画像出典: https://www.ipa.go.jp/files/000017316.pdf こんにちは。株式会社Flatt Security セキュリティエンジニアの奥山です。 本稿では、独立行政法人 情報処理推進機構(以下、IPA)が公開している資料「安全なウェブサイトの作り方」を紹介します。 「安全なウェブサイトの作り方」は、無料で公開されているにも関わらず、Webセキュリティを学ぶ上で非常に有用な資料です。これからWeb開発やセキュリティを勉強したいと考えている方はもちろん、まだ読んだことのない開発者の方々にも、ぜひ一度目を通していただけたらと思います。 一方、「安全なウェブサイトの作り方」では、一部にモダンなアプリケーションには最適化されていない情報や対象としていない範囲が存在します。それらについても本記事で一部、触れていきたいと考えていますので、資料を読む際の参考にしていただ
OpenSSLの脆弱性で想定されるリスク - めもおきば
JVNやJPCERT/CCの記事があまりにもさらっと書かれていて、具体的なリスクが想像しづらいと思うので説明します。 今北産業 (今ニュース見て来たから三行で教えて欲しいという人向けのまとめ) インターネット上の「暗号化」に使われているOpenSSLというソフトウェアが2年間壊れていました。 このソフトウェアは便利なので、FacebookだとかYouTubeだとか、あちこちのウェブサイトで使っていました。 他の人の入力したIDとかパスワードとかクレカ番号とかを、悪い人が見ることができてしまいます。(実際に漏れてる例) 他にも色々漏れてますが、とりあえずエンジニア以外の人が覚えておくべきはここまででOKです。もう少し分かりやすい情報が以下にあります。 OpenSSL の脆弱性に対する、ウェブサイト利用者(一般ユーザ)の対応について まだ直っていないウェブサイトもあれば、元々壊れていないウェブ
2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre (またはこちら) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre CVE CVE-2017-5754(Rogue data cache load) CVE-2017-5753(Bounds check bypass) CVE-2017-5715(Branch target injection) 影響を受けるCPU Intel Intel、AMD、ARM CVSSv3 基本値 4.7(JPCERT/CC) 5.6(NIST) ←に同じ PoC 報告者非公開 論文中にx
JVN#53768697 Android OS において任意の Java のメソッドが実行される脆弱性 が公表されました。 不肖私が昨年9月にIPAに届け出たものです。 これまでは情報非開示依頼があったので多くを語ることができませんでした。 ヤバい内容なのでみんなに注意喚起したかったけれどそれができない苦しさ。 周りでICS端末を使ってる人を見かけたら「事情は言えないけどブラウザにはChromeを使って。標準ブラウザ使わないで」と言うくらいしかできなくて申し訳ありませんでしたm(_ _)m 当時のいきさつを日記から掘り起こして記録に残しておきたいと思います。 2012年9月15日(土) WebViewを使ったビジネスアプリのフレームワークを作りたいという構想があって(PhoneGapにはないビジネス用の固有の機能を入れようと思って。バーコードリーダーとか印刷機能とか)、そういえば addJ
2017年10月16日、WPA2のプロトコルに欠陥が確認され盗聴や改ざんの恐れがあるとして脆弱性情報が公開されました。発見者によりこの脆弱性は「KRACKs」と呼称されています。ここでは脆弱性の関連情報をまとめます。 脆弱性タイムライン 日時 出来事 2017年5月19日 Vanhoef氏が研究論文を提出。 2017年7月14日頃 Vanhoef氏が脆弱性の実験をした製品開発ベンダへ連絡。 その後 Vanhoef氏が影響範囲の広さを認識し、CERT/CCと協力し脆弱性情報を開示。 2017年8月24日 ラスベガスで開催されたBlackhatでVanhoef氏が関連研究を発表。 2017年8月28日 CERT/CCから複数の開発ベンダ*1に通知。 2017年10月6日 BlackhatのTwitterアカウントがWPA2をテーマとした発表があるとツイート。 2017年10月16日 SNSなど
