュリティ, 運用を密接に結びつけ, 効率的なセキュリティ運用を試みます.
CTFで出題される脆弱性 vs プロダクトセキュリティのリアルな課題 - Flatt Security Blog
週末をCTFに費やし、平日の余暇時間をその復習に費やしている @hamayanhamayan です。去年2023年はCTFtime1調べでは66本のCTFに出ていて、自身のブログでは解説記事を40本ほど書いています。 自分はCTFプレイヤーですが、一方で、Flatt Securityはお仕事でプロダクトセキュリティを扱っている会社です。CTFで出題される問題と、プロダクトセキュリティにおける課題の間にはどのような違いがあるのでしょうか? CTFのヘビープレイヤーの視点から、共通している部分、また、どちらか一方でよく見られる部分について紹介していきたいと思います。色々な形でセキュリティに関わる人にとって、楽しく読んでもらえたら嬉しいです。 はじめに 本記事の目的 CTFで出題される問題 vs プロダクトセキュリティにおける課題 CTFとは プロダクトセキュリティにおける課題について CTF
GitHubで扱うPersonal access tokenの利用方法をセキュアにする - 10X Product Blog
こんにちは、セキュリティチームの@sota1235です。 セキュリティチームでは昨年の夏頃からGitHub上のセキュリティリスクを洗い出し、順に対応や改善を行っています。 そのうちの1つとして、昨年の秋ごろからGitHubのPersonal Access Tokenの取り扱いの改善を行ってきました。 具体的には以下の取り組みを行いました。 CI等で利用されているPersonal Access Tokenの利用廃止 OrganizationにおけるPersonal Access Token(classic)の利用禁止設定 今回はこの2つの取り組みについて、どのような課題設定を行い、どんな手順で完了したのかをお話しします。 以下のような課題感、疑問をお持ちの方に対する1つの回答になりうると思うので該当する方はぜひご一読ください🙏 GitHubにおけるPersonal Access Token
金融庁のサイバーセキュリティに関するガイドラインを読んだ話 - LayerX エンジニアブログ
LayerX Fintech事業部*1で、セキュリティ、インフラ、情シス、ヘルプデスク、ガバナンス・コンプラエンジニアリングなど色々やってる @ken5scal です。 今日はFintech事業部らしく、金融庁が意見募集をしていた「金融分野におけるサイバーセキュリティに関するガイドライン」(案)*2について感想を記載します。 具体的には、よかったな〜とおもうところ、きになったところ、最後にルールメイキングやっていこうぜ!という内容です。 もちろん良い子のFintechのみんなは提出したよね? www.fsa.go.jp 本邦におけるサイバーセキュリティの確保について「サイバーセキュリティ基本法」を軸として各種施策が定められています。 その中で当社Fintech事業部が取り組むような証券サービスは「重要社会基盤事業者(重要インフラ事業者)」に位置づけられています。これは証券サービスが「他に代
バグバウンティにおけるおすすめの学習コンテンツまとめ(YouTube編) - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、バグバウンティの学習に活かせるおすすめの YouTube チャンネルと「Live Bug Bounty Hunting」の動画について、まとめて紹介します。 1. 始めに 2. おすすめの YouTube チャンネル Top 5 NahamSec STÖK Bug Bounty Reports Explained Critical Thinking - Bug Bounty Podcast InsiderPhd 3. 「Live Bug Bounty Hunting」の動画 NahamSec Live Recon: Hacking Dell's Bug Bounty Program Live Recon: Hacking Tinder's Bug Bounty Program (with @Rhynorater) Live R
【雑記】数千件のセキュリティ相談から学んだ対応方法 - 2LoD.sec
JTCのセキュリティマネージャのニキヌスです。 これまでの記事で事業会社におけるセキュリティ業務を紹介(※)してきました。 今回は、地味だが大変な「相談対応」の話です。 私が所属するセキュリティチームには、毎日、約2000人のIT部門メンバから大量の相談が届きます。 これを4~5名で対応していますが、中にはそちらに手を取られて自分のプロジェクトが進められなくなったり、労働時間が伸びてしまったりする人もいます。 相談をどう効率よくうまく捌くか?は意外と文章化されていないように思うので、これまでに身につけた自分のやり方を書いてみます。 セキュリティ相談とは 相談のゴール 相談対応の流れ 1. 相談内容の把握 2. 責任範囲の確認 3. 全体像の把握 4. 脳内簡易脅威モデリング 5. 論点の整理 6. 調整~回答 さいごに (余談)セキュリティ相談 今昔物語 ※セキュリティ業務に関する過去記事
AWS Security Hubを活用した効率的でセキュアなマルチアカウント管理 - NRIネットコムBlog
本記事は AWSアワード記念!夏のアドベントカレンダー 4日目の記事です。 🎆🏆 3日目 ▶▶ 本記事 ▶▶ 5日目 🏆🎆 はじめに AWS Security Hubとは AWS Security Hubに情報を集約 AWS Security Hubから情報を受け取る AWS Security Hub導入における課題 どのように統制を効かせていくのか AWS Security Hubを有効化していないリージョンの設定 AWS Security Hubを導入した場合の組織構成 リージョンを切り替えて検知内容を確認することで負担が増加している AWS Security Hubの運用における課題 検知後のアクションにどのように繋げていくのか 通知が飛びすぎて重要検知を見逃してしまう ケースに応じた検知の変更をしたい Security Hub オートメーションルール Security Hu
