はてな知りたいこと、伝えたいこと、 全部はてなで。はてなIDがあれば あなたの知的好奇心を刺激する 様々なサービスが楽しめます はてなIDを作る(無料)
vuls/README.ja.md at master · future-architect/vuls · GitHub
Vuls: VULnerability Scanner Vulnerability scanner for Linux, agentless, written in golang. README in English Slackチームは こちらから 参加できます。(日本語でオッケーです) Abstract 毎日のように発見される脆弱性の調査やソフトウェアアップデート作業は、システム管理者にとって負荷の高いタスクである。 プロダクション環境ではサービス停止リスクを避けるために、パッケージマネージャの自動更新機能を使わずに手動更新で運用するケースも多い。 だが、手動更新での運用には以下の問題がある。 システム管理者がNVDなどで新着の脆弱性をウォッチし続けなければならない サーバにインストールされているソフトウェアは膨大であり、システム管理者が全てを把握するのは困難 新着の脆弱性がどのサーバ
あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた - Qiita
はじめに サーバ管理をしている身としては、 セキュリティ は常に付きまとう悪魔みたいなもので、このセキュリティに関しては何をどこまで頑張ればいいのか不透明な部分が多い。 脆弱性に関しては、CVEなど、毎日情報は入ってくるが、それがどのサーバの何に関連したものなのかなんていちいち調べてられないし、どの脆弱性がすぐに対応しなければいけないもので、どの脆弱性があとあと対応すればいいものなのかなんてわからない。 実際のところ、大きな話題になった脆弱性くらいしか緊急で対応してないという人は多いのではないかと思う。 そんな中、満を持して登場したのが vuls !! 各サーバの脆弱性情報を取得して、個々のサーバそれぞれでどんな脆弱性があり、どのくらいやばい脆弱性なのかを検知できるようになった! 今回はこのvulsを紹介します。 Vulsとは 公式でロゴが発表されたので、差し替えました 公式ドキュメント:
Googleは巨大なインフラをどうやってセキュアに保っているか。独自のセキュリティチップ利用やDoS対策、安全なソフトウェア開発など、全体像を解説したホワイトペーパーを公開
Googleのクラウドは間違いなく世界最大規模のコンピュータシステムです。膨大なハードウェアとソフトウェアから構成されるこの巨大なシステムを、同社はどうやってセキュアに保っているのか。そのことを解説したホワイトペーパー「Google Infrastructure Security Design Overview」が公開されました。 ホワイトペーパーには、Googleのデータセンターを構成するデバイスの1つ1つにまで独自のセキュリティチップを組み込んで正規のデバイスかどうかを相互に認証するという物理レベルのセキュリティから、何層のものロードバランサーからの情報を集約してDos攻撃を検知すると、その通信を破棄するといったDoS対策。 そしてマシンも従業員もサービスも包括するグローバルな名前空間など、きわめて広範かつ綿密なセキュリティ施策が説明されています。 クラウドがいかに高度なセキュリティで
第43回 Dockerイメージを「Quay.io」で管理する(セキュリティ編)
第43回 Dockerイメージを「Quay.io」で管理する(セキュリティ編):古賀政純の「攻めのITのためのDocker塾」(1/2 ページ) ホステッドレジストリには、アップロードしたDockerイメージのセキュリティ脆弱性をチェックする機能もあります。「Quay.io」を実際に操作しながら、セキュリティチェックの方法を確認します。 前回は、NASAやeBayなども利用しているホステッドレジストリ「Quay.io」にDockerイメージをアップロードする手順をご紹介しました。今回は、アップロードしたDockerイメージのセキュリティ脆弱(ぜいじゃく)性を、Quay.ioを使って管理する手法を具体的に解説します。 Dockerイメージのセキュリティ脆弱性をチェック クラウドサービスとしてのホステッドレジストリ、Quay.ioは、Dockerイメージのセキュリティ脆弱性をチェックする機能が
「IoTへのサイバー攻撃仮想ストーリー集(第一版)」(2017年8月1日)を公開しました。 – csajapan
「IoTへのサイバー攻撃仮想ストーリー集(第一版)」(2017年8月1日)はこちらからダウンロードしてください。。 IoT市場が急拡大し、参入も相次ぐ中、IoTが新たなサイバー攻撃のプラットフォームになりつつあります。話題のMiraiワームは、ある意味でセキュリティが「ないに等しい」機器を狙ったものでした。しかし、WannaCryやNotPetyaのIoT機器への大量感染は、一般のコンピュータと同じレベルもしくはそれ以上の脅威がIoTを標的としうることを、図らずも立証してしまいました。今後、IoT機器、しかも一般にそれほどクリティカルであると認識されていない機器のシステムが、高度なサイバー攻撃にさらされる可能性も否定できなくなっています。こうした中、IoTシステムに対してどのような攻撃のシナリオが考えられるのかを考えることは極めて重要です。IoTへのサイバー攻撃はまだ始まったばかりであり、
第43回 Dockerイメージを「Quay.io」で管理する(セキュリティ編)
そこで今回は、別のコンテナ「c0002」を起動し、パッケージを全て最新に更新したDockerイメージ「c68websvr02」として登録し、Quay.ioでセキュリティの脆弱性をチェックし、Dockerイメージ「c68websvr01」と比較してみましょう。まずは、入手済みのOSテンプレートから、コンテナ「c0002」を起動し、コンテナ「c0002」上で、パッケージを最新に更新した後に、iprouteパッケージと、Webサーバーのhttpdパッケージをインストールしてみます。 local # docker run -itd --name c0002 -h c0002 centos:6.8 /bin/bash local # docker exec -it c0002 /bin/bash [root@c0002 /]# echo "proxy=http://proxy.your.site.c
