2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
セキュリティ相談を受けたときに引用したい記事・ニュース集・事例集 これは何? セキュリティ相談受けた際、過去のインシデントや事例などを引用して、「その対策必要なの?」というい疑問への説得力を持たせたりすることがあります。 が、その場で思い出せることは稀です。よく引用できていますが、「どっかにあった気がするんだけどな〜」と思って思い出せないことが7割くらいな気がします。 そんなことがないように、ここにまとめていきます。 いつかまとめたいと思っていたんですが、すぐ思い出せないので永遠に先延ばしにしていたので、未完成のまま公開します。 少しずつ思い出す度に増やします。 BetterThanNothingの精神です。 参考: https://www.youtube.com/watch?v=bnfPUrJQh1I 事例集 各種プロダクトのセキュリティガイドラインなど メルカリさんのgithub ac
防衛省サイバーコンテスト 2025 writeup - st98 の日記帳 - コピー
2/2に12時間というちょうどよい競技時間で開催された。21時終了だったけれども、11時45分ぐらいに最速で全完して1位🎉 第1回以来4年ぶりの優勝だ。昨年大会の第4回ではヒントの閲覧数で優勝を逃してしまって悔しい思いをしたので、雪辱を果たすことができ嬉しい。開始直後からずっと1位を独走できており、450名以上のプレイヤーがいる中で圧勝だったのも嬉しい。 昨年度や一昨年度はバルクが作問を担当していたが、今回はAGESTが担当していた。これまでの問題と比較すると全体的に易化したように思うが、解くにあたって発想の大きな飛躍を必要とするいわゆる「エスパー要素」のある問題はごく一部を除いて存在しておらず*1、よかったと思う。また、昨年度・一昨年度に引き続きwriteupは公開可能というのもよかった。 戦略というほどの戦略は立てていなかったけれども、とりあえずWebを見た後は全カテゴリを上から見て
※ネタ記事です はじめに 検証する脆弱性 Tips. GPT-3 とは? WAFの実装 環境・必要なもの ソースコード 検証 正常リクエスト XSS GETパラメータ POSTデータ POSTデータ & ヘッダ無し SQL インジェクション GETパラメータ GETパラメータ & ヘッダ無し XXE POSTパラメータ① POSTパラメータ② POSTパラメータ & ヘッダ無し パストラバーサル GETパラメータ GETパラメータ & ヘッダ無し OS コマンドインジェクション GETパラメータ & ヘッダー無し GETパラメータ Log4Shell POSTパラメータ POSTパラメータ & ヘッダ無し POSTパラメータ & ヘッダ無し WordPress のユーザ列挙 ShellShock まとめ はじめに 最先端(?)であるGPT-3を使って 次世代WAF を作っていきます。 以下
実践 bashによるサイバーセキュリティ対策
bashとLinuxの標準コマンドを活用したセキュリティ対策手法についての解説書。サイバーセキュリティの現場では、常にGUIの最新ツールを使えるとは限りません。CUIによるセキュリティ対策はセキュリティ技術者にとって必須の知識です。本書では、Linux/Mac/Windows環境でbashを含む標準的なLinuxのコマンドラインツール群を用いて、各種情報収集や収集した情報の解析、監視、侵入テスト(ペネトレーションテスト)など、サイバーセキュリティの具体的な手法を実践形式で説明します。 賞賛の声 訳者まえがき まえがき 第Ⅰ部 基本的な技術 1章 コマンドラインの基礎 1.1 コマンドラインの定義 1.2 なぜbashなのか 1.3 コマンドラインの記載例 1.4 LinuxやbashをWindows上で実行する 1.4.1 Git Bash 1.4.2 Cygwin 1.4.3 Windo
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに シェルスクリプトの世界は今後 10 年で大きく変化します。10 年という数字は切りが良い数字を持ってきただけで根拠はありません。これより長い時間がかかるかもしれませんし、もしかしたら短くなるかもしれません。しかし確実によりよい方向に変わっていくでしょう。Unix/Linux の標準コマンドはさまざまな問題を抱えています。Unix/Linux の標準コマンドに依存している限りシェルスクリプトに大きな改善はありません。これからのシェルスクリプトの世界は Unix/Linux の標準コマンドに依存しない世界です。それがどういうものに