どうも、ブルーです。秋ですね。 季節がめぐるごとに「WordPressがクラックされたので、セキュリティ対策について調べてみました」的なブログ記事がソーシャル上で出まわり、そのたびにWordPressを扱うデベロッパー層が「また無意味な対策がはてブされてる…」と嘆くのが恒例行事のようになっております。例えば… 「WordPressのバージョンを隠す」 「データベースのプレフィクスを変更する」 「サブディレクトリーにインストールする」 うん、気休め程度かな… 「2年以上放置されている怪しげなセキュリティ対策プラグインを入れる」 そっちのほうがこええよ! 「サーバーのディレクトリー一覧の非表示」 それ見えちゃってるサーバー管理者では、何しても不安だよ! とはいえ、そう思いつつも「これが決定版だ!」的な記事を書くのは勇気がいるものです。特にセキュリティ業界は怖いお兄さんが多…うわ何をするやめr
こんにちは、アドテクスタジオでセキュリティエンジニアをしている岡崎です。 皆様、年末年始はゆっくりできましたでしょうか。私は年始に公開された「Meltdown and Spectre」のお陰で年始早々、情報整理に追われてました。 今回は、先日「Meltdown and Spectre」の脆弱性のこともあり、脆弱性情報の見方と脆弱性情報API活用について、書かせていただきます。 1,脆弱性情報の見方 エンジニアの方であれば、脆弱性情報を確認する中でCVEやCVSSなどを目にすることが多いと思います。それぞれどのような意味を持ち、どのように見るのかを知っておきましょう。 先日あった「Meltdown and Spectre」を例に見ていきましょう。 https://meltdownattack.com/ https://spectreattack.com/ まず、このような脆弱性情報が公開され
今日ではほとんどのウイルス対策ソフトが書庫ファイルに対しウイルスチェックを行う機能を備えているが、多くのウイルス対策ソフトで「LZH書庫ファイルのヘッダー部分に細工を施すことでウイルスチェックを回避できる」という脆弱性が存在するとのこと(LZH書庫のヘッダー処理における脆弱性について)。 Micco氏はこれをJVN(Japan Vulnerability Note、JPCERTおよびIPAが共同運営する脆弱性情報集積サイト)に報告したところ、「不受理」となったそうだ。ZIPや7z形式の書庫にも同様の問題があるものの、そちらは「脆弱性」として受理されているとのこと。Micco氏曰く、 「ベンダー, JVN / IPA 等共に『LZH 書庫なんて知らねぇ~よ』という態度から変わることはない」と判断できましたので, UNLHA32.DLL, UNARJ32.DLL, LHMelt の開発を中止す
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
セキュリティ情報ブログ「piyolog」のpiyokango氏などが「サイバーセキュリティに関する総務大臣奨励賞」初の受賞者に。 総務省は5月29日、サイバーセキュリティ分野で顕著な功績があった個人や団体を表彰する「サイバーセキュリティに関する総務大臣奨励賞」の初の受賞者として、セキュリティ情報ブログ「piyolog」を運営する「piyokango氏」など個人2人と団体1人を選んだと発表した。6月1日に都内で表彰式を行う。 同賞は、地方自治体や民間企業などの現場でサイバーセキュリティ向上の観点から顕著な功績があり、今後も活躍が期待される個人や団体に授与する賞で、今年スタートした。公募や推薦で候補者を募り、選考委員会で受賞者を選んだ。 初の受賞者となったのは、セキュリティリサーチャーのpiyokango氏と、日立製作所Hitachi Incident Response Teamチーフコーディ
2021年4月20日、国内約200の組織をターゲットにしたサイバー攻撃が2016年に行われていたとして、攻撃に関連するサーバーの契約に係った男を警視庁公安部が書類送検したと報じられました。捜査は現在も行われており他関係者の情報も報じられています。ここでは関連する情報をまとめます。 攻撃発信元サーバーに係った男を書類送検 書類送検されたのは中国共産党員 中国籍の男で、既に中国へ帰国。中国の大手情報通信企業勤務で日本滞在中もシステムエンジニアの職に就いていた。*1 容疑は私電磁記録不正作出・同供用。2016年9月から17年4月、5回にわたり虚偽の氏名、住所を使い国内レンタルサーバー業者と契約。サーバー利用に必要なアカウント情報を取得した疑い。 男は中国国内から契約を行い、転売サイトでアカウントを販売。Tickと呼称されるグループがそのアカウントを入手し一連の攻撃に悪用されたとされる。 捜査にあ
トレンドマイクロさんに脆弱性を指摘して1周年…とんでもない主張を聞かされた話 - Windows 2000 Blog
