社内イベント: エディタについて語る会で Vim script と ISO8583 の話をしました - カンムテックブログ
エンジニアの佐野です。最近記事を書いていなかったので小ネタです。先日、菅原企画の社内イベント、エディタについて語る会が催されました。職種にもよりますがカンムでは多くの従業員はオンラインで業務を行っています。たまにはオフラインで交流も...ということで来れる人はオフィスに集まってエディタの話をしつつ軽食を楽しむというコンセプトです。 当日は Vim, Emacs, Visual Studio Code, nano... と様々なエディタのゆるい話から熱い話が語られました。私は Vim の Vim script について話したので今日はそれを記事化します。 0. 私とエディタ 私は長らく Vim をエディタとして使っています。「エディタ」というものを意識したのは大学生の頃でしょうか。機械工学系だったのですがソフトウェア工学や C や C++ がカリキュラムにあり自分もそれらを履修しました。それ
三年前に65インチの格安4Kテレビを購入したが、視力の低下が著しく視聴距離2mでは鮮明さに欠けるようになってきた。 兼ねてから発売したら購入しようと決めていたNVIDIAの4K HDR 65インチディスプレイ、 BIG FORMAT GAMING DISPLAYS(BFGD) が夏に発売される と言われ夏が過ぎ、秋が来て、冬が迫る11月上旬。 アイリスオーヤマから プライベートブランド で4K HDR 65インチテレビが発売されると報じられた。黒物家電事業に新規参入 4K・HDR対応※液晶テレビ「LUCAシ... Mzyy94 Display 28 Nov, 2018 矯正視力なら精細に観ることができるものの、映像視聴を除いてはメガネの必要性が無い家の中なので、極力メガネをかけることなしに視聴したい。 解決策の一つとして、テレビのサイズをデカくする方法を考えていたが、65インチを超えるサイ
【総まとめ】GuardDutyによるコンテナランタイム脅威検知の注意事項と設定手順と検出の様子 #AWSreInvent | DevelopersIO
AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。 「ECSのランタイム脅威検知って、商用製品必須だよね。どれにすっかなぁ。結構高いよね」 「1年前の予告を経て、よーーーやくAWSマネージドなやつがGAされましたよ」 去年のre:Invent2022においてKeynote中に予告だけされていたコンテナ環境のランタイム検知(【速報】GuardDutyによるコンテナランタイムの脅威検知サービスが発表されました!)。 先日のre:Invent 2023のアップデートにより、待望のECSにおけるランタイム検知が、GuardDutyで実現できるようになりました!!もともとEKSにおけるランタイム検知は提供されていましたが、それがECSにも拡張されたアップデートです。 これまでAWSのECSにおいてランタ
Attack Surface Management? はじめました - freee Developers Hub
こんにちは、北海道から freee PSIRT(Product Security Incident Response Team)に参加している yu です。 今年は雪が少ないな〜と思っていたら最近ドカドカ降るようになってきて、1日デスクで集中した後に外に出ようとすると玄関のドアが雪で開かない日もありました。雪国エンジニアの各位、除雪も忘れず頑張っていきましょう! さて、この記事では前回の記事で bucyou が紹介した開発合宿において、私と同僚の tomoya さんで取り組んだ freee の Attack Surface Management(以下、ASM)について紹介します。 ASM とは ASM、Attack Surface Management という用語はさまざまなところで異なる定義がされており、私自身、この言葉を使うときにはまだ少しだけ違和感があります。 国内では昨年の5月に経
Googleは2020年6月18日(米国時間)、汎用ネットワークセキュリティスキャナー「Tsunami」をオープンソースとして公開したと発表した。Tsunamiは、重大な脆弱(ぜいじゃく)性を高精度で検出するための拡張可能なプラグインシステムを備えている。現在はα版の前の段階(pre-alpha)にある。 Googleは、Tsunamiを開発した背景を次のように説明している。 「攻撃者がセキュリティ脆弱性や構成ミスを悪用し始めたら、企業は資産保護のために迅速に対応する必要がある。攻撃者が自動化への投資を拡大しているため、新たに見つかった重大な脆弱性に企業は数時間単位で対処しなければならなくなっている。これは、インターネットに接続された数千、あるいは数百万のシステムを持つ大企業にとって、大きな課題だ。そうしたハイパースケール環境では、セキュリティ脆弱性の検出と理想を言えば修正も、完全に自動化
