Content Discovery Webアプリケーションに対する偵察行為 - Qiita
はじめに 攻撃者1は攻撃前の事前準備として、公開されている情報を基に偵察行為を行います。 本記事は攻撃者がどのようにして情報収集を行なっているかなど、Webアプリケーションに対する偵察を行う目的及び実行するための手段について記載しています。 攻撃者の偵察行為を知ることは、理にかなったセキュリティ対策の考え方を身につけることができます。 目的と手段 攻撃者が偵察行為として情報収集を行う目的は、収集した情報を基にシステムの脆弱性を特定し、攻撃方法を確立するためです。 偵察行為はサイバーセキュリティフレームワークでも定義されています。 キルチェーンや、MITRE ATT&CKフレームワークの場合、PRE Matrix(Enterprise)に含まれます。MITRE ATT&CKフレームワークについては以前書いた攻撃を基に防御を最大化する考え方 MITRE ATT&CKについて理解するをご参照くだ
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻き起こっていました。「盗み取られていない」側の主張は、ブラウザの開発者ツールのネットワークタブにリクエストを送信した形跡がないというものでした。ここで ブラウザの開発者ツールのネットワークタブに表示がなければ外部へデータを送信していないのか? といった疑問が
静的コード分析ツールSonarQubeってこんなに簡単に使えるようになってたのか、の話 - Qiita
はじめに 数年ぶりにSonarQubeを触ってみたくなり、試したところかなり簡単だったので、その感覚を残したく記事化してみました。 SonarQubeとは SonarSourceのプロダクトの一つであり、コード品質、コードセキュリティのチェックを実施するツールです。 さまざまな使い方ができるのだと思いますが、簡単に使うためにはJenkinsなどのツールと同じようにSonarQube用のサーバーとして1プロセス立ち上げ、その中でチェックと、チェック結果を確認・参照することができます。 今回やりたいこと MavenでビルドしているJavaプロジェクトに対して、ソースコードの品質が不安なので第三者チェックしてほしいと思うことがあると思います。その際に頼めるレビューアーがいないので最低限確認するためにツールにレビューをお任せしたい、ということがやりたいことです。 JenkinsのようなCI環境も手
Amazon EMRを整理してみた - Qiita
背景・目的 Amazon ERMは使用したことありますが、どのような機能があるか仕様など細かいところを把握してないため整理します。 まとめ 以下の特徴があります。 ビッグデータアプリケーション、PBスケールのデータ分析をオンプレの半分以下のコストで高速に実行できます。 カスタマイズされたEC2クラスタ、EKS、Outposts、EMR Serverlessで実行するオプションを備えた、最新のOSSフレームワークを使用してアプリケーションを構築する。 パフォーマンスが最適化されたOSSのAPI五感バージョンでSpark、Hive、Prestoを使用してインサイトを導き出すまでかかる時間を最大2倍高速 EMR NotebooksとEMR Studioの使い慣れたOSSを使用してアプリケーションを簡単に開發、視覚化、デバッグできる。 下記のユースケースで利用できます。 ビッグデータ分析 スケーラ
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
本記事は4月3日21:30(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。 概要 問題の
3分でわかるXSSとCSRFの違い - Qiita
みなさんこんにちは。 FUJITSU その2 Advent Calendar 2018 17日目の記事担当は私 ゆきはらです。 前回14日目はkeiya-nobutaさんのSphinxの導入とLinux Kernelドキュメントのビルドで、 18日目はhasunumaさんの富士通サイバーセキュリティーワークショップ(FCSW)2018参戦記となっています。 はじめに なぜこのテーマにしたか Webアプリケーションに対する代表的な攻撃手法としてXSS(クロスサイトスクリプティング)とCSRF(クロスサイトリクエストフォージェリ)というものがあります。 しかしこの二つ、名前だけでなく攻撃手法も似ていて違いがとてもわかりづらいです。かつて私がセキュリティを勉強していたときもよく混同していました。 そこで、この記事ではXSSとCSRFの仕組みとそれらの違いについてまとめることにしました。 対象とす
デジタルアイデンティティの仕事をはじめたらやるべき7つのこと - Qiita
こんにちは、kura(倉林 雅)です。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の7日目の記事です。 某IT企業に新卒入社して早くも10年以上が経過しているわけですが、私の所属する部門はID登録、ログイン、ID連携といったプロダクトを中心としたデジタルアイデンティティ(以下、IDと表記)関連専門の部門となっています。 多少人材は流動的な部分はあるものの、幸いなことにIDを起点とする戦略が経営に組み込まれており、それなりの規模の人員に加えて定期的に新卒や中途採用の人材が配属されます。 新たにIDの部門にやってきた際に必ずといっていいほど聞かれることが 「IDの技術はどのように学んだらよいですか?」 ということです。 IDはインターネットサービスにおいてビジネス的にもセキュリティ的にも重要であると考えていますが、他の技術領
CompTIA CySA+受験記〜勉強方法と試験の感想〜 - Qiita