3rdに引っ越しました。 2010/12/31 以前&2023/1/1 以降の記事を開くと5秒後にリダイレクトされます。 普段の日記は あっち[http://thyrving.livedoor.biz/] こちらには技術関係のちょっとマニアックな記事やニュースを載せます。 Windows2000ネタ中心に毎日更新。 2020年2月25日にトレンドマイクロさんに、某脆弱性を指摘して受理されたの26日なのでやり取りを続けて1周年になるのですが、いまだに直ってないのは、お茶目ということで許すとして、ちょっと看過できないコメントを頂きました。このコメントの内容は、脆弱性と全く関係ないので皆さんにもちょっと知ってもらいたいなと思いました・ω・ 1.「この脆弱性は、トレンドマイクロ製品をアンインストールするまで実行されないのでリスクは低いと考えています」 いや、仮にそうだとしても、トレンドマイクロ製品
■ ここまで破綻しているケータイID認証(簡単ログイン) 2009年夏、はてなブックマーク界隈では「かんたんログイン」が危ういという話題で持ち切りだった。IPアドレス制限をしていても突破できてしまうのではないかという話だった。 実際に動いてすぐ使える「PHPによるかんたんログインサンプル」を作ってみました, ke-tai.org, 2009年7月31日 SoftBank Mobileの携帯用GatewayをPCで通る方法のメモ, Perlとかmemoとか日記とか。, 2009年8月1日 ソフトバンクの携帯用GatewayをPCで通る方法があるようです, ke-tai.org, 2009年8月4日 これは要するに次のような話だった。 まず、SoftBankの携帯電話で特定のAPN mailwebservice.softbank.ne.jp でネット接続して、所定のProxyサーバ sbwap
PukiWiki† ようこそPukiWikiの公式サイトへ!! 最新バージョンは PukiWiki 1.5.4 です (PHP8.1対応) ダウンロード: PukiWiki/Download/1.5.4 PukiWiki 1.5.3以前のバージョンには複数の脆弱性が見つかっています。管理者の方は早急に PukiWiki 1.5.4 へバージョンアップをお願いします。 詳細 (2022/08/23) PukiWikiに関して、何か質問のある方は 質問箱 へ ↑ 管理者の方へ† OSやPHPのバージョンアップでPukiWikiが動作しなくなった場合 →FAQ/45 をご参照ください 最新のリリースアナウンス、セキュリティアップデートなどの情報を受け取るためにPukiWiki-announce メーリングリストを購読して下さい PukiWiki開発サイトでは、次期バージョンの開発だけでなく、現行
WPA2 (Wi-Fi Protected Access II) は、無線 LAN (Wi-Fi) の通信規格です。 10月16日(米国時間)に、WPA2 における暗号鍵を特定される等の複数の脆弱性が公開されました。 本脆弱性が悪用された場合、無線LANの通信範囲に存在する第三者により、WPA2 通信の盗聴が行われる可能性があります。 現時点で、攻撃コードおよび攻撃被害は確認されていませんが、今後本脆弱性を悪用する攻撃が発生する可能性があります。 各製品開発者からの情報に基づき、ソフトウェアのアップデートの適用を行うなどの対策を検討してください。 なお、本脆弱性によりHTTPSの通信が復号されることはありません 図:脆弱性を悪用した攻撃のイメージ アップデートする 現時点で、本脆弱性を修正するための修正プログラムが公開されている場合は、アップデートを実施してください。 ---2017/10
1 :以下、名無しにかわりましてVIPがお送りします。:2008/06/05(木) 15:02:31.00 ID:qgt1sVUX0 紆余曲折、波乱万丈、盤根錯節の歴史 すべてはここから始まった 2 :以下、名無しにかわりましてVIPがお送りします。:2008/06/05(木) 15:03:24.92 ID:AFkBPWiT0 誰? 3 :以下、名無しにかわりましてVIPがお送りします。:2008/06/05(木) 15:03:44.91 ID:l5QQZ3410 そしてコレが現在の彼女 http://img.news.goo.ne.jp/talent/MM-M95-0608.jpg 9 :以下、名無しにかわりましてVIPがお送りします。:2008/06/05(木) 15:05:46.26 ID:a4sp0jhA0 >>3 かわいい 11 :以下、名無しにかわりましてVIPがお送りします
