security.txt は非常にシンプルな text/plain ファイルであり、既成のものをコピペして .well-known/security.txt として配置するだけであれば、ものの数分で対応できることでしょう。 また、自動で作成してくれる Web アプリも公式で用意されています。 ですが、例えば「Preferred-Languages に優先順位はあるの?」、「攻撃者によって security.txt が改ざんされたらどうなるの?」といったことは気にならないでしょうか。 私はとても気になります。 というわけで、早速 RFC9116 を読んでいきましょう。 tl;dr はこちら Abstract Section 1 は割愛すると書きましたが、概要にだけは最初に触れておきます。security.txt は第三者であるセキュリティリサーチャーのために書かれたものであり、この RFC
Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い - Flatt Security Blog
初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。 普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。 さて、今回はプロダクトセキュリティを生業としている私が、脆弱性診断を外注することと内製化すること、それからバグバウンティについてそれぞれの役割を記していきたいと思います。 本記事の目的 脆弱性診断を外注した方が良い、あるいは、内製化した方が良い、という話ではなく、それぞれ役割が異なると考えています。つまりそれは、それぞれが補い合う形で存在しているというものです。そして、これらをさらに補う要素としてバグバウンティがあるという話を通して、みなさまの組織で脆弱性診断をどのようにセキュリティ運用に組み込んでいくのかを検討したり、バグバウンテ
Security-JAWS 第17回レポート #secjaws #secjaws17 #jawsug | DevelopersIO
Security JAWS 第17回のレポートです。AWSを使うときに最初にやる初心者向けの話もあり、ガッツリ深い話もありな回でした! こんにちは、臼田です。 Security JAWS 第17回が開催されましたのでレポート致します。 Security-JAWS 【第17回】 勉強会 2020年5月29日(金) - Security-JAWS | Doorkeeper レポート Session0: アマゾン ウェブ サービス ジャパン株式会社 沼口 繁さん「本日のライブ配信環境ざっくりと」 JAWSといえばオフラインだった 最初はセミナールームで 第2形態としてセミナールームを使ってAmazon Chimeを利用して配信 第3形態では人数制限を超えるためにTwitchを使った 2019年1月からはAWSJのエキスパートのオンライン配信をやっていた 第4形態OBS Studio + Twit
Introduction 11 May 2021 — This website presents FragAttacks (fragmentation and aggregation attacks) which is a collection of new security vulnerabilities that affect Wi-Fi devices. An adversary that is within range of a victim's Wi-Fi network can abuse these vulnerabilities to steal user information or attack devices. Three of the discovered vulnerabilities are design flaws in the Wi-Fi standard
Six design patterns to avoid when designing computer systems.
GitHub - jtesta/ssh-audit: SSH server & client security auditing (banner, key exchange, encryption, mac, compression, compatibility, security, etc)
SSH1 and SSH2 protocol server support; analyze SSH client configuration; grab banner, recognize device or software and operating system, detect compression; gather key-exchange, host-key, encryption and message authentication code algorithms; output algorithm information (available since, removed/disabled, unsafe/weak/legacy, etc); output algorithm recommendations (append or remove based on recogn
Posted Jun 2, 2021 2021-06-02T07:00:00-07:00 by Abdulrahman Alqabandi IntroductionWhen it comes to an application’s user interface (UI), one may care for the aesthetics, design consistency, simplicity, and clarity to ensure a good UI. However, an application like a browser where untrusted content is loaded, parsed, and given APIs to invoke all sorts of UIs then a new layer of concern appears: Desi
Network Load Balancers (NLB) now supports security groups, enabling you to filter the traffic that your NLB accepts and forwards to your application. Using security groups, you can configure rules to help ensure that your NLB only accepts traffic from trusted IP addresses, and centrally enforce access control policies. This improves your application's security posture and simplifies operations. NL
【セキュリティ ニュース】「TLS 1.2」以前に「Raccoon Attack」のおそれ - OpenSSL、F5などが対処(1ページ目 / 全2ページ):Security NEXT
「TLS 1.2」以前において、「Diffie-Hellman(DH)鍵交換」を利用している場合に、暗号化された通信が解読可能となる攻撃手法「Raccoon Attack」が明らかとなった。マイクロソフトは、9月の月例パッチで対処しており、「OpenSSL」やF5の「BIG-IP」の旧バージョンなども影響を受けるという。 「TLS 1.2」以前において「DH鍵交換」を利用している場合に、中間者攻撃によって「TLSハンドシェイク」における「プリマスターシークレット」を特定することが可能となる脆弱性が明らかとなったもの。 ルール大学ボーフムやテルアビブ大学、パーダーボルン大学などの研究者が発表した。攻撃手法は「Raccoon Attack」と名付けられている。特に頭文字などより名付けられたわけではなく、ロゴには「Raccoon」が意味するアライグマがあしらわれている。 同脆弱性では、複数のTL
Features • Security
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session.