Commando VMとは 「Commando VM(Complete Mandiant Offensive VM)」とは、ペネトレーション・テストやレッドチームの担当者をサポートすることに焦点を当てたWindows OSディストリビューションです。 サイバーセキュリティ企業のFireEye(ファイア・アイ)が立ち上げたプロジェクトです。 ペネトレーションテストに特化したディストリビューションとして、Kali LinuxやParrot Security Linuxが人気です。これらは、いずれもLinux OSをベースとしたディストリビューションです。 これに対して、Command VMは、Windows OSをベースとしたディストリビューションです。 このため、Windows OSおよびActive Directoryをネイティブサポートし、ファイル共有をより簡単に(かつインタラクティブに
Google、セキュリティスキャナー「Tsunami」をオープンソースで公開 ポートスキャンなどで脆弱性を自動検出
この記事は新野淳一氏のブログ「Publickey」に掲載された「Google、セキュリティスキャナー「Tsunami」をオープンソースで公開。ポートスキャンなどで自動的に脆弱性を検出するツール」(2020年6月23日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 米Googleはこのほど、セキュリティスキャナー「Tsunami」をオープンソースで公開したと発表しました。 Tsunamiは、アプリケーションに対してネットワーク経由で自動的にスキャンを行い、脆弱(せいじゃく)性を発見してくれるツールです。 Googleは、現在では攻撃者が自動化された攻撃ツールへの投資を続けており、ネット上に公開されたサービスが攻撃を受けるまでの時間が短くなってきていると指摘。そのためには脆弱性発見ツールも自動化を進め、より短時間で脆弱性が発見できるようになる必要があるとして、Tsun
ゼロトラスト導入指南書(本書)
ICSCoE TLP: WHITE ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜 2021 年 6 月 独立行政法人 情報処理推進機構 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト 1 はじめに 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド 活用の増加により,社外から社内システムに接続する機会が増えてきている。 現状のセキュリティ対策は,境界型防御が主流であり,社内を信用できる領域,社外を信用できない 領域として外部からの接続を遮断している。しかし,上記の社会変化から,社内のシステム環境へ社外 から接続するということが行われていることから,境界型防御で考えていたセキュリティモデルではサイ バー攻撃の脅威を防ぎきれない状況になってきている。 また,標的型メールによる
インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 Web サービスへの攻撃を防ぐために WAF を使いましょうというのはよく聞きます。 ではインターネットに公開した Web サービスに送信される悪意のあるリクエストがどれぐらい WAF によって防御され得るのでしょうか? お手軽に使える AWS WAF のマネージドルールを対象に確かめてみました。 この記事の概要 実験用に固定レスポンスを返すだけの HTTP エンドポイントを作成し、約半年間インターネットからアクセス可能な状態で放置した AWS WAF のマネージドルールをアタッチしており、それぞれのルールに一致したリクエスト数を集計し、ランキング形式にまとめた 一致したリクエスト数が多いマネージドルールそれぞれに対して、どのようなリクエストが多かったのか集計し、ランキング形式にまとめた 実験用システムの構成 基本的なデー