JPCERTコーディネーションセンター(JPCERT/CC: Japan Computer Emergency Response Team Coordination Center)は4月5日、「JVN#82074338: NEC Atermシリーズにおける複数の脆弱性」において、NECの無線LANルータAtermシリーズに複数の脆弱性が存在するとして、注意を呼びかけた。これら脆弱性を悪用されると、遠隔から攻撃者に任意のコマンドを実行される可能性があり注意が必要。 JVN#82074338: NEC Atermシリーズにおける複数の脆弱性 脆弱性に関する情報 脆弱性に関する情報は次のページにまとまっている。 NV24-001: セキュリティ情報 | NEC 公開された脆弱性(CVE)の情報は次のとおり。 CVE-2024-28005 - 攻撃者がTelnetでログインした場合、機器の設定を変
2015年02月03日16:00 地球とか人類の謎を異星人から教わった話 Tweet 1: 以下、\(^o^)/でVIPがお送りします 投稿日:2014/03/28(金) 17:23:50.61 ID:ZwgYi+rD0 多分信じて貰えることはないだろうから、そういう創作物として見てくれれば幸い まず交流に使った方法はチャネリング (日本でいうところの口寄せの術) たまたま適当にネット漁ってたら出てきた言葉で、面白そうなので始めてみようと思った ただ、これはググればググるほど胡散臭く感じて俺はあんまり好きじゃなかった だから独自のやり方みたいなのを作って、 適当に宇宙人と交信できないかなぁって七ヶ月くらいやってた 幽体離脱スレでいうところのローリング抜けみたいなやり方 転載元:http://hayabusa5.2ch.net/test/read.cgi/news4vip/139599503
JPCERT コーディネーションセンター
一般社団法人JPCERTコーディネーションセンター 〒103-0023 東京都中央区日本橋本町4-4-2 東山ビルディング8階 TEL: 03-6271-8901 FAX 03-6271-8908 ご利用にあたって プライバシーポリシー お問い合わせ モバイル向けコンテンツ © 1996-2024 JPCERT/CC
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability 概要 OpenSSLのChangeCipherSpecメッセージの処理に欠陥が発見されました。 この脆弱性を悪用された場合、暗号通信の情報が漏えいする可能性があります。 サーバとクライアントの両方に影響があり、迅速な対応が求められます。 攻撃方法には充分な再現性があり、標的型攻撃等に利用される可能性は非常に高いと考えます。 対策 各ベンダから更新がリリースされると思われるので、それをインストールすることで対策できます。 (随時更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI 原因 OpenSSLのChangeCipherSpecメッセージの処理に発見
bashの脆弱性(CVE-2014-6271) #ShellShock の関連リンクをまとめてみた - piyolog
bashに脆弱性が確認されたとして騒ぎになっています。ここではCVE-2014-6271に関する情報をまとめます。 #記載内容について、誤っている、追記した方がいい等情報がございましたら@piyokangoまでご連絡お願いします。 脆弱性情報 脆弱性の愛称 ShellShock Bashbug CVE番号 Bash周りで発行されているCVEは6つ。その内詳細が不明なのが2つ。(CVE-2014-6277,CVE-2014-6278) CVE 発見者 想定脅威 特記 CVE-2014-6271 Stephane Chazelas氏 任意のコード実行 ShellShockの発端となったバグ。 CVE-2014-7169 Tavis Ormandy氏 任意のコード実行 CVE-2014-6271修正漏れによる脆弱性 CVE-2014-7186 Redhat DoS メモリ破壊(Out-of-Bo
ImageMagickの脆弱性(CVE-2016-3714他)についてまとめてみた 2016-05-04 - piyolog
画像処理ソフトImageMagickに複数の脆弱性が存在するとして2016年5月3日頃、CVE-2016-3714他の脆弱性情報が公開されました。ここでは関連情報をまとめます。 ImageMagick 開発チームの情報 2016年5月3日 ImageMagick Security Issue 脆弱性情報 対象 ImageMagick CVE CVE-2016-3714 CVE-2016-3715 CVE-2016-3716 CVE-2016-3717 CVE-2016-3718 影響 RCE 重要度 CVE-2016-3714:Important(Redhat)/緊急(JPCERT/CC) PoC PoC公開あり。 in the wildとの情報もあり。 CVSS(v2) CVE-2016-3714:6.8(Redhat)/9.3(CERT/CC) 発見者 Nikolay Ermishki
