JAWS DAYS 2019に登壇した時の資料です。 セッション中の攻撃デモの動画は以下となります。 https://youtu.be/AyzrYEM601wRead less
![PenTesterが知っている危ないAWS環境の共通点](https://cdn-ak-scissors.b.st-hatena.com/image/square/ee8ada7588658cdd925018290c18c50839206b40/height=288;version=1;width=512/https%3A%2F%2Fcdn.slidesharecdn.com%2Fss_thumbnails%2Fawspentest-190223034939-thumbnail.jpg%3Fwidth%3D640%26height%3D640%26fit%3Dbounds)
最初の質問者は「メイプルストーリー」が好きというAさん。現在、抱えている課題として「社員へのセキュリティ教育」を挙げました。問い合わせてくる社員の知識レベルにバラつきがあり、全員の知識レベルをある程度のラインまで底上げする方法を模索しているとのこと。教えてシンジ兄さん! 「そもそも、ユーザーサイドのセキュリティ教育って必要なんすかね?」 おっと、いきなりAさんの問いを根本から覆す質問返しが。現代の情シスは、システム管理やセキュリティといった業務のみならず、総務や法務関連、オフィスの設計、さらに最近では、働き方改革の企画立案など、幅広い対応が求められています。IT教育もその一環で、各監査基準などで定義されていることもあり、企業ガバナンスの面でも重視されています。 しかし、企業によって求められる知識の幅やレベルは異なる上、社内教育を実践しようとすると、「情シスに聞く前に、せめて再起動くらいは試
SELinuxの有効化 「Redmine 3.4をCentOS 7.3にインストールする手順」を使用して構築した環境ではSELinuxの状態がDisabledに設定されています。SELinuxがDisabledの状態で作成されたファイルにはSELinuxのラベルが付与されません。SELinuxを使用するためには全てのファイルにSELinuxのラベルを付与する必要があります。これを ファイルシステムの再ラベル付け と呼びます。 再ラベル付けをすることでSELinuxが利用できるようになります。再ラベル付け後、初めてシステムにアクセスをするとポリシー違反によっていくつかの必要な処理が拒否される場合があります。アクセス拒否が起動中に発生するとシステム自体が起動できなくなる可能性があります。これを回避するため、SELinuxのモードを必ず Permissive モードに設定します。全ての設定が完了
やったこと twitterをはじめてみたはいいものの誰をフォローしてよいか分からなかったので,セキュリティ界隈の方々のフォロー一覧を取得して集計することにより,フォローする方を決めてみました. 対象ユーザ 今回は#ssmjpのメンバーから以下の条件に当てはまる322名の方々を対象としました. ssmjpに2回以上参加している 最終参加日が2015年1月1日以降 twitterと連携している twitterが鍵垢ではない 結果 322名の方がフォローしていたアカウントTop10はこんな感じです.敬称略です. Rank ID Name Count 1 ockeghem 徳丸 浩 214 2 ntsuji 辻 伸弘(nobuhiro tsuji) 194 3 piyokango piyokango 180 4 togakushi no root, nobody 179 5 hasegawayos
結果から先に書くと、即答に近い形で個人情報が漏れた。購買情報に関しては聞いてもないのに勝手に教えてくれた。 予想より反響が大きかったので文末にgmailを使った対策を追記した。 なお、米Amazonと同様、数日遅れて問い合わせ内容についてのメールが来たので追記しました。 Amazonのカスタマーサービス経由でアカウント情報が流出したことが判明 - GIGAZINE http://gigazine.net/news/20160125-amazon-customer-service-backdoor/ こーんな記事があったものだから、嘘くせえと思って実際に(英語めんどくさいので日本の)カスタマーサービスにチャットで問い合わせてみた。いうまでもなく、ソーシャル・エンジニアリングはクラックの基本である。セキュリティにうるさいAmazon社がこんなにザルなわけがないと思ったからだ。 なお、ニセの住所
手がかりがほとんどない状態ですが、現在、アマゾンさんで有効なアカウントの収集が何者かによって実施されているような動きが見えます。 事の発端は、アマゾンさんから、以下のようなメールアドレス変更通知が届いたことです。 これがいきなり届くメールアドレスは、アマゾンへの利用登録がなされていないということにほかなりません。 アマゾンに利用登録がなされているメールアドレスの場合は、以下のような画面に飛びます。この画面に飛んでなお「変更する」となった場合には、変更先のメールアドレスの持ち主に「変更するけど心当たりある?」というような内容のメールが、検証用のリンク*1をともなって飛んでいきます。 この画面に飛ばず、いきなりメールアドレス変更された的なページに飛ぶ場合は、間違いなく変更先のメールアドレスはアマゾンへの登録がなされていません。 このため、有効なメールアドレスに巡り会えない場合は、また元に戻して
ここ数日、当ブログのアクセス数が急に多くなりなんだろうと解析してみれば、8年前のエントリーにアクセスが集中していたのであります。 (8年前のエントリー) ■[社会]不明年金問題:問われるシステム開発主幹会社NTTデータの責任 http://d.hatena.ne.jp/kibashiri/20070615 これは当時、大きな問題となっていた、いわゆる社保庁の「消えた年金問題」を、IT技術者として関わりのあった立場から論説した一連のエントリーのうちのまとめ的な最終回のエントリーなのであります。 このシリーズ連載は当時かなりの話題をいただき、TVや雑誌メディアなどでも引用いただいたり取り上げられたものであります、本件に関心がありお時間ある読者はお暇なときにご一読あれ。 (不明年金問題シリーズ) ■[社会]不明年金問題は社会保険庁による「人災」〜5000万件というとほうもない数の「名寄せ」の失敗