システムやアルゴリズムの構造を秘匿することでセキュリティを高める「隠ぺいによるセキュリティ(Security by Obscurity)」は、現代では本質的な安全性を確保できていないとされています。しかし、セキュリティの専門家であるUtku Şen氏は「隠ぺいによるセキュリティは過小評価されている」と指摘しています。 Security by Obscurity is Underrated – Utku Sen - Blog – computer security, programming https://utkusen.com/blog/security-by-obscurity-is-underrated.html 脆弱性のあるシステムを攻撃者から隠すことでセキュリティを高めようとする「隠ぺいによるセキュリティ」は、ひとたびシステムの構造が外部に漏れると攻撃を防ぐ手だてがないことから、現
最新のGoogleオープンソースセキュリティスキャナー「Tsunami」を使って脆弱性診断してみた - GMO Research & AI Tech Blog
こんにちは。GMOリサーチでインフラを担当しているオカモトです。 コロナの影響で引きこもり生活が続く中、皆様いかがお過ごしでしょうか。 今回、Googleが先日公開した「Tsunami」というオープンソースのセキュリティスキャナーを試してみたのでその内容をご紹介します。 1.Tsunamiって何? Tsunamiは、2020年6月18日木曜日(現地時間)にGoogleがオープンソースのプロジェクトとして公開したセキュリティスキャナーです。 GoogleではGKE(Google Kubernetes Engine)を使ってインターネットからアクセスを受けているシステムの脆弱性診断にTsunamiを使っているそうです。 ・Tsunamiのリリースに関する記事は以下のURLから確認できます。 Google Open Source Blog https://opensource.googleblo
はじめに ゴールなき、サイバーセキュリティの学習。そんなときの心のオアシス「モチベーションが上がる!」というメディア作品をまとめました。 エンターテインメントの世界で描かれるサーバーのクラッキング(攻略)シーンは厨ニ病心をくすぐる魅力がありますね。 作品とともに、メイキング(監修)に関する記事をピックアップし併記しています。 漫画・アニメ 『解体屋ゲン』88巻 INTERNET Watch「まるごと1冊サイバーセキュリティをテーマにした「解体屋ゲン」88巻が一部で話題沸騰」, 2022/02/04 サイバーディフェンス研究所 公式 Tweet 星野茂樹(『解体屋ゲン』原作者) Tweet 『トリリオンゲーム』, 稲垣理一郎, 池上遼一, (2021年) PR TIMES『小学館『ビッグコミックスペリオール』で連載を開始する『トリリオンゲーム』(原作:稲垣理一郎、作画:池上遼一)の技術監修を
ペンテスターはDBサーバーに夢を見るか? - Akatsuki Hackers Lab | 株式会社アカツキ(Akatsuki Inc.)
この記事は、Akatsuki Advent Calendar 2019の21日目の記事です。 こんにちは、セキュリティエンジニアの小竹 泰一(aka tkmru)です。 アカツキでは、アプリケーションや社内ネットワークに対する脆弱性診断やツール開発/検証を担当しています。 この記事では内部ネットワーク診断でDBサーバーを発見したときに確認する項目を紹介したいと思います。 内部ネットワーク診断とは 社内ネットワークにつないだ診断員のPCからネットワーク上の端末へ攻撃を行い、ミドルウェアの設定不備による脆弱性や、ソフトウェアが古いバージョンのまま放置されていることによる脆弱性などを発見するのが内部ネットワーク診断です。 脆弱性を見つけるだけではなく、見つけた脆弱性を使って更にどれだけ会社にダメージを与えられるかまでを検証し、ペネトレーションテスト相当のことにまで踏み込んで診断を実施しています。
github.com 空白をスキップして縦移動するマッピングを提供するシンプルなプラグインを作りました。 言葉で説明すると分かりにくいと思うのでそれぞれスクリーンショットを貼ります。 non-blank mappings 関数定義・if・while などブロック・ステートメントの対応する始まり・終わりに飛びたい時などに使ってます。 " マッピング例 nmap sj <Plug>(columnskip:nonblank:next) omap sj <Plug>(columnskip:nonblank:next) xmap sj <Plug>(columnskip:nonblank:next) nmap sk <Plug>(columnskip:nonblank:prev) omap sk <Plug>(columnskip:nonblank:prev) xmap sk <Plug>(colu
続:「Bastion ~ AWS Fargateで実現するサーバーレスな踏み台設計」 - How elegant the tech world is...!