はじめに 国内の情報セキュリティに関連する組織・情報源をまとめてみました。 組織内でセキュリティ情報を展開するときは、権威があって日本のサイトだと伝わりやすい気がします。 国民のための情報セキュリティサイト 総務省が運営しています。ITの基礎知識から一般利用者・組織向けのセキュリティ情報が掲載されています。 まさに国民のためという感じがします。 NISC 内閣サイバーセキュリティーセンター 内閣官房が運営しています。様々なセキュリティ情報があります。 SNS関連アカウントもあり情報にアクセスしやすそうです。 サイバー警察局 警察庁が運営しています。セキュリティ事案への注意喚起などが行われています。 国家公安委員会 「重大サイバー事案に係る警察活動への苦情申出」などを受け付けているようです。 防衛省 サイバーセキュリティ 注意喚起や活動内容が掲載されています。 外務省 サイバーセキュリティ
OpenSSLの脆弱性CVE-2016-800(DROWN)やCVE-2016-0702(CacheBleed)についてまとめてみた - piyolog
2016年3月1日(現地時間)、OpenSSL プロジェクトは脆弱性の愛称「DROWN」や「CacheBleed」を含む8件の脆弱性情報を公開し、これら影響を受けるものの修正を行った最新版をリリースしました。ここでは関連情報をまとめます。 脆弱性情報概要 注意喚起 OpenSSL の複数の脆弱性に関する注意喚起 - JPCERT/CC SSLv2 DROWN Attack - US-CERT OpenSSL Projectの公開情報 Forthcoming OpenSSL releases OpenSSL Security Advisory [1st March 2016] OpenSSL version 1.0.1s published OpenSSL version 1.0.2g published An OpenSSL User’s Guide to DROWN 2016年3月1日公
はじめに こんなツイートを見かけました。 ・脆弱性ってなんだろう ・脆弱性対応ってなにしたらいいの? ・情報を集めよう ・該当機器を洗いだそう ・対応方法を決めよう … みたいなまとめほしいけど意外とないから作りたい…作るしかなくない…? — ナツヨさん@インフラ女子の日常 (@infragirl755) 2018年1月15日 たしかにそうだなぁ。生きてるシステムを運用する現場SEの気持ちになって力試しに書いてみよう。 おことわり 最初に記事スコープのおことわりです。 「 対策 」「 対処 」「 対応 」、似たような言葉ですがこれらを並べて考えたことはあるでしょうか? 記事名には「 脆弱性対応 」という言葉を使っていますが、「対応」ということでこの記事のスコープを少し狭く取っています。 対策 ・ 対処 ・ 対応の違い 対策: 何かが起きる前に講じる処置や手段のこと。 対処: 何かが起こって
インタアクト株式会社--業務内容--公開資料
EdgeWall Software およびThe Trac Project が開発した プロジェクト管理ツールです。 Python で作成されたWeb アプリケーションであり、ソフトウェア開発のプロジェクト管理に特化しています。 Trac は以下の機能で構成されています。 Wiki Subversion リポジトリブラウザ バグトラッカ (チケットシステム) 2012年10月5日現在の安定版バージョンは 1.0 です。 特徴 Wiki の活用により、単なるバグトラッカではなくプロジェクトポータルとして利用できます。 バグトラッカのコメントの記述や、Subversion のコミットログなどで表現力が高まります。 Wiki, Subversion リポジトリ, バグトラッカを横断したリンクを簡単に作成することが出来ます。 メールサーバの設定は不要です。 Wiki ページ更新、バグトラッカの更新
ロシアの自殺ゲーム「Blue Whale」で130人以上の少年少女らが死亡 1 名前: TEKKAMAKI(埼玉県)@\(^o^)/ [US]:2017/03/02(木) 22:02:53.09 ID:gXkWAHvJ0.net ロシアで発生した14歳〜16歳少女らの自殺にSNS上で横行する「自殺グループ」が関与していることが判明した。この他にも130件以上の未成年の自殺にかかわっている可能性まで浮上し、大きなニュースになっている。 英紙「Daily Mail」によると、自殺した2人の生徒はユーリア・コンスタンチノヴア(15)と、友人のヴェロニカ・ヴォルコヴァ(16)。2人とも今月26日にロシアのウスチ・イリムスクのアパートから投身自殺した。25日にも14歳の少女が電車に飛び込み死亡、27日にも15歳の少女がクラスノヤルスクのアパートから飛び降り、瀕死の重傷を負ったそうだ。 ロシア州警察の