はじめに 2016年頃より日本国内における「セキュリティ人材の不足」が指摘されつづけています。2021年現在も高額な報酬と興味深い仕事内容から、サイバーセキュリティ業界でのキャリアは魅力的な選択肢の一つといえます。 しかし、サイバーセキュリティの仕事には多くの選択肢があります。どのようにキャリアを歩むべきなのでしょうか。 ここでは、その選択肢の一つとして組織内の「CSIRT(Computer Security Incident Response Team)」または「SOC(Security Operation Center)」における「セキュリティアナリスト」として活躍する道を提案したいと思います。その第一歩として「CompTIA CySA+」認定へのチャレンジをお勧めします。 これから受験する方へ少しでも参考になれば幸いです。 セキュリティアナリスト 「セキュリティアナリスト」(または、
SSDをSecure Erase機能で安全に消去する - Qiita
注意 この記事ではSSDのデータ消去について扱います。 データの消去はディスクを他人に譲渡する際などにやるべきことですが、当然データは消えてしまうので操作ミスに注意してください。 誤った手順での消去や、消去の失敗はSSDがロックされることに繋がり、アクセス不能になってしまう場合もあるようです。 言うまでもないことですが、自己責任でお願いします。 SSDにおけるデータ消去の問題と解決策 SSDはフラッシュメモリによってデータを記録していますが、従来のHDDとは違った特徴を持ちます。 そのため、単純にddコマンド等でデータを上書きするのがデータ消去における最適な方法とは言えません。 現在流通している大半のSSDでは、データを安全に消去するためのSecure Erase機能が用意されています。 これによって容易にSSDのデータ消去を行うことができ、かつ消去後のパフォーマンス低下を抑えることができ
[GitHub] Renovate の導入と設定 - Qiita
はじめに GitHub の dependabot が煩わしくなってきました。 私の場合は主に package.json での依存関係でアラートがでるのですが、 dependabot alerts がでる 内容をみる 手元で依存関係をアップデートなり npm autdit で確認して個別に npm install したりで対応 package.json や package-lock.json を push といったことをやってきました。 が、先述のとおりこの一連の作業が煩わしくなってきたところ、 Renovate を導入して自動化できるという話を耳にしたので試してみようと思います。 とは言うものの、右も左もわからない状態ではなにが正しいかも分からない、ということろでまずは公式を頼りに進めます。 導入 GitHub リポジトリに Renovate を導入します。 手順はこちらのドキュメントを参
![[GitHub] Renovate の導入と設定 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/050ff5fa50a470311418d733a4c8342d17957f3c/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZoPTMzNiZ0eHQ9JTVCR2l0SHViJTVEJTIwUmVub3ZhdGUlMjAlRTMlODElQUUlRTUlQjAlOEUlRTUlODUlQTUlRTMlODElQTglRTglQTglQUQlRTUlQUUlOUEmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtY2xpcD1lbGxpcHNpcyZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTc0YjYwZjU3MTEyZDY1NDBkYTc5NjVjMWRhZmI5OTFi%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTcxNiZ0eHQ9JTQwa3NoLWZ0aHImdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zMiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPWJkZWVhMzRiZWRmNTUzZjYzNTU1N2U0YzJjMzFhMjU0%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3Dd2c3623c0c0f3e05caaeb67b9abe7877)
bcryptとbcrypt-rubyについて調べてみた - Qiita
先日『暗号技術入門』を読みました。この過程で、アプリケーション開発で使用機会の多いbcryptについて気になり、調べてみました。 本記事では、bcryptを仕事で使う際に知っておいたほうが良さそうなことをまとめます。 環境 bcryptの挙動を説明するためにbcrypt-rubyを利用しています。 記事執筆時点で最新のv3.1.16を対象としています。 bcryptとは bcryptは一方向ハッシュ関数のアルゴリズムの1つであり、(パスワードなどの)データからハッシュ値を算出します。 bcryptの特徴として、ハッシュ値から元のデータを逆算されづらくするために、ソルトとコストがあります。 一方向ハッシュ関数とソルト、コストについては後述します。 ちなみに、「パスワードをハッシュ化する」という表現をよく見かけますが、これは「ハッシュ関数を用いてパスワードからハッシュ値を得る」と同義です。また
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よかった!」と思ったもんですが、 大きく楽になった感じはありません。 といっても、セキュリティチェックシートは次々来るので、なんとなく悟りが開けてきました。 ということで、道半ばではありますが、 そもそもセキュリティチェックシートってなんだっけ? なんで苦労し
エンジニアのための刑事事件対策まとめ - Qiita