はじめに 先日、Infra Study Meetup#6にお邪魔させていただき、「Bastion ~ AWS Fargateで実現するサーバーレスな踏み台設計」というタイトルでLTしてきました。 speakerdeck.com 運営の皆様、改めて素晴らしいイベントの企画ありがとうございました。 登壇後、Twitterタイムラインやはてなブックマーク上で思ったより大きな反響を頂いたので、鮮度が高いうちに続編として少し踏み込んだ内容をご紹介できればと思い、ブログに書き起こしてみました。 もし、これをきっかけにサーバーレスBastionホストにチャレンジしてみようという方の一助になれれば嬉しいです。 登壇内容の振り返り BastionホストをFargateでサーバーレス化する背景は登壇スライドに譲るとして、達成したい構成は以下でした。 ただ、具体的に実現しようとすると、いくつか考慮すべき点があり
OTネットワークセキュリティ監視の資産管理と振る舞い検知が手軽に試せた - 元有償のパッシブ型監視ツールを適用した模擬制御システムを攻撃 -
OTセキュリティ業界ではネットワーク監視製品が賑わっています。特に、運用中の制御システムに影響を与えずに、通信パケットから学習を行い、資産(アセット)情報を自動抽出するとともに正常状態からの変化をアラートする製品を各社提供している様子がうかがえます。そんな中、無償のツールを探し回り比較したところ、商用並みのすごいツールに出会えたので紹介します。ちなみに上図のようにインターネットとの通信の様子をリアルタイム表示する機能もあるのでOTに限らずIT環境に適用しても面白いと思います。 はじめに サイバーディフェンス研究所の安井です。長年制御システムを開発してきた経験から制御システムセキュリティ向上に取り組んでいます。 先に開催された2022年の重要インフラサイバーセキュリティコンファレンスでは、セキュリティベンダ各社より、通信パケットをキャプチャして解析し異常を検知しアラートする類の製品が紹介され
某CTFの復習していて、"ReverseShellをやる"というwriteupがあったのだけど、具体的なやり方が分からなかったので1から調べてみました。 そもそもReverseShellってなに?3行くらいで説明して?(大幅にオーバーした) 最もシンプルなサンプルはどんな感じ? インターネット越しの実践例・揃えるべき環境が知りたい あたりに応えられる内容になっていればと思います。 リバースシェル(Reverse Shell)とは Reverse Shell Cheet Sheet Reverse Shell by Bash を分析 local環境でReverseShellを実践してみる kali linux on vm mac osx Private IPアドレスを指定して実施してみる kali linux on vm mac osx インターネット越しにReverseShellやってみる
ウェブ・セキュリティ基礎試験(徳丸基礎試験)
お知らせ 受験宣言して試験を申し込んで主教材・公式問題集をもれなくGET!キャンペーン ウェブセキュリティ試験(通称:徳丸試験)は2023年3月6日よりバウチャーチケットを割引で購入できるようになります。10名以上の団体受験を希望される法人は団体割引価格(10%引き)が適用されます。お問い合わせはこちらよりお願いします。 ウェブ・セキュリティ基礎試験実施の背景 全世界で稼働しているWebサイトは5億サイトになりました。企業にとっても重要な位置づけになるため、サイバー攻撃の対象となるケースも増え、攻撃手法も複雑かつ巧妙になってきています。よってウェブ・セキュリティに対する対策は以前よりまして緊密且つ迅速に施さなければなりません。ユーザ、開発者に対してより一層のウェブ・セキュリティに対する意識と知見を高めるべく、本試験を実施いたします。本試験の主教材はウェブ・セキュリティの名著として知られる徳
GitHub - v-byte-cpu/sx: :vulcan_salute: Fast, modern, easy-to-use network scanner
⚡ 30x times faster than nmap ARP scan: Scan your local networks to detect live devices ICMP scan: Use advanced ICMP scanning techniques to detect live hosts and firewall rules TCP SYN scan: Traditional half-open scan to find open TCP ports TCP FIN / NULL / Xmas scans: Scan techniques to bypass some firewall rules Custom TCP scans with any TCP flags: Send whatever exotic packets you want and get a
この間、何気なしにnmapでmacのlocalhostを検索してみると、ひどい結果が待ち受けていました。 $ nmap localhost PORT STATE SERVICE 111/tcp open rpcbind 631/tcp open ipp 1021/tcp open exp1 1023/tcp open netvenuechat 2049/tcp open nfs 49163/tcp open unknown 正直、開けたことがあるような、ないようなポートがいっぱいです。特に、最後の49163なんてポートは絶対に自分では開けた覚えがありません。 とすると、バックドアでも仕掛けられていたのだろうかと心配になり、色々と調べてみることになりました。 結果的には、1021, 1023あたりのポートはnfsdでした。特定のリポジトリを共有してたことがあったような、なかったような...。
