Burp MCP Serverを使い、自然言語でBurpを操作する 脆弱性診断を自動化したい - QiitaDeleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article?
まだPCにIAMアクセスキー保存してるの? ベスプラに沿って、AWS CLIやSDKから安全に開発しよう! - Qiita
AWSで開発をする際に必須のわりには、CLIやSDKからAWSアカウントへのアクセス設定ってかなり複雑ですよね。 私も未だによく混乱しては調べ直しているので、改めてベスプラを整理してまとめておきます。 AWS Organizations & IAM Identity Centerが使える場合 理由がなければこちらを採用しましょう。 個人検証用のAWSアカウントでも、用途ごとにアカウントをつど発行して使い捨てにできるので、安全ですし便利です。 理想的なアクセス方式 個人用IAM IICユーザー(Assume Role権限のみ) -> Assume Roleを実施(MFA認証必須) -> 作業対象AWSアカウント(作業に必要なIAMロールを利用) 補足: IAM IICとは? IAMユーザーとは別に、IIC自体にユーザーアカウントを作成することができます。このIICユーザーには、IAMポリシー
Content Discovery Webアプリケーションに対する偵察行為 - Qiita
はじめに 攻撃者1は攻撃前の事前準備として、公開されている情報を基に偵察行為を行います。 本記事は攻撃者がどのようにして情報収集を行なっているかなど、Webアプリケーションに対する偵察を行う目的及び実行するための手段について記載しています。 攻撃者の偵察行為を知ることは、理にかなったセキュリティ対策の考え方を身につけることができます。 目的と手段 攻撃者が偵察行為として情報収集を行う目的は、収集した情報を基にシステムの脆弱性を特定し、攻撃方法を確立するためです。 偵察行為はサイバーセキュリティフレームワークでも定義されています。 キルチェーンや、MITRE ATT&CKフレームワークの場合、PRE Matrix(Enterprise)に含まれます。MITRE ATT&CKフレームワークについては以前書いた攻撃を基に防御を最大化する考え方 MITRE ATT&CKについて理解するをご参照くだ
ブラウザ開発者ツールのネットワークタブに表示されない情報送信手法 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに はじめまして、セキュリティエンジニアのSatoki (@satoki00) です。今回はブラウザの開発者ツールのネットワークタブから隠れて、Webサイト内の情報を送信する手法をまとめます。所謂Exfiltrationというやつです。中にはCSPの制限をBypassするために用いられるテクニックもあります。CTFなどで安全に使ってください。 前提 発端はWeb上でテキストの文字数をカウントできるサイトが閉鎖する際の話です。カウント対象のテキストデータがサイト運営 (やサイトを改竄した攻撃者) に盗み取られていないかという議論が巻
静的コード分析ツールSonarQubeってこんなに簡単に使えるようになってたのか、の話 - Qiita
はじめに 数年ぶりにSonarQubeを触ってみたくなり、試したところかなり簡単だったので、その感覚を残したく記事化してみました。 SonarQubeとは SonarSourceのプロダクトの一つであり、コード品質、コードセキュリティのチェックを実施するツールです。 さまざまな使い方ができるのだと思いますが、簡単に使うためにはJenkinsなどのツールと同じようにSonarQube用のサーバーとして1プロセス立ち上げ、その中でチェックと、チェック結果を確認・参照することができます。 今回やりたいこと MavenでビルドしているJavaプロジェクトに対して、ソースコードの品質が不安なので第三者チェックしてほしいと思うことがあると思います。その際に頼めるレビューアーがいないので最低限確認するためにツールにレビューをお任せしたい、ということがやりたいことです。 JenkinsのようなCI環境も手
Amazon EMRを整理してみた - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 背景・目的 Amazon ERMは使用したことありますが、どのような機能があるか仕様など細かいところを把握してないため整理します。 まとめ 以下の特徴があります。 ビッグデータアプリケーション、PBスケールのデータ分析をオンプレの半分以下のコストで高速に実行できます。 カスタマイズされたEC2クラスタ、EKS、Outposts、EMR Serverlessで実行するオプションを備えた、最新のOSSフレームワークを使用してアプリケーションを構築する。 パフォーマンスが最適化されたOSSのAPI五感バージョンでSpark、Hive、Pres