こんにちは。モロと申します。 実は数年前警察のお世話になり、数年裁判等をやって、昨年晴れて無罪放免となったのですが、そういえばその後どこにも情報をまとめていなかったことに気が付きました。 正直にいうとまったく気の進まない作業ですし、数年間これにかかりきりだったこともあり「わざわざまとめなくても誰でも知ってることでは……?」みたいな気持ちもあります。 とはいえ冷静に考えると大抵の人は一生関わり合いになることのない知識で、お世話になった界隈に対して何も残さないのも不義理という感じがしたため遅ればせながら筆を執らせていただきます。 はじめに 当記事は、実際に警察のお世話になり、数年間弁護士の方にご指導いただきはしたものの、あくまで法律の専門家でも何でもない一エンジニア(というか多少エンジニアリングをかじったデザイナー)によるもので、第三者による監修等もなされていません。 実体験に基づいて少しでも
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
国内の情報セキュリティに関連する組織・情報源について - Qiita
はじめに 国内の情報セキュリティに関連する組織・情報源をまとめてみました。 組織内でセキュリティ情報を展開するときは、権威があって日本のサイトだと伝わりやすい気がします。 国民のための情報セキュリティサイト 総務省が運営しています。ITの基礎知識から一般利用者・組織向けのセキュリティ情報が掲載されています。 まさに国民のためという感じがします。 NISC 内閣サイバーセキュリティーセンター 内閣官房が運営しています。様々なセキュリティ情報があります。 SNS関連アカウントもあり情報にアクセスしやすそうです。 サイバー警察局 警察庁が運営しています。セキュリティ事案への注意喚起などが行われています。 国家公安委員会 「重大サイバー事案に係る警察活動への苦情申出」などを受け付けているようです。 防衛省 サイバーセキュリティ 注意喚起や活動内容が掲載されています。 外務省 サイバーセキュリティ
CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting) - Qiita
CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting)MicrosoftAzureSecurity, 最近、対応すべき脆弱性の洗い出しに、米国の国土安全保障省 (DHS) のサイバーセキュリティ インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、通称 CISA)が公開している、悪用された脆弱性のリスト (Known Exploited Vulenraiblites catalog, 通称 KEV) を活用するのをよく目にするようになってきました。 今回は Microsoft セキュリティソリューションのアドベントカレンダーの記事という事で、KEV が話題になってる昨今、Microsoft のソリューション
DDoS攻撃に対処する WAF サンドイッチ構成とは - Qiita
はじめに Solution Architect の勉強で出てきた問題に WAF サンドイッチのアーキテクチャができてたのでその理解のため 参考にした資料 (AWS初心者向けWebinar AWS上でのDDoS対策) が 2015 年のものなので、現在ではベストプラクティスではないかもしれないので注意 ELB を利用している点や、AWS WAF が ALB に適用できるようになっている点などから DDoS とは Distributed Denial of Service Attack のこと ウェブサイトやアプリケーションをエンドユーザーが利用できないようにすることを目的とした攻撃 攻撃者は、これを行うために、ネットワークやその他のリソースを消費するさまざまな手法を用いて、正規のエンドユーザーのアクセスを中断させる DoS とは異なり、攻撃者は複数のシステムを使用して標的に対する攻撃を指揮す
CISSP合格に必要な勉強と時間(トレーニングあり) - Qiita
こんにちは! 日本でセキュリティ人材の不足が叫ばれています。そんな中、注目されている資格がCISSPです。 ただ、日本の合格者は約2500人(2020.3月時点)で、どう勉強すれば合格するの?試験の様子は?などの情報がなかなかないです。 今回は、最近CISSPに合格した私が合格のための勉強法を解説します。1人でも多くの方が合格しますように! それではいきましょう! 結論:CISSP合格に必要な勉強と時間 CISSP Official Student Guide(日本語)を1周し苦手分野を把握 CISSP Official Student Guide(日本語)はセキュリティベンダのトレーニングで配布。 トレーニングに参加しない場合、新版 CISSP CBK公式ガイドブック で代用できると思います。 CISSP公式問題集を正答率70%以上になるまで繰り返す。 問題数は約100問×8ドメイン+模
30億のデバイスで任意コードが実行できちゃうJava - Qiita
免責事項 こちらの記事で紹介する内容は、教育目的または脆弱性について仕組みを理解し周知、啓発を行うためだけに作成しております。 ぜったいに、悪用しないでください。 記載されているコードを実行した場合に発生した損害には一切責任を負いません。 理解される方のみ下にスクロールしてください。 経緯 2021/12/9にて、超有名なログ出力ライブラリであるlog4jの第2世代で任意コードが実行可能であると報告されました。 Apache Log4j2 jndi RCE#apache #rcehttps://t.co/ZDmc7S9WW7 pic.twitter.com/CdSlSCytaD — p0rz9 (@P0rZ9) December 9, 2021 ※上記は特定の文字列をログ出力させることで、ペイントツール(draw.exe)を実行している Minecraft(Java版)のチャット機能にてこ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