少女に何が起ったか ~少女が他人のウェブサーバー構成を知るまでにやったいくつかのこと、そしてその結末~ - Techtouch Developers Blog
※これは テックタッチ Advent Calendar 2020 の記事です。昨日は zak による AWS MFAを一撃で認証するCLIコマンド作ってみた でした。 はじまり 少女はあるウェブサイトを見ていました。それが特に気になったわけではありませんでした。 少女が使っていたコンピューターは、カッコいい龍が印象的でした。このオペレーティングシステムが「Kali Linux」というらしいことがわかりました。 nmap それは本当に単なる気まぐれだったのですが、少女は一つのコマンドを実行してみました。 通常、このコマンドは、対象コンピューターの管理者との合意のもと、限られた環境下でのみ実行が許されるもので、見知らぬ相手のコンピューターに向かって実行してはならないことを、少女はまだ知りませんでした。 sudo nmap -sS -A 10.0.2.15 どうやらこのコンピューターは 22 番
30. The Him (1981) 29. Confusion (1983) 28. Murder (1984) 27. Weirdo (1986) 26. Shellshock (1986) 25. Waiting For the Sirens’ Call (2005) 24. Fine Time (1989) 23. As It Is When It Was (1986) 22. Sub-Culture (1985) 21. Elegia (1985) 20. Restless (2015) 19. Everything’s Gone Green (1981) 18. Round & Round (1989) 17. Lonesome Tonight (1984) 16. Love Vigilantes (1985) 15. Crystal (2001) 14. Age of Con
[PG] 縮めるだけじゃダメ [PG] 暗算でもできるけど? [PG] formjacking [PG] loop in loop [NW] 頭が肝心です [NW] 3 Way Handshake? [NW] さあ得点は? [NW] decode [WE] 簡単には見せません [WE] 試練を乗り越えろ! [WE] 直してる最中なんです [WE] 直接聞いてみたら? [WE] 整列! [CY] エンコード方法は一つじゃない [CY] File Integrity of Long Hash [CY] Equation of ECC [CY] PeakeyEncode [FR] 露出禁止! [FR] 成功の証 [FR] 犯人はこの中にいる! [FR] chemistry [FR] InSecureApk [PW] CVE-2014-7169他 [PW] 認可は認証の後 [PW] formerL
GitHub - corazawaf/coraza: OWASP Coraza WAF is a golang modsecurity compatible web application firewall library
Coraza is an open source, enterprise-grade, high performance Web Application Firewall (WAF) ready to protect your beloved applications. It is written in Go, supports ModSecurity SecLang rulesets and is 100% compatible with the OWASP Core Rule Set v4. Website: https://coraza.io Forum: Github Discussions OWASP Slack Community (#coraza): https://owasp.org/slack/invite Rule testing: Coraza Playground
JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?