D.M.です。ローカル Windows で軽い Kubernetes 環境を作る話をします。 ローカル k8s と言えば以前は Minikube が一般的でしたが、2018年2月に Docker Desktop が Kubernetes を標準搭載しました。ホンモノなのでこれが 1 番いいと思われるものの、私の環境ではなぜか動作しませんでした。現状、他の選択肢として Kubernetes ディストリビューションが複数存在していますので、今回はそのうち k3s, k0s を使ってみたいと思います。 TL;DR k3os 上で動く k3s はメモリ 1 GB で動いたので最軽量。専用 OS もあり設定も簡単。 k0s はメモリ 1.5 GB で動いた。充分に軽い。設定は簡単だが、 Alpine の場合がやや面倒だった。 minikube はデフォルトでメモリ 2.2 GB 。何も設定しないでコ
Running a fake power plant on the internet for a month
People think of the internet as a host for services like banking websites, blogs and social networks. However, this is only a small part of everything connected. The internet is home to a big range of IoT systems and machines as well. These vary from simple “smart” light switches, to machinery used in industrial plants. One of the concerns stated in the yearly publication by the Dutch government c
はじめに 近年IT界隈では、IaaS(Infrastructure as a Service)やPaaS(Platform as a Service)などの~~ as a Serviceという言葉をよく聞くと思います。 ここでは、それらをまとめて、 [A-Z]aaS と呼びたいと思います。 FirebaseなどのBaaS(Backend as a Service)やAWS LambdaなどのFaaS(Function as a Service)など色々な[A-Z]aaSを聞く機会が増えてきたんじゃないでしょうか。 今回は色々な[A-Z]aaSを探してみました。結果としては 910個 もの[A-Z]aaSを見つけることができました。(探した結果を全て、後半に表示してあります。) [A-Z]aaSの探し方 最初の二文字を固定して、グーグル検索のサジェストに表示されるものを収集することにします。
筆者が「ハッカー」に興味を持ったきっかけは2つあります。1つ目は、シリアル食品「キャプテン・クランチ」のオマケだった笛を使って電話のタダがけをした「キャプテン・クランチ」と呼ばれる人物の話。2つ目は1983年の映画「ウォー・ゲーム」。主人公の少年は音響カプラ・モデムを使って偶然北米大陸防空司令部のコンピュータに侵入してしまい、そして......というストーリーです。この映画からは「ウォー・ダイヤリング」(War Dialing)という言葉が生まれています。 では、ここから改めてEC-CouncilとCEH(Certified Ethical Hacker = 認定倫理ハッカー)について紹介します。CEHはEC-Councilが認定するサイバーセキュリティの資格の1つです。EC-Councilは世界145カ国で事業を展開しており、アメリカ国防総省の諜報機関であるアメリカ国家安全保障局(NSA
山市良のうぃんどうず日記 匿名で得られる情報は限られる 相談には、「残念ながら参考情報程度しか取得できない」とお答えしました。企業にLANが普及し始めた20~30年前とは異なり、現在のネットワークでは、境界だけでなく、デバイスのエンドポイントでもファイアウォールが有効になっているのが当然であり、ネットワークを介して“認証なし”で得られる情報は多くありません。逆に、得られる情報が少ない方が、良いともいえます。ネットワークデバイスが誰にでも自らの情報をおしゃべりするような状態は、決して健全なネットワーク環境とはいえません。 よく知られた方法として、IPv4アドレスに対して「Ping」コマンドを実行し、応答のTTL(Time to Live)値を調べる方法があります。TTL値が「128」ならWindows、TTL値が「64」ならLinuxやmacOSとざっくりと判断できるというものです(画面1)
Story: Redis and its creator antirez | Brachiosoft Blog
