Content Discovery Webアプリケーションに対する偵察行為 - Qiita
はじめに 攻撃者1は攻撃前の事前準備として、公開されている情報を基に偵察行為を行います。 本記事は攻撃者がどのようにして情報収集を行なっているかなど、Webアプリケーションに対する偵察を行う目的及び実行するための手段について記載しています。 攻撃者の偵察行為を知ることは、理にかなったセキュリティ対策の考え方を身につけることができます。 目的と手段 攻撃者が偵察行為として情報収集を行う目的は、収集した情報を基にシステムの脆弱性を特定し、攻撃方法を確立するためです。 偵察行為はサイバーセキュリティフレームワークでも定義されています。 キルチェーンや、MITRE ATT&CKフレームワークの場合、PRE Matrix(Enterprise)に含まれます。MITRE ATT&CKフレームワークについては以前書いた攻撃を基に防御を最大化する考え方 MITRE ATT&CKについて理解するをご参照くだ
30億のデバイスで任意コードが実行できちゃうJava - Qiita
免責事項 こちらの記事で紹介する内容は、教育目的または脆弱性について仕組みを理解し周知、啓発を行うためだけに作成しております。 ぜったいに、悪用しないでください。 記載されているコードを実行した場合に発生した損害には一切責任を負いません。 理解される方のみ下にスクロールしてください。 経緯 2021/12/9にて、超有名なログ出力ライブラリであるlog4jの第2世代で任意コードが実行可能であると報告されました。 Apache Log4j2 jndi RCE#apache #rcehttps://t.co/ZDmc7S9WW7 pic.twitter.com/CdSlSCytaD — p0rz9 (@P0rZ9) December 9, 2021 ※上記は特定の文字列をログ出力させることで、ペイントツール(draw.exe)を実行している Minecraft(Java版)のチャット機能にてこ
脆弱性診断ツール OWASP ZAP vs 脆弱性だらけのWebアプリケーションEasyBuggy - Qiita
脆弱性診断ツール「OWASP ZAP」は、脆弱性だらけのWebアプリケーション「EasyBuggy」の脆弱性をどの程度検出できるでしょうか? 今回は次の基本的な機能で検証してみました。 簡易スキャン:WebアプリケーションのルートのURLを入力すると、OWASP ZAPがその配下をクロールして脆弱性があるか診断する。 静的スキャン:ブラウザ上でWebアプリケーションの基本的な機能を一通り手作業で動かすと、OWASP ZAPがレスポンスの内容などを検査する。 動的スキャン:静的スキャンで行った操作を、OWASP ZAPがリクエストパラメータを変えるなどして再実行し、診断する。 なお、検証で行った作業内容もこのページ載せていますので、OWASP ZAPを試してみたい方は参考にしてみて下さい。 はじめに OWASP ZAPとは その前にOWASP ZAPについて簡単に説明しておきます。「OWAS
Amazon Inspectorの導入 - Qiita
Amazon Inspectorを触る機会があったため、脆弱性診断におけるAmazon Inspectorの位置づけを軽く整理した上で、自分なりにその使い方をまとめました。 Amazon Inspectorとは? Amazon InspectorとはAWSが提供する脆弱性診断を行うサービスで、エージェントを利用したプラットホーム診断のためのサービスです。EC2に対して実施するもので有料です。またEC2のみのため、他社クラウドのインスタンスやデータセンターにあるサーバには実行できません。 こうしたサービスが求められる背景(私見) あくまで私見ですが、セキュリティへの取り組みにはまずは「リスクの可視化」が必要と言われてますが、これまではインフラ担当者という「人」に依存する形で、自分たちのサービスで利用しているサーバのOSやミドルウェアに脆弱性有無の可視化や対応が行われていることが多いように思い
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