組織のセキュリティ対策 2018.9.15 セキュリティに役立つツールを10個教えてくれと言われたら、あなたはどんなツールが思い浮かびますか? 迅速な対応が求められるセキュリティ分野だからこそ、手早く解決の手助けをしてくれるツールの活用は必須とも言えるでしょう。個々の状況に応じたセキュリティ診断や対策、体制の構築は専門家と共に自組織にカスタマイズされた内容で実施・構築していくことをお勧めします。ですが自分で手軽にチェックしたり、調べられたりするツールが手元にあると便利ですよね。 そこで、ここでは無料で利用できるセキュリティ関係のツールを10種類ご紹介します。 ・パスワードの強度を調べる「Password Checker Online」 ・ソフトウェアのバージョンが最新か確認する「MyJVN バージョンチェッカ」 ・脆弱性対策情報データベース「JVN iPedia」 ・攻撃兆候検出ツール「i
「セキュリティ情報ってどこから仕入れたら良いんだろう?」 って思ったことありませんか?今回は私が日常的に確認している、おすすめのセキュリティ情報サイトを紹介します。最後には読み方のポイントも紹介します! それでは早速やっていくっ!! 今回紹介するサイト 以下の5サイトを紹介します。 IPA JVN Security NEXT Amazon Linux Security Center Security Bulletins 1. IPA 重要なセキュリティ情報一覧 IPA の説明を Wikipedia より引用。 独立行政法人情報処理推進機構(じょうほうしょりすいしんきこう、英: Information-technology Promotion Agency, Japan、略称:IPA)は、日本におけるIT国家戦略を技術面、人材面から支えるために設立された、経済産業省所管の中期目標管理法人たる
セキュリティエンジニアにセキュリティ技術情報収集のやり方を聞いてみた - ラック・セキュリティごった煮ブログ
こんにちは、かすたーど先生です。 セキュリティ業界を目指している学生さんとお話しする機会がたまにあるのですが、「セキュリティエンジニアの方は、どうやってセキュリティ技術に関する情報収集しているんですか?」と聞かれることがよくあります。 情報収集の方法って、学生さんももちろん、セキュリティエンジニアの方同士も「他の人はどうやっているんだろう?」と思っているネタなのではと思いまして、今回ブログのテーマにすることにしました。 ということで、私と同じデジタルペンテスト部に所属している一部のセキュリティエンジニア約30名に協力してもらい、セキュリティ技術の情報収集に関するアンケートを実施しました。結果をご紹介します。 1:セキュリティ技術の情報収集は何を使って実施していますか(複数回答可) 1位:Twitter 2位:ニュース系サイト 3位:書籍・ブログ(同数) 4位:脆弱性情報データベース 5位:
コンテナイメージのレジストリでは、脆弱性検査の実装が当たり前になっている。企業でKubernetesなどコンテナを使用するにあたって脆弱性対策がどれほど重要なものか理解するために、脆弱性検査や、関連する国際的な標準について整理した。 脆弱性(ぜいじゃくせい)とは 脆弱性とは、プログラムの動作の不備を悪用される情報セキュリティ上の弱点である。つまり、ソフトウェア上の問題が原因となって生じた欠陥であり、セキュリティホールとも呼ばれる。当然、ソフトウェア開発者は、脆弱性を産まないように細心の注意を払ってコード開発を進めるが、開発者が利用するオペレーティングシステムのライブラリやパッケージに含まれることもある。そのような事情から、開発者の責任範囲外に原因がある場合も多くある。 潜在的な脆弱性を突いた新たなクラッキングの手口が、時間の経過ともに発見される。そのことから、開発当初はコードに脆弱性は無い