【セキュリティ ニュース】脆弱性「FragAttacks」が判明 - ほぼすべてのWi-Fi機器に影響(1ページ目 / 全3ページ):Security NEXT
ほぼすべての「Wi-Fi」対応機器に影響を及ぼすとされる脆弱性「FragAttacks」が明らかとなった。脆弱性を悪用されると、情報を窃取されたり、対応機器が攻撃を受けるおそれがあるという。 ニューヨーク大学アブダビ校の研究者であるMathy Vanhoef氏がUSENIXのセキュリティカンファレンスで発表したもの。脆弱性はCVEベースであわせて12件にのぼり、同氏は一連の脆弱性を「FragAttacks(Fagmentation and Aggregation Attacks)」と名付けている。 同氏は今回明らかとなった脆弱性について75種類のデバイスを調査したが、すべての機器で少なくとも1件の脆弱性が存在しており、ほぼすべてのWi-Fi対応機器に脆弱性が存在すると結論付けている。最新の「WPA3」についても影響を受ける。 今回明らかとなった脆弱性のうち、3件についてはWi-Fi規格に起
GitHub - aquasecurity/tfsec: Security scanner for your Terraform code
As part of our goal to provide a comprehensive open source security solution for all, we have been consolidating all of our scanning-related efforts in one place, and that is Trivy. Over the past year, tfsec has laid the foundations to Trivy's IaC & misconfigurations scanning capabilities, including Terraform scanning, which has been natively supported in Trivy for a long time now. Going forward w
【セキュリティ ニュース】WordPressプラグインの同時多発改ざん、PWリスト攻撃に起因(1ページ目 / 全1ページ):Security NEXT
WordPress向けの複数プラグインに不正なコードが挿入された問題で、WordPress.orgは、侵害された複数のアカウントより、プラグインの改ざんが行われたことを明らかにした。 他ウェブサイトより流出したユーザー名やパスワードを組み合わせたパスワードリスト攻撃を受け、プラグインの開発に参加するコミッターのアカウント5件が不正アクセスを受けたという。 攻撃者はこれら侵害したアカウントを通じて悪意のある更新を行い、「BLAZE Retail Widget」「Contact Form 7 Multi-Step Addon」「Simply Show Hooks」「Social Sharing Plugin – Social Warfare」「Wrapper Link Elementor」といったプラグインで改ざん被害が発生した。 同問題を受けてWordPress.orgでは、プラグイン所有者
[アップデート]AWS Security Hubが統合コントロールビューと統制結果の統合に対応しました | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティチェックしてますか?(挨拶 今回はAWS Security Hubが統合コントロールビューと統制結果の統合に対応したのでこれを紹介します。 Announcing Consolidated Control Findings and a Consolidated Controls View for AWS Security Hub このアップデートは以前予告があり、下記で注意喚起していました。 統合コントロールビューと統制結果の統合の概要 詳細は上記記事を見ていただければ大丈夫ですが簡単にだけ説明します。 AWS Security Hubで新しく下記2つの機能がリリースされました。 統合コントロールビュー 検知結果の統合 統合コントロールビューはデフォルトで機能が追加されており、これまで複数のコントロールはそれぞれの詳細ページで確認していた
![[アップデート]AWS Security Hubが統合コントロールビューと統制結果の統合に対応しました | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ba983f76286d716c33249c5cd7c5d87259ff98a9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-security-hub.png)
LogJ4 Security Inquiry – Response Required | daniel.haxx.se
On Friday January 21, 2022 I received this email. I tweeted about it and it took off like crazy. The email comes from a fortune-500 multi-billion dollar company that apparently might be using a product that contains my code, or maybe they have customers who do. Who knows? My guess is that they do this for some compliance reasons and they “forgot” that their open source components are not automatic
1 Introduction Compilers, assemblers and similar tools generate all the binary code that processors execute. It is no surprise then that these tools play a major role in security analysis and hardening of relevant binary code. Often the only practical way to protect all binaries with a particular security hardening method is to have the compiler do it. And, with software security becoming more and