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 本記事は4月10日9:00(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 4/10 9:15 キルスイッチの動作について追記しました。 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。 ところどころに考察を記載しています。 事実は~
3分でわかるXSSとCSRFの違い - Qiita
みなさんこんにちは。 FUJITSU その2 Advent Calendar 2018 17日目の記事担当は私 ゆきはらです。 前回14日目はkeiya-nobutaさんのSphinxの導入とLinux Kernelドキュメントのビルドで、 18日目はhasunumaさんの富士通サイバーセキュリティーワークショップ(FCSW)2018参戦記となっています。 はじめに なぜこのテーマにしたか Webアプリケーションに対する代表的な攻撃手法としてXSS(クロスサイトスクリプティング)とCSRF(クロスサイトリクエストフォージェリ)というものがあります。 しかしこの二つ、名前だけでなく攻撃手法も似ていて違いがとてもわかりづらいです。かつて私がセキュリティを勉強していたときもよく混同していました。 そこで、この記事ではXSSとCSRFの仕組みとそれらの違いについてまとめることにしました。 対象とす
デジタルアイデンティティの仕事をはじめたらやるべき7つのこと - Qiita
こんにちは、kura(倉林 雅)です。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の7日目の記事です。 某IT企業に新卒入社して早くも10年以上が経過しているわけですが、私の所属する部門はID登録、ログイン、ID連携といったプロダクトを中心としたデジタルアイデンティティ(以下、IDと表記)関連専門の部門となっています。 多少人材は流動的な部分はあるものの、幸いなことにIDを起点とする戦略が経営に組み込まれており、それなりの規模の人員に加えて定期的に新卒や中途採用の人材が配属されます。 新たにIDの部門にやってきた際に必ずといっていいほど聞かれることが 「IDの技術はどのように学んだらよいですか?」 ということです。 IDはインターネットサービスにおいてビジネス的にもセキュリティ的にも重要であると考えていますが、他の技術領
CompTIA CySA+受験記〜勉強方法と試験の感想〜 - Qiita
はじめに 2016年頃より日本国内における「セキュリティ人材の不足」が指摘されつづけています。2021年現在も高額な報酬と興味深い仕事内容から、サイバーセキュリティ業界でのキャリアは魅力的な選択肢の一つといえます。 しかし、サイバーセキュリティの仕事には多くの選択肢があります。どのようにキャリアを歩むべきなのでしょうか。 ここでは、その選択肢の一つとして組織内の「CSIRT(Computer Security Incident Response Team)」または「SOC(Security Operation Center)」における「セキュリティアナリスト」として活躍する道を提案したいと思います。その第一歩として「CompTIA CySA+」認定へのチャレンジをお勧めします。 これから受験する方へ少しでも参考になれば幸いです。 セキュリティアナリスト 「セキュリティアナリスト」(または、
SSDをSecure Erase機能で安全に消去する - Qiita
注意 この記事ではSSDのデータ消去について扱います。 データの消去はディスクを他人に譲渡する際などにやるべきことですが、当然データは消えてしまうので操作ミスに注意してください。 誤った手順での消去や、消去の失敗はSSDがロックされることに繋がり、アクセス不能になってしまう場合もあるようです。 言うまでもないことですが、自己責任でお願いします。 SSDにおけるデータ消去の問題と解決策 SSDはフラッシュメモリによってデータを記録していますが、従来のHDDとは違った特徴を持ちます。 そのため、単純にddコマンド等でデータを上書きするのがデータ消去における最適な方法とは言えません。 現在流通している大半のSSDでは、データを安全に消去するためのSecure Erase機能が用意されています。 これによって容易にSSDのデータ消去を行うことができ、かつ消去後のパフォーマンス低下を抑えることができ
[GitHub] Renovate の導入と設定 - Qiita
はじめに GitHub の dependabot が煩わしくなってきました。 私の場合は主に package.json での依存関係でアラートがでるのですが、 dependabot alerts がでる 内容をみる 手元で依存関係をアップデートなり npm autdit で確認して個別に npm install したりで対応 package.json や package-lock.json を push といったことをやってきました。 が、先述のとおりこの一連の作業が煩わしくなってきたところ、 Renovate を導入して自動化できるという話を耳にしたので試してみようと思います。 とは言うものの、右も左もわからない状態ではなにが正しいかも分からない、ということろでまずは公式を頼りに進めます。 導入 GitHub リポジトリに Renovate を導入します。 手順はこちらのドキュメントを参