1 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 07:52:02.95 ID:ULW0dTK40 はいはい厨二厨二 10 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 07:56:49.53 ID:rAyb58Mj0 大学の研究? 19 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 08:03:18.20 ID:ULW0dTK40 >>10 大学の特別研究員もやってるけれど、今はメインは自宅研究員ですお 3 : 忍法帖【Lv=40,xxxPT】 :2011/11/09(水) 07:53:09.89 ID:WgNHOLRk0 レインボーアタックについて分かりやすく教えて 7 :以下、名無しにかわりましてVIPがお送りします :2011/11/09(水) 07:55:28.35 I
表情筋鍛えるとイケメンになるぞマジで おまえらもやってみろ その赤ちゃん顔まず変えろ : ライフハックちゃんねる弐式
2011年09月16日 表情筋鍛えるとイケメンになるぞマジで おまえらもやってみろ その赤ちゃん顔まず変えろ Tweet 0コメント |2011年09月16日 18:00|美容・健康|Editタグ :表情筋イケメン死んだ目笑顔 http://hatsukari.2ch.net/test/read.cgi/news/1316008174/ 当ブログサイトはアフィリエイト広告、バナー広告を利用しています。 11 :(庭):2011/09/14(水) 22:53:16.94 ID:FjV/GyQf0 表情を変えないのが一番シワをできにくくする方法 15 :(関東・甲信越):2011/09/14(水) 22:54:26.46 ID:0fz3WK41O 感情を鍛えないとダメだろ 20 :(iPhone):2011/09/14(水) 22:55:05.36 ID:Jkm8t/bw0 ぶっちゃけ体重減ら
こんにちは。しなもんです。 今回は自分用のメモを兼ねて、無料で入手できるセキュリティ分野の定期発行物をまとめます。 注意点 日本の公的機関 海外の公的機関 日本の企業 海外の企業 週次まとめ 注意点 ・私が認知しているものに限るので、網羅性はあまりありません。 ・年次レポートだけを出している会社は挙げだすときりがないのでほとんど割愛しています。 ・海外の CERT 系は探せばもっといろいろあると思いますが、これもきりがないのでほぼ挙げていません。 ・リンクはなるべく記事の一覧ページにしていますが、ない場合は本記事執筆時点での最新版のページにしています。ご覧になった時点ではより新しい版が出ていることがあります。 日本の公的機関 情報セキュリティ白書 (IPA) www.ipa.go.jp 発行頻度:年次 各省庁などが発行している「なんとか白書」の情報セキュリティ版です。 インシデントの状況や
セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン・サービスのまとめ - FFRIエンジニアブログ
はじめに 研究開発第二部リードセキュリティエンジニアの一瀬です。先日は「セキュリティエンジニアを目指す人に知っておいてほしい組織」を公開しました。今回は、セキュリティエンジニアを目指す人に知っておいてほしい制度やガイドライン、サービスについてまとめました。こちらも、セキュリティエンジニアとして働いていると日常的に会話に出てくるものばかりです。これからセキュリティを学ぼうという方の参考になれば幸いです。なお、記載した情報はすべて執筆時点 (2023 年 7 月) のものです。 はじめに 制度・ガイドライン セキュリティ設定共通化手順 (SCAP) 共通脆弱性識別子 (CVE) 共通脆弱性評価システム (CVSS) ISMS適合性評価制度 政府情報システムのためのセキュリティ評価制度 (ISMAP) CSIRT Services Framework PSIRT Services Framewo
CVE-2018-0691.md CVE-2018-0691 プラスメッセージにおける証明書検証不備について https://jvn.jp/jp/JVN37288228/ 平日の業務時間内に見つけた問題である関係で(自分ルールで)所属を入れていますが、他社サービスに対する調査や報告は業務とは一切関係のない個人の活動として行っています。 文責はmala個人にあります。お問い合わせなどありましたら個人宛にどうぞ。TwitterのDMや任意の文字列 @ma.la 概要 2018-06-21 に脆弱性の報告を行い 2018-06-27 に修正版が公開されたプラスメッセージについて、2018-09-27 に情報開示が行われているので、経緯について書きます。 タイムライン 2018-06-21 11:44 プラスメッセージのiOS版が公開されたと聞いてインストールする 2018-06-21 12:54