Over the past several months, the Threat Analysis Group has identified an ongoing campaign targeting security researchers working on vulnerability research and development at different companies and organizations. The actors behind this campaign, which we attribute to a government-backed entity based in North Korea, have employed a number of means to target researchers which we will outline below.
Recent posts: 24 Mar 2024 » Linux Crisis Tools 17 Mar 2024 » The Return of the Frame Pointers 10 Mar 2024 » eBPF Documentary 28 Apr 2023 » eBPF Observability Tools Are Not Security Tools 01 Mar 2023 » USENIX SREcon APAC 2022: Computing Performance: What's on the Horizon 17 Feb 2023 » USENIX SREcon APAC 2023: CFP 02 May 2022 » Brendan@Intel.com 15 Apr 2022 » Netflix End of Series 1 09 Apr 2022 » Te
GitHub - skills/secure-code-game: A GitHub Security Lab initiative, providing an in-repo learning experience, where learners secure intentionally vulnerable code.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Making the Advanced Protection Program and Titan Security Keys easier to use on Apple iOS devices
The latest news and insights from Google on security and safety on the Internet
Learning cyber security on TryHackMe is fun and addictive. Earn points by answering questions, taking on challenges and maintain your hacking streak through short lessons.
【KENRO開発者インタビュー】これからのセキュアコーディング研修の形とは - Flatt Security Blog
Flatt Securityは2020年11月4日、SaaS型eラーニングサービス「KENRO」をリリースしました。OWASP Top 10 に含まれる脆弱性をはじめとして、今日のWebエンジニアが開発にあたって学ぶべきセキュリティ技術の学習環境を提供するサービスです。 日本のセキュリティ業界において、教育サービスがSaaSとしてリリースされるというのはあまり多くありません。どのような経緯を経て本サービスを開発するに至ったのでしょうか。そこで今回は、学習コンテンツ作成を担当するセキュリティエンジニアの米内氏とプロダクトマネージャーとして製品設計に携わる小島氏にインタビューを実施。 「中の人」である開発者の声を紹介することで、「KENRO」というプロダクトの価値を改めてお伝えします。 flatt.tech 開発者プロフィール 開発のきっかけは「Web アプリケーションセキュリティを学ぶハード
新機構Play Integrityを使用したFirebase App Checkの検証を通して見る、スマホアプリの不正検知とBypassの「イタチごっこ」 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityエンジニアの大谷(@otani_daiki)です。 Androidのゲーム、銀行系アプリケーションを開発する上で、チート等の不正を可能にするRoot化や改ざんといった行為からアプリケーションを保護するのは必須と言えます。 そこで本稿では、どのようにアプリケーションを保護すれば良いのかを攻撃者側からの観点も踏まえて解説していきます。 また、株式会社Flatt Securityではお客様のプロダクトに脆弱性がないか専門のセキュリティエンジニアが調査するセキュリティ診断サービスを提供しています。料金に関する資料を配布中ですので、ご興味のある方は是非ご覧ください。 注) 本稿では度々サンプルコードを提示することがありますが、明示されない限り実機(Pixel 3a: Android 10)での検証を行なっております。 はじめに 免責事項 Ro
Yurika on Twitter: "AzureADのセキュリティ オペレーションガイドが、大幅に刷新された模様 Azure Active Directory security operations guide https://t.co/fsAQ3Hf3DA"
AzureADのセキュリティ オペレーションガイドが、大幅に刷新された模様 Azure Active Directory security operations guide https://t.co/fsAQ3Hf3DA
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Charlie Osborne (Special to ZDNET.com) 翻訳校正: 編集部 2019-08-06 11:03 Microsoftは、新しいラボの立ち上げとバグ報奨金の増額により、「Azure」クラウドコンピューティングサービスのセキュリティ強化に取り組んでいる。 Microsoftは米国時間8月5日、ネバダ州ラスベガスで開催されている「Black Hat USA」カンファレンスで、「Azure Security Lab」について発表した。Azure Security Labは、「Azureを確信をもってアグレッシブにテストしてもらう」ための専用のクラウドホスト群であり、Microsoftはテストを行うセキュリティ専門家を招待しているという。 ハッキングの試みやテストが通常の機能を混乱させるのを防ぐため、このラボはメインのAzureフレームワークから隔離されている。Mi
