Gmailで問題が生じる神奈川県立高校ネット出願システムの被疑箇所を調査、改善策を検討してみた | DevelopersIO
神奈川県高校入試のネット出願システムの不具合影響を受けた利用者として、Gmailを扱えないメール環境について外部から調査しました。 出願システムで独自実装されたメールシステムの不完全な実装と、メール関連のDNSの設定不備が原因であった可能性が高いと推測します。 2024年の神奈川県立高校入試出願システムの不具合の影響を受け、@gmail.comのメールアドレス を利用出来なかった一利用者として、 インターネットから参照可能な範囲で、出願システムのメール環境について調査。 被疑箇所の推定と、状況を改善する対策について検討する機会がありましたので、紹介させて頂きます。 神奈川県公立高等学校入学者選抜インターネット出願システムの稼動状況について MX設定 「mail.shutsugankanagawa.jp」のMXレコードを確認しました。 1/18(21時) $ dig mx mail.shut
Sansan 技術本部 情報セキュリティ部 CSIRT グループの川口です。 2023年4月からセキュリティエンジニアで新卒として、Sansan に入社しました。 現在は ログ基盤(SIEM)のログの取り込み部分の機能修正、問い合わせ対応、インシデント対応などの業務に取り組んでいます。 今回は内定者インターンシップで開発した、自宅ルータの脆弱性検知システムについて紹介します。 目次は以下の通りとなります。 開発に至った経緯 作成したシステム 技術的な話 EDR ポートスキャン チケットシステムへの起票 SOAR まとめと今後の課題 開発に至った経緯 新型コロナウイルスの流行に伴い、リモートワークという言葉をよく耳にするようになったと思います。 弊社でも緊急事態宣言下においては、原則リモートワークとなり、現在はオンライン・オフラインを併用した働き方をしています。 ここで問題となってくるのが自
こんにちは、バックエンドエンジニアの日下です。 CSV から JSON へ変換するスクリプトを、TypeScript で実装する機会がありました。 今回は、CSV のデータのバリデーションに Zod を使った話をします。 スクリプトの目的 システム間のデータ連携が目的です。 連携元のシステムから CSV 出力されたデータを、連携先のシステムで利用する JSON へ変換します。 また、JSON への変換以外にも以下の要件があります。 CSV のデータをバリデーションする 連携先のシステムで利用できるデータであることを保証するために、バリデーションを実行します。 バリデーション失敗時に、日本語のエラーメッセージを表示する スクリプトの実行は業務担当のエンドユーザーが行うため、日本語のエラーメッセージを表示します。 CSV の読み込み 元データとなる CSV の読み込みは、csv-parse を
ポートスキャナ自作ではじめるペネトレーションテスト
本書は、ポートスキャンを用いて攻撃者がネットワークを経由してどのように攻撃してくるのかを具体的な手法を交えて学び、攻撃手法を知ることでセキュリティレベルの向上を目指す書籍です。Scapyを用いてポートスキャナを自作し、ポートスキャンの仕組みや動作原理をしっかりと学びます。そのあとで、脆弱性診断やペネトレーションテストに不可欠なNmap、Nessus、Metasploit Frameworkなどのツールについて解説します。ハンズオンで学習を進めながら徐々にステップアップしていける構成となっています。攻撃者側の思考プロセスを理解し、対策を強化しましょう。付録ではペンテスターのキャリア形成、関係の築き方などにも触れ、著者の豊富な経験からのアドバイスを紹介しています。 正誤表 ここで紹介する正誤表には、書籍発行後に気づいた誤植や更新された情報を掲載しています。以下のリストに記載の年月は、正誤表を作
オフェンシブ視点による Cloud Security 入門 ~AWS 編~ - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、AWS 環境における攻撃者のオフェンシブな視点で Cloud Security の入門として紹介します。 1. 始めに 免責事項 想定読者 2. クラウドにおける脅威 クラウドの重大セキュリティ脅威 11の悪質な脅威 クラウドサービス利用に関連するリスク Top 10 AWS セキュリティ構成ミス Top 10 3. AWS 環境における攻撃者の観点 3.1 AWS 環境の外部からの観点 3.2 AWS 環境の内部からの観点 4. MITRE ATT&CK Framework for Cloud (IaaS) 4.1 初期アクセス (Initial Access) 4.2 実行 (Execution) 4.3 永続化 (Persistence) 4.4 権限昇格 (Privilege Escalation) 4.5 防御回避
匿名ハッカーとして邪悪な組織の計画を暴き出すゲーム『アノニマス・ハッカー・シミュレーター』の体験版が公開。簡素ながらリアルなハッキングを体感でき、日本語にも対応している
2020年に設立されたG-DEVS.comは10月9日(月)、新作ゲーム『Anonymous Hacker Simulator(アノニマス・ハッカー・シミュレーター)』の無料体験版をPC(Steam)向けに配信した。本作は日本語字幕に対応しており、正式版についても2023第4四半期の発売を予定している。 『アノニマス・ハッカー・シミュレーター』のなかでプレイヤーは匿名のハッカーとなり、「Vladimir Pootin」や「Elan Mask」などどこかで聞いたことのある名前を持った公人たちをハッキングして、その秘密を暴露する。 本作の特徴として、ネットワークをスキャンする「Nmap」や情報収集に用いられる「Harvester」など実在するソフトウェアも登場するリアリティの高いハッキング描写があげられる。作中でプレイヤーはキーボードなどを用いて実際にコマンドを入力しながら、目的の情報を手に入