This article is translated from the original Chinese edition. In the world of databases, Redis stands out as unique. Instead of the usual tables or documents that are the central focus of most databases, with Redis, you interact directly with low-level data structures such as linked lists and hash tables. This is all thanks to the innovative design of Redis creator Salvatore Sanfilippo, known onli
先日OSCPを取得したので、受験記を書きたいと思います! OSCPとは OSCPの難易度 OSCPを受講する前 OSCP Labo Labo について 学生フォーラム Metasploit Labo machineについて Exerciseについて 自分の体験 Rabbit Hole対策 OSCP Exam Examについて 自分のExam(予定) 自分の試験(現実) 試験の感想 OSCP対策 最後に OSCPとは Offensive Secutiry Certified Professionalの略です。 ペネトレーションテストをある程度できることを証明する資格なのかな?と思ってます。 ペネトレーションテストでは、既知の脆弱性のあるマシンをどこまで悪用可能なのかを調べることをします。低権限のシェルしか得られないのか、root権限を得られるのか。 OSCPに用意されているマシンはすべてro
週刊Railsウォッチ(20200630後編)Shopify流テスト削減、仕様化テストでレガシーコードと戦う、PostgreSQLのarray_agg()ほか|TechRacho by BPS株式会社
2020.06.30 週刊Railsウォッチ(20200630後編)Shopify流テスト削減、仕様化テストでレガシーコードと戦う、PostgreSQLのarray_agg()ほか こんにちは、hachi8833です。ruby-jp Slack、ひと頃より落ち着いてきた感ありますが、油断すると未読たまりますね😅。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 ⚓Ruby ⚓実行するテストを減らして「ときめく」には(Ruby Weeklyより) 元記事: Spark Joy by Running Fewer Tests – Shopify Engineering つっつきボイス: 「お、Shopifyの記事」「動的解析やらいろいろ
OSCPとは?未経験からOSCP保持者へ 私のOSCP受験記 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
はじめに 初めまして!イエラエセキュリティの教育サービス、「イエラエアカデミー」を担当している、出家(いでや)と申します。今年の1月に、ペネトレーションテストの難関資格であるOffensive Security Certified Professional(OSCP)を取得することができました。本記事では、同資格の取得を志望する方の参考になるよう、勉強・受験の軌跡や所感を共有したいと思います。私はサイバーセキュリティ分野の実務未経験で資格を取得できたので、スキルや経験に不安のある方にもぜひ読んでいただきたいです! この投稿の目的 OSCPの取得を志す方々の参考となる情報の共有 セキュリティ未経験から見たOSCPのレベル感の共有 スキルレベル等様々な理由でOSCPにチャレンジする自信がない方々の背中を押す ※本記事の内容は基本的に初心者向けの個人の見解や感想が中心です。技術的な試験対策に関す
OSCP合格までの道のりとそこから学んだこと
先日、OSCPというペネトレーションテストの資格試験を受けて無事に合格できました! 合格までの間、多くの先人の方々のブログを参考にさせてもらっていたので、私もこれからOSCPを取ろうと思っている人たちのために、合格までの道のりと、そこから学んだことをまとめておこうと思います。細かいTips等も含めています。 ちなみに私は、セキュリティ企業で働いている(もしくは働いていた)というわけではなく、どちらかというと、インターネットサービスを開発をする会社のインフラ・セキュリティを担当するという立場で働いている者です。なので、OSCPでペネトレーションテストのテクニックを学ぶことで、システムを保護するためのスキル向上につなげたいというモチベーションがありました。この点については、もう少し詳しく後述します。 OSCPとは すでに多くの紹介ブログがあるのでここでは簡単な説明にとどめますが、 Offens
Mar 5, 2020 deniteはneovim内でファイルを検索をして開いたりなどneovimの移動をwindow内だけでなくファイルの間までも高速に移動できる強力なプラグインである. deniteの解説記事はv3以前のものが多く実はとても不足している. 仕様の変更は割と大きいので自分はdeniteのhelpの例を参照してようやく理解できた. 私は時間をとても消費したので新しいdeniteを導入したい人があまり理解のために苦労しないように解説したい. deniteをdeinでロードする方法を私は取っている. tomlを使ったdeinのプラグイン管理の記事を検索などして参照して欲しい. 簡単に記述したが説明が不足しているので. deniteをプラグインマネージャーなどで導入したら, コマンドラインでDeniteを発動することができる. 前提条件としてpynvimというpythonモジュー