【閲覧注意】狂気に満ちた画像貼ってけ Tweet 1:以下、名無しにかわりましてVIPがお送りします:2011/06/11(土) 11:46:46.74 ID:rfCDF31N0 4:以下、名無しにかわりましてVIPがお送りします:2011/06/11(土) 11:49:03.09 ID:CzgfFhYU0 >>1 上の絵って縮尺が色々おかしいよな 5:以下、名無しにかわりましてVIPがお送りします:2011/06/11(土) 11:49:03.97 ID:j80i2Fmj0 鍋の中に足wwww 6:以下、名無しにかわりましてVIPがお送りします:2011/06/11(土) 11:49:06.02 ID:BZy/Vc9j0 我が子を犯すサトゥルトゥルまだー? 8:以下、名無しにかわりましてVIPがお送りします:2011/06/11(土) 11:51:13.19 ID:loF7MzzY0 >
脆弱性情報共有フレームワーク - MyJVN バージョンチェッカ
MyJVN にようこそ MyJVN は JVN iPediaの情報を、利用者が効率的に活用して頂けるように、 脆弱性対策情報を効率的に収集したり、利用者のPC上にインストールされたソフトウェア 製品のバージョンを容易にチェックする等の機能を提供する仕組み(フレームワーク)です。
先日、Twitterでどのように脆弱性を見つけるかに興味あるんだろうかと書いたら、意外に色々な人から反応があったので、これまでに自分が見つけた脆弱性のいくつかについてどういう経緯で見つけたのかちょっと書いてみます。 JVN#89344424: 複数のメールクライアントソフトにおける、添付ファイルによりメールクライアントソフトが使用不能になる脆弱性 これは、添付ファイル名にUnicodeの円記号を含めておくと、メーラ側でShift_JISに変換する際にバックスラッシュに変換されてしまって想定外のディレクトリに添付ファイルが展開されてしまったり、あるいは「©on」のような名前のファイルを添付しておくことでShift_JISに変換してCONというファイルを開こうとしてメーラが固まってしまうという問題です。これは、私自身が文字コードの問題について調べ始めた初期段階で、Unicodeからの変換で問題
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Web開発者はもっと「安全なウェブサイトの作り方」を読むべき - Flatt Security Blog
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog
Androidの脆弱性を見つけちゃった話
WPA2の脆弱性 KRACKsについてまとめてみた - piyolog
WordPress使いならこれだけはやっておきたい本当のセキュリティ対策10項目
エンジニアなら脆弱性情報を読めるようになろう | Tech Blog
Unlha32.dll等開発停止、LHA書庫の使用中止呼びかけ - Claybird の日記
「不要不急の外出は控えて」 政府、感染拡大防ぐため:朝日新聞デジタル
piyokango氏に総務大臣奨励賞 ブログ「piyolog」で「セキュリティ向上に貢献」
国内約200組織へ行われたサイバー攻撃と関係者の書類送検についてまとめてみた - piyolog
高木浩光@自宅の日記 - ここまで破綻しているケータイID認証(簡単ログイン)
FrontPage - PukiWiki-official
更新:WPA2 における複数の脆弱性について:IPA 独立行政法人 情報処理推進機構
とある美少女の23年間の画像を俺がひたすら貼っていくスレ:ハムスター速報 2ろぐ
NECの無線LANルータAtermシリーズに複数の脆弱性、59製品に影響
地球とか人類の謎を異星人から教わった話 : 哲学ニュースnwk
OpenSSL #ccsinjection Vulnerability
国内の情報セキュリティに関連する組織・情報源について - Qiita
ゼロから考える脆弱性対応 - Qiita
ロシアの自殺ゲーム「Blue Whale」で130人以上の少年少女らが死亡 : 痛いニュース(ノ∀`)
セキュリティ担当者が知っておくと便利な無料のセキュリティ関連ツール10種
IT 担当者ならみんな読みたい!! セキュリティ情報サイト5選 | DevelopersIO
コンテナ・セキュリティ入門 脆弱性 - Qiita
ハッキング(笑)の研究してるけれど質問ある? - ゴールデンタイムズ
無料で読めるセキュリティ定期発行物のまとめ - 午前7時のしなもんぶろぐ
CVE-2018-0691 プラスメッセージにおける証明書検証不備について · GitHub
【閲覧注意】狂気に満ちた画像貼ってけ : 暇人\(^o^)/速報 - ライブドアブログ
私はいかにして様々なブラウザの脆弱性を発見したか - 葉っぱ日記