【crackmes.one】「crackme dady」攻略 - セキュリティ猫の備忘録
はじめに crackmeの攻略の備忘録になります(攻略までの考え方、ツールの使い方をまとめるのを目的としています)。 静的解析・リバースエンジニアリングの練習としてツールを使いこなせるようにすることを目指しています。 はじめに crackmeとは crackmes.oneとは 攻略 対象ファイル「crackme dady」 デコンパイル 実行 デバック crackmeとは リバースエンジニアリングスキルをテストするために設計されたプログラムとなります。そのプログラムの挙動・仕様から解析し、攻略しているものになります。 crackmes.oneとは リバース エンジニアリング スキルを向上させるためにcrackmeのプログラムをダウンロードできるサイトになります。 crackmes.one 攻略 対象ファイル「crackme dady」 今回対象とするファイルは以下のものとなります。 Cra
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023
GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023 GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。 Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。 これはXSS(クロスサイトスクリプティング)などのコードのロジックなどの潜在的な脆弱性や、漏洩すると大きな事故を引き起こすシークレットがコード内に含まれていないか、などをチェックしてくれる機能です。 今回発
GitHub、コードの脆弱性を発見後に修正コードまで自動生成してくれる「Code scanning autofix」発表
この記事は新野淳一氏のブログ「Publickey」に掲載された「[速報]GitHub、コードの脆弱性を発見後、修正コードまで自動生成してくれる「Code scanning autofix 」発表。GitHub Universe 2023」(2023年11月10日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米GitHubの年次イベント「GitHub Universe 2023」が米サンフランシスコで開幕。1日目の基調講演で、GitHub Copilotが脆弱性のあるコードを自動的に修正してくれる「Code scanning autofix 」を発表し、発表と同時にプレビュー公開となりました。 Copilotには以前からコードの脆弱性を発見する「GitHub Advanced Security」と呼ばれる機能が備わっていました。 これはXSS(クロスサイトスクリプ
GitLab、2023年度第1四半期にリリースされた新機能を発表
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます DevSecOpsプラットフォームを提供するGitLabは、2023年度第1四半期(2023年2〜4月)にリリースされた「GitLab」の新機能を発表した。 これらには「AIによる脆弱(ぜいじゃく)性緩和ガイダンス」「ライセンスポリシーの設定とソフトウェアライセンスのスキャンによるコンプライアンスの確保」「個人アクセストークン(PAT)の漏えい防止」などかある。 GitLabの2023年グローバルDevSecOps調査レポート「Security Without Sacrifices(犠牲にしないセキュリティ)」によると、DevSecOpsプラットフォームを使用していないセキュリティ担当者は、修正を行える人を探すのに苦労しがちで、脆弱性の
GitHub、「Swift」を「Code Scanning」でサポート--「Kotlin」に続いてベータ提供
GitHubは米国時間6月6日、プログラミング言語「Swift」に対し、「Code Scanning」サポートのベータ版提供と、セキュリティアドバイザリーでの今後のサポートを発表した。 GitHubは2022年11月、「Kotlin」に対するCode Scanningサポートをベータ版として提供。6000以上のアラートが修正されたという。「Android」と「iOS」プラットフォーム向けモバイルアプリ開発でそれぞれ広く利用されているKotlinとSwiftのサポートは、セキュリティチェックを自動化するためのコード分析エンジン「CodeQL」にとって非常に重要と同社は述べ、Code Scanningはこれら言語特有のセキュリティ脆弱(ぜいじゃく)性や潜在的な脅威を効果的に分析・検出することができるようになると説明する。 Swiftのサポートでは、パスインジェクション、安全ではないウェブビュー
セキュアコーディング | サイバーセキュリティ情報局
悪意のある攻撃者は、ソフトウェアが抱える不備や不具合、すなわち脆弱性を突いてデータを盗聴・改ざんしたり、マルウェアに感染させたりといった攻撃を仕掛けてくる。セキュアコーディングとは、こうした攻撃を受けることを想定して、脆弱性を抱えないようにソフトウェアを開発する手法を指す。 例えば、Webアプリケーションでは入力フォームに書き込む値からデータベースを不正に操作し、データの改ざん・窃取を試みるSQLインジェクションと呼ばれる攻撃が知られている。セキュアコーディングで推奨された手法に基づき、脆弱性を解消し不正な操作を防ぐようにコーディングを行うことで、脆弱性を突いた攻撃のリスクは軽減される。Webアプリケーションに限らず、モバイルアプリやIoT機器など、あらゆるソフトウェア製品において、脆弱性を事前に回避する取り組みが必要だ。 設計段階からセキュリティを考慮する考え方は「セキュリティ・バイ・デ
AIを使って悪意のあるコードを生み出す「トロイの木馬パズル」
カリフォルニア大学、バージニア大学、Microsoftの研究者が、「GitHub Copilot」のような人工知能(AI)ベースのコーディングアシスタント機能を用いて悪意のあるコードを生み出す「トロイの木馬パズル」を考案しました。 TROJANPUZZLE: Covertly Poisoning Code-Suggestion Models (PDFファイル)https://arxiv.org/pdf/2301.02344.pdf Trojan Puzzle attack trains AI assistants into suggesting malicious code https://www.bleepingcomputer.com/news/security/trojan-puzzle-attack-trains-ai-assistants-into-suggesting-mali
Wasmはなぜセキュアなのか?