IPAテクニカルウォッチ 「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構)セキュリティセンターは、2013年に公開した“IPAテクニカルウォッチ”「ウェブサイトにおける脆弱性検査手法の紹介」を更新し、「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」として公開しました。 本書では、5種の無償ツールによる検出方法等の解説や、無償ツールの活用例を3点提案しています。 下記より「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」についてのレポート(PDF版)をダウンロードしてご利用いただけます。 1.被害事例および脆弱性検査ツールの活用 2.ウェブアプリケーション脆弱性検査ツールの概要 3.脆弱性検査ツールのタイプの定義とツールの紹介 4.脆弱性検査ツールの使用例 5.評価・まとめ 6.おわりに 7.参考
Webアプリの脆弱性調査ツール、脆弱性学習ソフトなど
ラック ITプロフェッショナル統括本部 ESS事業部 システムアセスメント部 担当部長。入社以来、ユーザー企業などのセキュリティ診断を手掛ける。最近飼い始めたフェレットと前からいる愛しの猫とのけんかに悩まされている。 セキュリティ技術者の山崎 圭吾さんがオススメするフリーソフトは、セキュリティチェックに使う「OWASP Zed Attack Proxy(ZAP)」とセキュリティの学習に使う「AppGoat」、Windows上でLinuxコマンドによる操作を可能にする「Cygwin」の三つ。最初の二つは、企業のセキュリティ担当者やシステム開発者が、セキュリティを学習するための入門ツールとしてぴったりだ。 OWASP ZAPは、Webアプリケーションの脆弱性を調べられるソフト。通信の中身を確認したり止めたりする「プロキシー」と、Webサイト内のコンテンツをリストアップする「スパイダー」、セキュ
HTTPSにまつわる怪しい伝説を検証する - Google I/O 2016のセッションから - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 今年はGoogle I/Oに初めて社員ではない立場で参加しました。全体の感想は Google I/O 2016まとめ(Web的視点) で公開していますが、今回はその中で、気に入ったセッションの1つである"Mythbusting HTTPS: Squashing security’s urban legends"について書いてみたいと思います。 セッションは大変良くまとまっていますので、YouTubeにあがっている動画を見れる人は動画を見て貰えれば良いのですが、時間が無いという人のために、その内容をまとめました。基本的には文字起こしに近い
「IoT開発におけるセキュリティ設計の手引き」を公開 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
公開日:2016年5月12日 最終更新日:2024年3月29日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター IPAセキュリティセンターでは、今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理した「IoT開発におけるセキュリティ設計の手引き」を公開しました。 概要 昨今、IoT(Internet of Things)が多くの注目を集めています。現在ではIoTと分類されるようになった組込み機器のセキュリティについて、IPAでは2006年から脅威と対策に関する調査を実施してきました。現在IoTと呼ばれる機器には、最初からIoTを想定し開発されたものの他に、元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたものが多く存在すると考えられます。そのため、IoTの普及と利用者の安全な利用のためには、機器やサービスがネ
PFS(Perfect Forward Secrecy) | kim hirokuni
SSL/TLSの問題 なぜPFSが注目されているか PFS (Perfect Forward Secrecy)とは暗号化された通信と暗号化するための秘密鍵が両方漏洩しても複合化できません、という鍵交換に関する概念です。 PFSは概念なのでを実装する仕組みが別にあります。2014年1月現時点ではPFSはまだあまり普及していないので、主に使われてい鍵交換方式はPFSではありません。 Edward SnowdenがアメリカのNSAの諜報活動をリークしたことをきっかけにPFSは有名になりました。 NSAは 何らかの方法でWebサーバとクライアント間の通信を盗聴する(いわゆる中間者攻撃) 通信は暗号化されていてもとにかく保存 将来、何らかの方法で暗号化に使われた鍵が手に入ったら保存していた通信を解読 ということを行っていました。PFSではない仕組みを使って通信した場合、このようにして通信の時点では暗
OWASP ZAPの基本的な使い方(手動診断編)
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 12月から業務として脆弱性診断を毎日やっており、診断にはOWASP ZAPとFiddlerを利用しているのですが、ほぼ一月使ってみてZAPの使い方や便利さが分かってきたので、自分の把握したZAPの使い方をシェアすることにします。 はじめに・診断対象サイトについての注意OWASP ZAPでの診断は自分の管理下にあるサイトか、診断許可をもらっているサイトに対してのみ行ってください。(アクセス数によっては途中のインフラにも気をつける必要があります) 許可をもらっていないサーバへZAPの診断を走らせるのは、不正アクセスと解釈さ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
情報セキュリティ10大脅威 2018年版 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container, WordPress, Programming language libraries, Network devices
お宅に悪用されそうな不具合や設定ミスはありませんか? 無料の「Nessus Home」で自宅デバイスの脆弱性をスキャン【イニシャルB】
GitHub - enaqx/awesome-pentest: A collection of awesome penetration testing resources, tools and other shiny things
IPA、「IoT開発におけるセキュリティ設計の手引き」を公開 
クラウド型Web脆弱性診断ツール「VAddy」
フリーでやろうぜ!セキュリティチェック!