はじめに ご無沙汰しております。ABEJAの大田黒(おおたぐろ)です。前回は弊社TechBlogにて、数千人規模のイベント向けに顔認証技術を利活用したお遊びプロダクトの設計・開発・デリバリーについての裏側を執筆させて頂きました。 tech-blog.abeja.asia 今回のテーマは少しニッチな内容にはなりますが、自社で提供しているIoTソリューションにおけるセキュリティまわりの取り組みについて、ご紹介させていただければと思っております。 はじめに IoTデバイスを取り巻く環境 ABEJAにおけるIoTの利活用 例:製造業での適用例 (機械部品の自動検品) システムの構成例 ABEJAの立ち位置 IoTにおけるセキュリティの考え方 IoTデバイスに関わるインシデントの例 大事なこと IoTにおけるセキュリティ対策のご紹介 (一例) アクション3本柱 + α 1.「仕組み」で徹底的に守る
⚠️ AWSGoat Module 2 のネタバレあり はじめに AWSGost とは 攻撃方法の分類 インフラの料金 ラボ環境の構築 AWSGost リポジトリをフォーク Actions secrets でクレデンシャルを設定 GitHub Actions でデプロイ Module 2の大体の流れ Step 1. SQL Injection 解法 脆弱性があるコード Step 2. File Upload and Task Metadate リバースシェルの用意 待ち受け側 Step 3. ECS Breakout and Instance Metadata 現ユーザの権限を確認 リソースへのアクセスを試行 ケイパビリティを確認 (www-data ユーザ) コンテナ内でroot権限を取得 sudo可能なコマンドを確認 Vim経由でroot権限のシェルを取得 ケイパビリティを確認 (ro
概要 vim-goからvim-lspへ移行する時に問題になってたところを全部mattnさんが解決してくださってたのでようやく完全移行したという話です。 環境 vim 8.2 go 1.13.5 これまでの課題 vim-goの問題点 2014年からgoを触っていましたが当時はvim-go一択で、しかもやりたいことはそれだけで事足りていました。 しかし時代は流れ、以下のように少しずつモヤモヤを感じるようになってきました。 1.10のビルドキャッシュ辺りでバグがちょこちょこ起きたり 機能が増えてきて重くなったり Language Server Protocolの機運が高まってきた(色んなエディタやIDEが対応してきた) vim-lspの問題点 vim-lsp自体はLanguage Server Protocolが話題に挙がった頃から何度か試してみたのですが、 初期はサポートしている機能が限定され
Black Hat USA 2019 / DEF CON 27に参加してきました -DEF CON編- | NTT Communications Developer Portal
技術開発部 セキュリティユニットの後藤です。 Black Hat USA 2019 / DEFCON 27関連の記事として、第一弾「Black Hat USA 2019 / DEF CON 27に参加してきました 」、第二弾「Black Hat USA 2019 / DEF CON 27に参加してきました -Black Hat編-」に続き、今回は、DEF CON 27についてご紹介します。 DEF CONの概要は第一弾の記事をご参照ください。本記事では主に、DEF CONで体験してきたことを中心にご紹介したいと思います。 DEF CONでは、様々なイベントが並列して開催されていますので、過ごし方はその人次第です。例えば次のようなイベントがあります。 DEF CON CTF Final: 有名なCTFの決勝戦が開催されています。 多数のVillage: 各分野のスペシャリストらが開いているブ
2023-01-10 FLARE VM を使って解析環境を作ったときのメモ。 FLARE VM とは FLARE VM を導入する Microsoft Defender Antivirus を無効化する インストール手順 インストールの完了 インストール直後の FLARE VM 導入されたツール一覧 右クリックメニュー 環境設定の変更点 導入されていたパッケージ FLARE VM のカスタマイズ パッケージの追加インストール サクラエディタの設定 「SAKURAで開く」を右クリックメニューに追加する サクラエディタをMonokai風の配色する パッケージのアップデート 付録 FLARE とは FLARE VM 導入によって変更される環境設定について 初期導入されていたツール名一覧 初期導入されていた Chocolatey パッケージ一覧 FLARE VM を利用した理由 VMware で
2月某日、HackTheBoxでHacker Rankに到達することが出来ました。 ITエンジニアでも、理系大学卒でもない私がHackerになるまでやってきたことを振り返ってみようと思います。 #自己紹介 ニックネーム:とみー 職業:IT営業(代理店営業) 年齢:27歳 保有資格: 情報セキュリティマネジメント CompTIA CySA+ 勉強開始時点のTryHackMe HackTheBoxのRank TryHackMe Rank : level 1 HackTheBox Rank : noob HackTheBox Hacker到達までに費やした期間:6ヶ月 HTB Hackerを目指した理由 セキュリティエンジニアにキャリアチェンジしたいと思ったためです。 ハッキングラボのつくりかた との出会い ゆるいハッキング大会への参加 大和セキュリティ勉強会への参加 3つの出来事を通じて、セキ