【総まとめ】GuardDutyによるコンテナランタイム脅威検知の注意事項と設定手順と検出の様子 #AWSreInvent | DevelopersIO
AWSマネージドサービスGuardDutyによる待望のコンテナランタイム脅威検知。その検知内容と設定上の注意事項、検出の様子をまとめてお届けします。 「ECSのランタイム脅威検知って、商用製品必須だよね。どれにすっかなぁ。結構高いよね」 「1年前の予告を経て、よーーーやくAWSマネージドなやつがGAされましたよ」 去年のre:Invent2022においてKeynote中に予告だけされていたコンテナ環境のランタイム検知(【速報】GuardDutyによるコンテナランタイムの脅威検知サービスが発表されました!)。 先日のre:Invent 2023のアップデートにより、待望のECSにおけるランタイム検知が、GuardDutyで実現できるようになりました!!もともとEKSにおけるランタイム検知は提供されていましたが、それがECSにも拡張されたアップデートです。 これまでAWSのECSにおいてランタ
Attack Surface Management? はじめました - freee Developers Hub
こんにちは、北海道から freee PSIRT(Product Security Incident Response Team)に参加している yu です。 今年は雪が少ないな〜と思っていたら最近ドカドカ降るようになってきて、1日デスクで集中した後に外に出ようとすると玄関のドアが雪で開かない日もありました。雪国エンジニアの各位、除雪も忘れず頑張っていきましょう! さて、この記事では前回の記事で bucyou が紹介した開発合宿において、私と同僚の tomoya さんで取り組んだ freee の Attack Surface Management(以下、ASM)について紹介します。 ASM とは ASM、Attack Surface Management という用語はさまざまなところで異なる定義がされており、私自身、この言葉を使うときにはまだ少しだけ違和感があります。 国内では昨年の5月に経
インターネットからの野良リクエストがどれぐらい AWS WAF のマネージドルールに一致するのか確かめてみた - 電通総研 テックブログ
こんにちは。コーポレート本部 サイバーセキュリティ推進部の耿です。 Web サービスへの攻撃を防ぐために WAF を使いましょうというのはよく聞きます。 ではインターネットに公開した Web サービスに送信される悪意のあるリクエストがどれぐらい WAF によって防御され得るのでしょうか? お手軽に使える AWS WAF のマネージドルールを対象に確かめてみました。 この記事の概要 実験用に固定レスポンスを返すだけの HTTP エンドポイントを作成し、約半年間インターネットからアクセス可能な状態で放置した AWS WAF のマネージドルールをアタッチしており、それぞれのルールに一致したリクエスト数を集計し、ランキング形式にまとめた 一致したリクエスト数が多いマネージドルールそれぞれに対して、どのようなリクエストが多かったのか集計し、ランキング形式にまとめた 実験用システムの構成 基本的なデー
プラットフォーム診断について学んでみた
こんにちは、GMO NIKKO インフラエヴァンジェリスト(メンバーに命名してもらいました!)のhakumaiです。 前回の記事「弊社初!SLOモニタリングを導入してみた話」を読んでいただいた方々、ありがとうございます。 GMOアドパートナーズ TECH BLOG byGMO弊社初!SLOモニタリングを導入してみた話こんにちは、GMOアドマーケティング インフラ開発部のhakumaiです。 前回の記事「AWSエンジニアから見たGCP(データ分析編)」を読んでいただいた方々、ありがとうございます。 最近、弊社のプロダクトにSLOモニタリングを導入し運用し始めたこともあり、今回はその導入までの道のりを個人的に思ったことも含めてお話いたします。きっかけSLI/SLO文化を導入しようと思ったきっかけは、「プロダクトをより成長させていきたい」という思いが自身としてもインフラチームとしてもあったからで
GitHub - Ostorlab/oxo: OXO is a security scanning orchestrator for the modern age.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
リバースシェルを試してみた - RAKUS Developers Blog | ラクス エンジニアブログ
こんにちは、インフラエンジニアのfro-rivです。 セキュリティ関連でよく耳にするリバースシェル(reverse shell)について、 実際にどうやって実現するのか気になったので調べた結果をまとめてみました。 本記事に記載の手順は、不正な通信とみなされる可能性がありますので、 試す際は管理下のサーバで実施する・適切な許可を取得するなど法的な制約を遵守してください。 リバースシェルとは リバースシェルを試してみる 実現したいこと 前提 事前準備 パターン1:bash パターン2:netcat パターン3:python さいごに 参考 リバースシェルとは リバースシェルとは、自ら接続先サーバ(以下、リモートサーバ)に接続しに行く通常の流れとは違い、 リモートサーバからシェルを渡しに来る通信方法です。 接続の際は、自ら(接続元で)任意のポートをリッスンし、リモートサーバがアクセスしに来る形を