Webサービス公開前のチェックリスト
個人的に「Webサービスの公開前チェックリスト」を作っていたのですが、けっこう育ってきたので公開します。このリストは、過去に自分がミスしたときや、情報収集する中で「明日は我が身…」と思ったときなどに個人的にメモしてきたものをまとめた内容になります。 セキュリティ 認証に関わるCookieの属性 HttpOnly属性が設定されていること XSSの緩和策 SameSite属性がLaxもしくはStrictになっていること 主にCSRF対策のため。Laxの場合、GETリクエストで更新処理を行っているエンドポイントがないか合わせて確認 Secure属性が設定されていること HTTPS通信でのみCookieが送られるように Domain属性が適切に設定されていること サブドメインにもCookieが送られる設定の場合、他のサブドメインのサイトに脆弱性があるとそこからインシデントに繋がるリスクを理解してお
S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog
はじめに セキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。 本ブログは、2024 年 3 月 30 日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。 また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。 また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか? 従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること
Cookieの改訂版仕様 rfc6265bis の変更点 - ASnoKaze blog
Cookieの改訂版仕様 rfc6265bis について、その変更点をざっと眺めていく はじめに SameSite属性 Cookie名プレフィックス (Cookie Name Prefixes) __Secureプレフィックス __Hostプレフィックス 非セキュアなオリジンからの Secure属性の上書きを禁止 nameless cookieの許容 Cookie名、Cookie値の上限長の指定 Expires属性の年が2桁の場合の処理の指定 Max-Age/Expires の上限 その他 今回入らなかった機能 はじめに Cookieの仕様は『RFC 6265: HTTP State Management Mechanism』として標準化されています。 そのCookieの仕様の改訂版が『rfc6265bis』と呼ばれているもので、現在標準化作業が進められいています。"SameSite属性"
AWS Security HubとSlackを利用して、セキュリティ状況の監視運用を効率化したお話 - Uzabase for Engineers
はじめに 初めまして!ソーシャル経済メディア「NewsPicks」SREチーム・新卒エンジニアの樋渡です。今回は「AWS Security Hub」と「Slack」を用いて、弊社で利用しているAWSリソースの監視運用を効率化したお話です。 お話の内容 年々増加するサイバー攻撃に対抗するため、セキュリティ対策は日々重要度が増してきています。 そこで弊社で利用しているAWSのリソースに対して、各種セキュリティイベントの収集ができるAWS Security Hubを利用することで、セキュリティ状態の可視化と迅速な対応がしやすい運用を行い、セキュリティ状態の現状把握から始めることにしました。特にNIST CSFの「検知」部分の運用について整備した内容となっています。 NIST Cyber Security Frameworkについて 皆さん、「NIST Cyber Security Framewo
初心者大学生が作った機械学習ライブラリがGitHubでスター数300を超えた話 - Qiita
この記事について この記事では、プログラミング初心者の大学生である(であった)私が試行錯誤しながらなんとかスター数300越えのOSSライブラリを作った過程をまとめたものです。ライブラリ自体はまだまだ発展中のためこの記事も適宜更新してく予定です。ライブラリ自体の詳細というよりも、自作OSSの認知度を上げで他の人に使ってもらうために有用そうな知見をまとめていこうと思います。 ライブラリの概要 今私が作っているのは、AIJackという、機械学習モデルがもつセキュリティ・プライバシー上の脆弱性についての各種攻撃・防御手法を実験するためのPythonツールです。既存のライブラリの多くは特定の種類の攻撃や防御に特化したものが多く、複数のタイプの攻撃・防御を組み合わせて実験するためにはいくつものライブラリを組み合わせる必要がありました。そこでAIJackでは、できる限り統一的なAPIで様々な攻撃・防御手
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - protectai/vulnhuntr: Zero shot vulnerability discovery using LLMs
AeyeScan blog 第8回「IPAに脆弱性を約500件報告した話」 | ScanNetSecurity
Over 1 Million websites are at risk of sensitive information leakage
クラウドサービスセキュリティチェックDB | マネーフォワード Admina