Vimメモ : Neovimで開発環境を段階的に構築する(4)LinterとFormatter - もた日記
多言語パック Linter Formatter まとめ 多言語パック vim-polyglotは各種ファイルタイプ用のプラグインをまとめたもので、標準で対応していないような新しいプログラミング言語や使い慣れていないファイルタイプを編集するときに便利。 対応しているファイルタイプの一覧はこのページで確認可能。 Repository スター数 sheerun/vim-polyglot 2819 Plug 'sheerun/vim-polyglot' 例えばcsvファイルを開いてみると、vim-polyglotインストール前では、 のように通常の表示だが、インストール後では、 のように色付き表示になり、:WhatColumnなどのコマンドが使えるようになっている。 これはcsvファイルタイプのプラグインとしてcsv.vimがインストールされているからである。 このようにさまざまなファイルタイプ用
こんにちは。NFLabs. Offensive Teamの岩崎です。 本記事はNFLabs. アドベントカレンダー 10日目の記事となります。 近年、多くのWebサービスではCDN(Content Delivery Network)と呼ばれるWebコンテンツ配信サービスが利用されております。CDNは世界中に分散配置されたコンテンツサーバの中から、ユーザに対しネットワーク的に近いロケーションからコンテンツを返すことで効率的なコンテンツ配信(高速配信や多くのユーザへの同時配信など)を実現する技術です。 また、昨今はDDoS攻撃対策を目的としてオリジンサーバを秘匿する用途で利用されるケースも増えております。 本記事ではCDNのオリジンサーバのIPアドレス(以降、オリジンIP)を調査する方法について共有いたします。 特定方法 1. 特徴的なレスポンスを基にした調査 2. 関連するドメイン名の調査
Tsunami: An extensible network scanning engine to detect severity vulnerabilities with confidence
The latest news from Google on open source releases, major projects, events, and student outreach programs. Tsunami: An extensible network scanning engine to detect severity vulnerabilities with confidence We have released the Tsunami security scanning engine to the open source communities. We hope that the engine can help other organizations protect their users’ data. We also hope to foster colla
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
75インチ液晶テレビHisense 75A6Gのレビューと通信システム調査
Google、オープンソースのネットワークセキュリティスキャナー「Tsunami」を発表
敵対的思考を支援するWindows ディストリビューション - Commando VM - Qiita
「システムを隠す」ことでセキュリティを高めるのは本当に悪なのか?
ハッキングシーンが重要なメディア作品またはその監修に関するまとめ記事 - Qiita
空白をスキップして縦に移動するマッピングを提供する Vim プラグイン作りました - Humanity
Reverse Shell (リバースシェル) 入門 & 実践 - 好奇心の足跡
macで不審なポートが開いていた件(rapportd) - Qiita
1 番「軽い」やつはどれか? Kubernetes ディストリビューション比較
AaaSからZaaSまで「as a Service」を探したら色々なサービスが見えた話 - Qiita
ホワイトハットハッカーになろう!(3) CEH(認定倫理ハッカー)試験とは
あなたならどうする? 引き継ぎ一切なしで社内LAN上にあるデバイスをリストアップせよ!
OSCP Review(受験記) - 高林の雑記ブログ
denite解説
セキュアなIoTデバイス導入・運用の為の取り組み紹介 - ABEJA Tech Blog
やられAWS環境「AWSGoat」でペンテストを学習 - まったり技術ブログ
vim-goからvim-lspへ移行しました - Carpe Diem
FLARE VM を使って Windows10 に解析環境を構築する - setodaNote
非エンジニアがHack The Boxを始めてHackerになるまで - Qiita
CDNのオリジンIPを調査する方法について - NFLabs. エンジニアブログ