Wasmはなぜセキュアなのか? 前回Wasmのバイナリを読んでみたが、実行時にどのようにセキュアに実行しているのか気になったので調べてみた。 とりあえず今回も公式ドキュメントを見ながら整理しつつ、実際のコードも無理なく辿れそうなところはwasmerの実装を参考に見ていきたいと思う。 Wasmの目指すセキュリティ とりあえず公式の記載を脳死で読解していく。 The security model of WebAssembly has two important goals: (1) protect users from buggy or malicious modules, and (2) provide developers with useful primitives and mitigations for developing safe applications, within the
米国家安全保障局、CやC++からメモリー安全性の高いJavaなどへの移行を推奨
これらの言語の中では、Javaが企業向けアプリや「Android」アプリの開発で最も幅広く使用されている一方、Swiftは「iOS」アプリの開発環境に取り込まれている点もあって人気プログラミング言語の上位に入っている。また、RustはシステムプログラミングにおいてCやC++の代替として注目を集めつつある。 同ガイダンスには「可能であれば、メモリー保護機能が言語自体にほとんど、またはまったく内在していないCやC++といった言語から、メモリー安全性の高い言語への移行に向けた戦略的遂行手段を検討することを組織や企業に推奨する。メモリー安全性の高い言語として、C#やGo、Java、Ruby、Swiftなどが挙げられる」と記されている。 NSAはGoogleやMicrosoftにおける最近の調査結果を引用している。それらによると、「Google Chrome」や「Windows」内で発見されたセキュ
動的解析によるメモリ破壊の発見 - ラック・セキュリティごった煮ブログ
デジタルペンテスト部の木田です。今回は開発者よりのお話です。 はじめに プログラム開発を行うときにメモリの境界を越えてR/Wしてしまう事は時折存在します。例えば、入力されるデータの検証が不十分な状態で予期せぬ長さの文字列が入力され、用意されたメモリ領域に収まらない長さのデータが書き込まれてしまうと、重要なデータの上書きにつながります。この種の脆弱性はバッファオーバーフローと呼ばれており、「メモリ破壊」に分類される脆弱性です。 ここでは主にIoT機器を開発に従事する方々をターゲットとしてお話しますが、そうでない方々でも問題ないようにお話をしたいと考えています。 メモリ破壊系の脆弱性の問題 最も幸いなパターンはプログラムの異常終了です。エンジニアはプログラムが異常終了した箇所を特定して修正すれば事は済みます。とはいえ、これが大きなシステムの中の1プログラムだとするとエンジニアはバグチケットを握
Pythonのセキュリティに関する開発チーム向けの6つのベストプラクティス | Black Duck Blog
Pythonは初心者にも経験豊富な開発者にも適した、高速でプラットフォームに依存しない、習得しやすいプログラミング言語です。Pythonは、1991年の最初のリリース以来、コンピュータの世界で常に存在感を示し、わかりやすいコードと汎用性によって定番の言語となりました。今日では、幅広いライブラリやフレームワークを備え、素早く簡単なPythonプログラミング、いわゆるPythonic(パイソニック)な開発方法の基礎となっています。 しかし、プログラミング言語である以上、Pythonもセキュリティの脅威からは免れられません。攻撃者によるリスクを回避するには、セキュアコーディングのベストプラクティスを採用する必要があります。この投稿では、セキュアなアプリケーションを構築する場合に採用する必要があるPythonのセキュリティのベストプラクティスについて説明します。 常に最新のコードを使用して、ソフト
ソースコードのコピペで広がる脆弱性に注意
Stack Overflowは11月26日(米国時間)、「Copying code from Stack Overflow? You might be spreading security vulnerabilities - Stack Overflow Blog」において、ソースコードの内容を理解しないでコピー&ペーストして利用することは、脆弱性を含んだソースコードを拡散することになるという研究結果を伝えた。 Stack OverflowはQ&Aに掲載されているサンプルコードは脆弱性を含んでいる可能性があることを認識するとともに、ソースコードの内容を理解してから活用することを推奨している。 Stack OverflowはQ&Aに掲載されているC++サンプルソースコードに多かった脆弱性として、返り値チェックの欠落と、引数データの未チェックを挙げている。返り値をチェックしないことはnullポ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【セキュリティ ニュース】JSSEC、「Androidアプリセキュアコーディングガイド」第17版を公開(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】最新Androidセキュアコーディングガイドに英語版 - JSSEC(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】セキュア開発が学べる無料オンラインコンテンツ - Linux Foundation(1ページ目 / 全1ページ):Security NEXT