Internet Explorerで細工したページに対し印刷プレビューを実行すると、ページ内の情報が外部に漏えいする場合があった脆弱性について書きます。本問題は、Microsoft提供の更新プログラムにより現在は修正されています。 この問題は、Microsoftが2013年の6-7月に30日間限定で実施したIE11 Previewの脆弱性報酬制度を通じて報告したものです。その後、報酬対象として受理され、$1,100を頂きました。 報酬は次のようなデビットカードで支払われました。 IE11のBounty Program( http://t.co/Xx2WUOut43 )のデビットカードが届いた!ありがとうMicrosoft! pic.twitter.com/It1LzVAAyC — Masato Kinugawa (@kinugawamasato) 2013, 9月 27 カード右上の金額が
谷藤賢一さんの著書『気づけばプロ並みPHP~ショッピングカート作りにチャレンジ! 』に、発売1周年の謝恩キャンペーンとして『副読本:お助け電子BOOK』が公開されました(*1)。私はこの副読本の中で、『第2章 【徳丸 浩氏 スペシャル寄稿】安全なWebアプリケーションのために』を寄稿しています。このエントリでは、寄稿の顛末を報告したいと思います。 動機 私が本書『気づけばプロ並みPHP』を購入したのは昨年の10月29日ですから、本書が出版されてまもなく、今から約1年前です。私は本書を一読して、セキュリティ上の多数の問題があることに気がつきました。 以前は、セキュリティ上の問題が多い本は書評をブログ記事として書くことも多かったのですが、この際は書評という形にするのはためらいがありました。その理由は以下の様なものです。 私のブログの読者層はセキュリティに関心の高い方たちであり、本書の読者とは重
こんにちは、sowawaです。 OpenSSHによる二段階認証についての続編記事です。 ワンタイムパスワード(One Time Password: よくOTPと略されます)とは、一回限りの使い捨てのパスワードのことです。認証するサーバ等との間で事前に共有が必要な情報は、 アルゴリズムにより様々ですが時間やカウンターをベースにしたものがよく利用されています。 最近では、様々なサービスで同じメールアドレスとパスワードの組み合わせで使い回されたことによって、 ひとつのサービスから流出したパスワードとメールアドレスを他のサービスに対する不正アクセスに頻繁に利用された結果、 重要な情報を扱う様々なサービスではOTPを利用したニ段階認証が導入されるようになりました。 多くの人がアカウントを持っているGoogleでは、Google Authenticatorと呼ばれるモバイル端末等で動作するOTP生成ア
Android の次期バージョン「Android L」では「端末の暗号化」オプションがデフォルト有効になっていると、ワシントンポストが Google へのインタビューで明らかになったと報じました。 Android の「端末の暗号化」は、2011 年より提供されているセキュリティ機能で、これまではデフォルト無効であり、利用するには設定メニューで切り替える必要がありました。それがデフォルト有効になるので、Android L で発売された機種の場合は開封時には暗号化済み、また、OS のバージョンアッププロセスでも自動的に暗号化処理が行われるそうです。 今回の方針変更について Google の広報担当者 Niki Christoff 氏は、「当社は3年以上にわたってAndroidの暗号化機能を提供してきました。鍵はデバイス内に格納されないので、端末のデータが法的機関と共有されることはありません。」
前書き OpenSSLの脆弱性(CVE-2014-0160)が公開されました。 詳細はpiyokangoさんの素晴らしいまとめを参照してください。 OpenSSLの脆弱性(CVE-2014-0160)関連の情報をまとめてみた - piyolog エフセキュアブログにて、トーマツの岩井さんが書いた興味深い記事がありました。 エフセキュアブログ : Openssl Heartbleed 攻撃の検知について #根本的な対策ではなく、あくまで攻撃検知という意味で。 iptables log rules iptables -t filter -A INPUT -p tcp --dport 443 -m u32 --u32 "52=0x18030000:0x1803FFFF" -j LOG --log-prefix "BLOCKED: HEARTBEAT" iptables block rules i
HeartBleed(CVE-2014-0160)関係のリンク集、自分のメモ用なので不正確です。 HeartBleedの影響対象となるOpenSSLバージョン 以下のバージョンが影響を受けます。但し、システムによっては原因となっているheartbeat機能が無効化されている場合もあるため、バージョンが一致しただけで当該脆弱性の影響を受けるかは確定しません。 (1) OpenSSL 1.0.1系 バージョン名 リリース時期 CVE-2014-0160 OpenSSL 1.0.1 2012/03/14 脆弱性あり OpenSSL 1.0.1a 2012/04/19 脆弱性あり OpenSSL 1.0.1b 2012/04/26 脆弱性あり OpenSSL 1.0.1c 2012/05/10 脆弱性あり OpenSSL 1.0.1d 2013/02/05 脆弱性あり OpenSSL 1.0.1e
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
この投稿はPHP Advent Calendar 2013の13日目の記事です。昨日は@tanakahisateruのPHPが糞言語なのはどう考えても参照をポインタだと思っているお前らが悪いでした。 現在twitterのタイムラインで、史上空前のSQLのエスケープブームが起こっています。 オレオレSQLセキュリティ教育は論理的に破綻している | yohgaki's blog 「プリペアードクエリが基本だけど、動的に SQL を組み立てる場合もあるから、そういう場合に備えてエスケープも知っておいたほうがいいかも」 - Togetterまとめ エスケープとプレースホルダをめぐる議論 - Togetterまとめ SQLインジェクション対策としてのプリペアドステートメントとエスケープについての議論 - Togetterまとめ IPAの「安全なSQLの呼び出し方」が安全になっていた | yohgak
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く