Zoom freezes feature development to fix security and privacy issues | TechCrunch
Enterprise Zoom freezes feature development to fix security and privacy issues Zoom has been widely criticized over the past couple of weeks for terrible security, a poorly designed screensharing feature, misleading dark patterns, fake end-to-end-encryption claims and an incomplete privacy policy. Despite that, the video conferencing service has attracted a ton of new users thanks to the coronavir
npm security update: Attack campaign using stolen OAuth tokens
Securitynpm security update: Attack campaign using stolen OAuth tokensnpm's impact analysis of the attack campaign using stolen OAuth tokens and additional findings. As of June 2, 2022, GitHub has completed directly notifying all impacted users for whom we were able to detect abuse from the attack on npm. If you have not received a notification directly from GitHub, we do not have evidence that yo
監査人の警鐘- 2023年 情報セキュリティ十大トレンド | JASA (Japan Information Security Audit Association)
()内は前年のランク なお、十大トレンドの各トピックの解説とそれぞれに対応した監査のポイントについては、下記、内容解説をご参照ください。 内容解説 第1位は「大規模社会インフラシステム障害により増大するサイバーリスク」が選ばれました。わが国の重要インフラ分野として指定されている「情報通信」、「金融」をはじめとする14分野を含む多くの社会システムが情報システム化、ネットワーク化してきていることから、ひとたび事故が起これば社会生活に甚大な影響を引き起こすことや、大きなサイバーリスクにさらされていることがこのトピックで示されています。 第2位は、サプライチェーンでの委託先における情報漏洩や、グループ会社や海外拠点への不正アクセスなど、一部の脆弱性がサプライチェーン全体に影響を与えるリスクに警鐘を鳴らす「ITサプライチェーンの統制強化」が続き、第3位には、身代金目的で情報窃取や暗号化を実施し、脅迫
BeyondCorp - A New Approach to Enterprise Security - - 発明のための再発明
GitHubのを眺めていたら、ORYのoathkeeperを見つた。 これがGoogleが社内で使用している「BeyondCorp」を参考にしているということが書いてあったので、その論文を読んだ。 BeyondCorpとは GoogleがVPNの代わりに使用している、認証・認可のシステム。 人・デバイス・ネットワークなどを基に社内システムへのアクセス制御を行い、ホテルやカフェなどから、Google社内システムへのアクセスができるようになっている。 論文は何個か出されているが、読んだのは、BeyondCorp: A New Approach to Enterprise Security また、GCPのサービスにもなっていて、Cloud Identity-Aware proxyという名前になっている BeyondCorpの仕組み 図にすると、↓のような構成らしい 認証 HRのシステムと結びつい
Security Kubernetes Security: 10 Best Practices from the Industry and Community Kubernetes requires extensive configuration, and keeping container security at the right level is always challenging. One of the best ways to tighten your clusters’ security is by implementing tactics that have become industry-standard.4 Here are 10 most important ones. 10 best practices for Kubernetes security 1. Don’
This is a slide for CloudNative Days Tokyo 2021 Keynote (https://event.cloudnativedays.jp/cndt2021/talks/1208). At Mercari, we've been building internal development platform top on Kubernetes and Cloud-native ecosystem for more than 3 years. The history of building the platform is the history of security hardening. In this session, I'm going to introduce what kind of security hardening we've imple
Blog - Private Cloud Compute: A new frontier for AI privacy in the cloud - Apple Security Research