![[GitHub] Renovate の導入と設定 - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/59e38c5e13c24b0a48dcf2c6bbf3be6b1b9a7e38/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fqiita-user-contents.imgix.net%252Fhttps%25253A%25252F%25252Fcdn.qiita.com%25252Fassets%25252Fpublic%25252Farticle-ogp-background-afbab5eb44e0b055cce1258705637a91.png%253Fixlib%253Drb-4.0.0%2526w%253D1200%2526blend64%253DaHR0cHM6Ly9xaWl0YS11c2VyLXByb2ZpbGUtaW1hZ2VzLmltZ2l4Lm5ldC9odHRwcyUzQSUyRiUyRnFpaXRhLWltYWdlLXN0b3JlLnMzLmFtYXpvbmF3cy5jb20lMkYwJTJGMTkzMzQyJTJGcHJvZmlsZS1pbWFnZXMlMkYxNTAwODg4MTU5P2l4bGliPXJiLTQuMC4wJmFyPTElM0ExJmZpdD1jcm9wJm1hc2s9ZWxsaXBzZSZmbT1wbmczMiZzPTdkM2Q3MzZlZDRkOWEyOThkYmM1YzQ3NmYzNmI1MzFh%2526blend-x%253D120%2526blend-y%253D467%2526blend-w%253D82%2526blend-h%253D82%2526blend-mode%253Dnormal%2526s%253Df6ef6496ea559ea2ba01a9233a5c9b84%3Fixlib%3Drb-4.0.0%26w%3D1200%26fm%3Djpg%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTk2MCZoPTMyNCZ0eHQ9JTVCR2l0SHViJTVEJTIwUmVub3ZhdGUlMjAlRTMlODElQUUlRTUlQjAlOEUlRTUlODUlQTUlRTMlODElQTglRTglQTglQUQlRTUlQUUlOUEmdHh0LWFsaWduPWxlZnQlMkN0b3AmdHh0LWNvbG9yPSUyMzFFMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtcGFkPTAmcz01YTNmOGY1M2Q1NjQzYzJjZjIzN2NmY2U3ZjkzODNiZA%26mark-x%3D120%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTgzOCZoPTU4JnR4dD0lNDBrc2gtZnRociZ0eHQtY29sb3I9JTIzMUUyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1wYWQ9MCZzPTNmMDNkNmIxNjdmOWNjYjdjYTFiYzcxMjgwODFjOGE4%26blend-x%3D242%26blend-y%3D480%26blend-w%3D838%26blend-h%3D46%26blend-fit%3Dcrop%26blend-crop%3Dleft%252Cbottom%26blend-mode%3Dnormal%26s%3D70504bebef4ad5fa0467d07626f21b77)
bcryptとbcrypt-rubyについて調べてみた - Qiita
先日『暗号技術入門』を読みました。この過程で、アプリケーション開発で使用機会の多いbcryptについて気になり、調べてみました。 本記事では、bcryptを仕事で使う際に知っておいたほうが良さそうなことをまとめます。 環境 bcryptの挙動を説明するためにbcrypt-rubyを利用しています。 記事執筆時点で最新のv3.1.16を対象としています。 bcryptとは bcryptは一方向ハッシュ関数のアルゴリズムの1つであり、(パスワードなどの)データからハッシュ値を算出します。 bcryptの特徴として、ハッシュ値から元のデータを逆算されづらくするために、ソルトとコストがあります。 一方向ハッシュ関数とソルト、コストについては後述します。 ちなみに、「パスワードをハッシュ化する」という表現をよく見かけますが、これは「ハッシュ関数を用いてパスワードからハッシュ値を得る」と同義です。また