『ポートスキャナ自作ではじめるペネトレーションテスト ―Linux環境で学ぶ攻撃者の思考』 株式会社ステラセキュリティ 小竹 泰一 著 2023年9月20日発売予定 256ページ(予定) ISBN978-4-8144-0042-3 定価3,190円(税込) 本書は、ポートスキャンを用いて攻撃者がネットワークを経由してどのように攻撃してくるのかを具体的な手法を交えて学び、攻撃手法を知ることでセキュリティレベルの向上を目指す書籍です。Scapyを用いてポートスキャナを自作し、ポートスキャンの仕組みや動作原理をしっかりと学びます。そのあとで、脆弱性診断やペネトレーションテストに不可欠なNmap、Nessus、Metasploit Frameworkなどのツールについて解説します。ハンズオンで学習を進めながら徐々にステップアップしていける構成となっています。攻撃者側の思考プロセスを理解し、対策を強
この本の概要 TCP/IP&ネットワークコマンドの解説書。『Linux×コマンド入門』(技術評論社,2021/04),『macOS×コマンド入門』(技術評論社,2020/4)の姉妹本です。 本書では,TCP/IP&ネットワークの今の基本を押さえ,ネットワークコマンドや各種ツールの基礎知識や作法を平易に解説。コマンドやWiresharkなどのツールを使って,TCP/IPのしくみ&ネットワークの基本概念を手を動かして実際の動作を見ながら学べる点が特徴です。動作確認環境としてはLinux(Ubuntu)を中心に,Windows/WSL2,macOSに対応。コマンドラインがはじめての方でも試せるようにサポートサイトも用意しました。変わる基本,変わらない基本を広く初学者の方々へ。スマートフォン,Wi-Fi,無線通信をはじめとしたコンピューターネットワークの今を気軽に体感できる1冊です。 こんな方にお
![TCP/IP&ネットワークコマンド入門 ──プロトコルとインターネット、基本の力[Linux/Windows/macOS対応]](https://cdn-ak-scissors.b.st-hatena.com/image/square/6d1c5192047941712b8532f819382ec9734cd7a2/height=288;version=1;width=512/https%3A%2F%2Fimage.gihyo.co.jp%2Fassets%2Fimages%2Fogp%2F2024%2F9784297141325.jpg)
はじめに オライリーでポートスキャナ自作ではじめるペネトレーションテストという本が発売されました。 2章ではScapyを利用して実際にパケットを作成して、nmapのようなポートスキャナ自作します。 パケットのカプセル化などNWの仕組みから丁寧に解説されていてとても良書だと思います。 ただ筆者はPythonよりGolang派なので2章のプログラムをGolangに書き換えてみました。 ※オリジナルはこちら gopacket入門 gopacketはGolangでパケットを読み込んだり作ったりするためのライブラリです。 プログラムを作る前に必要なパッケージをインストールしておきます。 ubuntu 22.04で動作確認をしています。
[crypto] Simple Substitution Cipher [crypto] Substitution Cipher [crypto] Administrator Hash(NTLM hash) [crypto] Administrator Password [crypto] Hash Extension Attack [forensics] The Place of The First Secret Meeting [forensics] The Deleted Confidential File [forensics] They Cannot Be Too Careful. [forensics] The Taken Out Secrets [forensics] Their Perpetration [NW] Transfer [NW] Analysis [NW] Enu
2024-01-20 Discussion on HackerNews and Lobsters. Roughly a year ago I moved into my new apartment. One of the reasons I picked this apartment was age of the building. The construction was finished in 2015, which ensured pretty good thermal isolation for winters as well as small nice things like Ethernet ports in each room. However, there was one part of my apartment that was too new and too smart
IPAゼロトラスト導入指南書.pdf
ICSCoE TLP: WHITE ゼロトラスト導入指南書 〜情報系・制御系システムへのゼロトラスト導入〜 2021 年 6 月 独立行政法人 情報処理推進機構 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト 1 はじめに 近年,新型コロナウイルス感染症 (COVID-19)の蔓延によるリモートワーク利用の加速化やクラウド 活用の増加により,社外から社内システムに接続する機会が増えてきている。 現状のセキュリティ対策は,境界型防御が主流であり,社内を信用できる領域,社外を信用できない 領域として外部からの接続を遮断している。しかし,上記の社会変化から,社内のシステム環境へ社外 から接続するということが行われていることから,境界型防御で考えていたセキュリティモデルではサイ バー攻撃の脅威を防ぎきれない状況になってきている。 また,標的型メールによる
Network tunneling with… QEMU?