Private Cloud Compute: A new frontier for AI privacy in the cloud Written by Apple Security Engineering and Architecture (SEAR), User Privacy, Core Operating Systems (Core OS), Services Engineering (ASE), and Machine Learning and AI (AIML) Apple Intelligence is the personal intelligence system that brings powerful generative models to iPhone, iPad, and Mac. For advanced features that need to reaso
GitHub - fugue/regula: Regula checks infrastructure as code templates (Terraform, CloudFormation, k8s manifests) for AWS, Azure, Google Cloud, and Kubernetes security and compliance using Open Policy Agent/Rego
Regula is a tool that evaluates infrastructure as code files for potential AWS, Azure, Google Cloud, and Kubernetes security and compliance violations prior to deployment. Regula supports the following file types: CloudFormation JSON/YAML templates Terraform source code Terraform JSON plans Kubernetes YAML manifests Azure Resource Manager (ARM) JSON templates (in preview) Regula includes a library
const http = require('node:http'); const {URL} = require('node:url'); const portNum = 8082; const host = 'localhost'; const server = http.createServer(function(request, response) { const url = new URL(`http://${host}:${portNum}${request.url}`); const name = url.searchParams.get('name') || ""; response.writeHead(200, {'Content-Type': 'text/html; charset=utf-8'}); if(name === "") { response.end('<h1
Preview: Amazon Security Lake – A Purpose-Built Customer-Owned Data Lake Service | Amazon Web Services
AWS News Blog Preview: Amazon Security Lake – A Purpose-Built Customer-Owned Data Lake Service To identify potential security threats and vulnerabilities, customers should enable logging across their various resources and centralize these logs for easy access and use within analytics tools. Some of these data sources include logs from on-premises infrastructure, firewalls, and endpoint security so
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
RFC 9116 から読み解く正しい security.txt の書き方
Docker Security Best Practices: Cheat Sheet
FragAttacks: Security flaws in all Wi-Fi devices
Security architecture anti-patterns
OpenSSL Security Advisory : CA certificate check bypass with X509_V_FLAG_X509_STRICT (CVE-2021-3450)
CVE-2021-3156: Heap-Based Buffer Overflow in Sudo (Baron Samedit) | Qualys Security Blog
UI Security - Thinking Outside the Viewport
Network Load Balancer now supports security groups
「Trend Micro Deep Security」などに複数の脆弱性、修正パッチの適用を呼び掛け
Low-Level Software Security for Compiler Developers
New campaign targeting security researchers
eBPF Observability Tools Are Not Security Tools
TryHackMe | Cyber Security Training
Titan Security Key が日本を含む 10 カ国で入手可能に
マイクロソフト、「Azure Security Lab」発表--Azureバグ報奨金倍増も
Kubernetes Security: 10 Best Practices from the Industry and Community
How We Harden Platform Security at Mercari
新卒開発エンジニアへのセキュアコーディング挑戦状 | KENRO (ケンロー) by Flatt Security