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセス
たくさんセキュリティチェックシートを書いていて悟りが開けそうなので途中経過を書いてみる - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? セキュリティチェックシートって大変ですよね 「契約締結目前で、今日もらったチェックシートを3日後までに出せば決まりです!」 「これNGだと契約できないんですけどなんとかならないですか?」 「(書いてもらったシートをレビュー中)え!?これOKじゃなくてNGですよ!?」 「書き始めたら8時間以上かかってるんですけどこれ無償対応なんですか・・・?」 っていうことありませんか!?ない!?良かったですね!!(血涙) ということで、結構セキュリティチェックシートで苦労しています。 過去にISMS認証を取得したときには「これでちょっとは楽になるな!よ
エンジニアのための刑事事件対策まとめ - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? こんにちは。モロと申します。 実は数年前警察のお世話になり、数年裁判等をやって、昨年晴れて無罪放免となったのですが、そういえばその後どこにも情報をまとめていなかったことに気が付きました。 正直にいうとまったく気の進まない作業ですし、数年間これにかかりきりだったこともあり「わざわざまとめなくても誰でも知ってることでは……?」みたいな気持ちもあります。 とはいえ冷静に考えると大抵の人は一生関わり合いになることのない知識で、お世話になった界隈に対して何も残さないのも不義理という感じがしたため遅ればせながら筆を執らせていただきます。 はじめに
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『
国内の情報セキュリティに関連する組織・情報源について - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 国内の情報セキュリティに関連する組織・情報源をまとめてみました。 組織内でセキュリティ情報を展開するときは、権威があって日本のサイトだと伝わりやすい気がします。 国民のための情報セキュリティサイト 総務省が運営しています。ITの基礎知識から一般利用者・組織向けのセキュリティ情報が掲載されています。 まさに国民のためという感じがします。 NISC 内閣サイバーセキュリティーセンター 内閣官房が運営しています。様々なセキュリティ情報があります。 SNS関連アカウントもあり情報にアクセスしやすそうです。 サイバー警察局 警察庁が運営
CISAの悪用された脆弱性リスト KEV に未対応のデバイスを発見する (Microsoft Defender for Endpoint, Advanced Hunting) - Qiita
最近、対応すべき脆弱性の洗い出しに、米国の国土安全保障省 (DHS) のサイバーセキュリティ インフラセキュリティ庁(Cybersecurity & Infrastructure Security Agency、通称 CISA)が公開している、悪用された脆弱性のリスト (Known Exploited Vulenraiblites catalog, 通称 KEV) を活用するのをよく目にするようになってきました。 今回は Microsoft セキュリティソリューションのアドベントカレンダーの記事という事で、KEV が話題になってる昨今、Microsoft のソリューションで、どうやって KEV対応を確認するんじゃ~ ということを書いてみます。 Known Exploited Vulenrabilites (KEV) catalog とは? Known Exploited Vulenrabi
DDoS攻撃に対処する WAF サンドイッチ構成とは - Qiita
はじめに Solution Architect の勉強で出てきた問題に WAF サンドイッチのアーキテクチャができてたのでその理解のため 参考にした資料 (AWS初心者向けWebinar AWS上でのDDoS対策) が 2015 年のものなので、現在ではベストプラクティスではないかもしれないので注意 ELB を利用している点や、AWS WAF が ALB に適用できるようになっている点などから DDoS とは Distributed Denial of Service Attack のこと ウェブサイトやアプリケーションをエンドユーザーが利用できないようにすることを目的とした攻撃 攻撃者は、これを行うために、ネットワークやその他のリソースを消費するさまざまな手法を用いて、正規のエンドユーザーのアクセスを中断させる DoS とは異なり、攻撃者は複数のシステムを使用して標的に対する攻撃を指揮す
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