Cyberattackers tend to give preference to legitimate tools when taking various attack steps, as these help them evade detection systems while keeping malware development costs down to a minimum. Network scanning, capturing a process memory dump, exfiltrating data, running files remotely, and even encrypting drives — all these can be done with trusted software. To gain a foothold inside a compromis
はじめに 今日は脆弱性を利用するとこんなことができてしまうから気をつけましょうというのを実際の攻撃をしていきながらお見せしようと思います。 ※注意 ここで書かれていることを第三者に対して実行した場合不正アクセス禁止法によって罰せられる可能性がある為くれぐれも実行しないようにご注意ください。 私も仮想環境の中で攻撃される用のマシンに対して実行しました。 利用ツール Metasploitable2(マシンA) セキュリティのお勉強用の脆弱性がたくさん用意されたマシン kali Linux Rolling (2024.1) x64(マシンB) 攻撃用の仮想マシン nmap ポートスキャン用ツール 主に上記を使いました。 なお、攻撃を実行するにあたってハッキングラボの作り方(IPUSIRON著)を参考にしております。 また、今回は脆弱性があるとどんなことが行われるかを紹介をするのみにしようと思うの
こんばんは。株式会社Flatt Security 執行役員 CCOの豊田恵二郎(@toyojuni)です。 先程、ドラマ『トリリオンゲーム』の第5話が放送されましたね。弊社Flatt Securityは第1話に引き続き「IT・セキュリティ技術監修」としてハッキングシーンの監修に携わっています。 第1話放送後に公開した前回の記事では、技術的な用語の解説や具体的な設定を紹介しました。 本記事では、『トリリオンゲーム』原作とドラマの監修の流れを紹介しながら、第5話で放送されたドラゴンバンクへのハッキングシーンの設定を解説します。 普段は見ることができないドラマ制作の舞台裏から、同作品の魅力であるリアルな設定・作り込みがどのように出来ているか解き明かしてみましょう。 免責事項 本記事の内容はセキュリティに関する知見を広く共有する目的で執筆されており、脆弱性の悪用などの攻撃行為を推奨するものではあり
みなさんこんにちは。調査・監視部に所属する宮﨑です。 普段の業務ではブルーチームとして、SOC監視・調査やフォレンジック調査、マルウェア解析などを行なっています。 今回はOffsec社が提供する、Webペンテストの資格 2種へ挑戦し合格したため、受験記を投稿します。 OSWA・OSWEとは これらはOffsec社が提供するWebペンテスト系の資格で、それぞれの正式名称は以下のとおりです。 OSWA (Offsec Web Assessor) OSWE (Offsec Web Expert) 資格の難易度とレベル Offsec社のコンテンツの難易度は、100から400まで存在し、通常の契約プランで購入できるコンテンツは300までになります。そして、OSWAは200、OSWEは300の位置付けにいるため、単純にOSWEの方が難易度としては高いです。また、300のコンテンツ・試験ではエクスプロイ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
自宅ルータの脆弱性検知システムの開発 - Sansan Tech Blog
Zod を使って CSV からの入力データをバリデーションする - ドワンゴ教育サービス開発者ブログ
9月新刊情報『ポートスキャナ自作ではじめるペネトレーションテスト』
TCP/IP&ネットワークコマンド入門 ──プロトコルとインターネット、基本の力[Linux/Windows/macOS対応]
Golangで行うポートスキャナ自作ではじめるペネトレーションテスト
防衛省サイバーコンテスト2023 Writeups - はまやんはまやんはまやん
What's that touchscreen in my room?
【脆弱性】脆弱性を放置するとどんな事が起きるのか - Qiita
ドラマ『トリリオンゲーム』第5話のリアルなハッキングシーンができるまで - #FlattSecurityMagazine
Webペンテスト系の資格「OSWA」「OSWE」受験記 | 株式会社レオンテクノロジー