Javaのログ出力ライブラリであるApache Log4jで、リモートコード実行のゼロデイ脆弱(ぜいじゃく)性「CVE-2021-44228」、通称「Log4Shell」を修正したバージョンが、日本時間の2021年12月10日に公開されました。このライブラリは広く利用されていることから、このゼロデイ脆弱性は過去に類を見ないレベルでさまざまな方面に深刻な影響を及ぼすと見られています。このCVE-2021-44228について、CDNサービス企業であるCloudflareが解説しています。 Inside the Log4j2 vulnerability (CVE-2021-44228) https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/ Actual CVE-2021-44228 payloads
この記事は以下のブログの翻訳です。 公式翻訳が完了次第削除します。 すでにCloudfalreのCDN、SSL/TLS暗号化、HTTP DDoS、WAF、Bot Management、Rate Limiting、API Gateway、Page Shieldを用いている場合は問題ありません。 Cloudflare以外をお使いの場合は、ご利用のサービスプロバイダにご相談ください。 軽減策の素早い実装が困難な場合、HTTP/2, HTTP/3(QUIC)の通信を一度止めることでも暫定対策は可能です。 本日未明、CloudflareはGoogleおよびAWSとともに、「HTTP/2 Rapid Reset」攻撃と呼ばれる新たなゼロデイ脆弱性の存在を公表しました。この攻撃は、HTTP/2プロトコルの脆弱性を悪用し、甚大かつ大容量の分散型サービス拒否(DDoS)攻撃を発生させます。Cloudflar
Hacker Oneの無料のペンテスト基礎講座 まとめ ペンテスト・バグバウンティについて勉強していきたい人におすすめ - Security Index
HackerOneが公開しているペンテストの基礎講座の動画 PENTESTING BASICS VIDEO SERIES LAUNCHED ON HACKER101 のPart1~4を見たのでまとめました。 Hacker Oneの無料のペンテスト基礎講座 part1 OWASP Top 10 part2 ペンテストvsバグバウンティ part3 ペンテスト関連資料 part4 レポート作成とベストプラクティス Pentesting basics video series launched on Hacker101 https://t.co/TA3jjN0nJl— si🌤️ (@security_index) 2020年7月24日 PENTESTING BASICS VIDEO SERIES LAUNCHED ON HACKER101 Part1 A Starters Guide to P
2021年第4四半期におけるDDoS攻撃の傾向
2021年上半期には、世界中の重要なインフラストラクチャの複数の側面(米国最大の石油パイプラインシステム運営会社の1つを含む)を妨害する大規模なランサムウェアとランサムDDoS攻撃キャンペーンや、学校、公共機関、旅行団体、信用金庫などを対象としたIT管理ソフトの脆弱性などの問題が発生しました。 この年の後半には、最も強力なボットネットの1つ(Meris)が展開され、Cloudflareネットワーク上で記録的なHTTP DDoS攻撃とネットワーク層攻撃が観測されました。これは、12月に発見されたLog4j2の脆弱性(CVE-2021-44228)に加えて、攻撃者がリモートサーバー上でコードを実行できるようにするもので、インターネット上でHeartbleedとShellshock以来最も深刻な脆弱性の1つであると言えるでしょう。 上記のような著名な攻撃は、ハイテク企業や政府組織、ワイナリーや食
Unix ASCII games
Unix ASCII games View the Project on GitHub ligurio/awesome-ttygames Unix ASCII games Feel free to submit pull requests to add new games and improve information about those already in the database. How to contribute Check games.yaml out. All information is inside, and you should more or less understand what’s going on by reading it. Sorting is alphabetical. Simplest way to contribute: edit games.y
自分用に雑に解く際の手法とかをまとめました。 文字数の都合上、WindowsのPrivilegeEscalationと調査の方針は以下に載せなおしました。 kakyouim.hatenablog.com 2020 3/4追記 Privilege Escalationをまとめた記事を新しく作成したので、ここに書いていたLinux PEは以下を参照してください。 kakyouim.hatenablog.com ネットワークの調査 IPアドレスの調査 脆弱性スキャン 脆弱性の調査 Webサービスの調査 手動で調査 ディレクトリブルートフォース その他 tomcatの調査 axis2の調査 スキャナを用いた調査 その他のサービスの調査 sshの調査 RDPの調査 変なポートの調査 snmp(udp161)の調査 telnet(23)の調査 domain(53)の調査 smtp(25)の調査 pop
In previous versions of this blog post slightly different mitigation techniques were recommended. The Apache Log4j project has updated their official guidance and we have updated this blog post in line with their recommendations Yesterday, December 9, 2021, a very serious vulnerability in the popular Java-based logging package Log4j was disclosed. This vulnerability allows an attacker to execute c
Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability).
Log4Shell log4j vulnerability (CVE-2021-44228 / CVE-2021-45046) - cheat-sheet reference guide Last updated: $Date: 2022/02/08 23:26:16 $ UTC - best effort, validate all for your environment/model before use, unofficial sources may be wrong by @TychoTithonus (Royce Williams), standing on the shoulders of many giants Send updates or suggestions (please include category / context / public (or support
はじめに 2021年12月9日に、任意のコード実行ができるApache Log4jの脆弱性(Log4Shell:CVE-2021-44228)が公開されました。 この脆弱性は、非常に影響度が高く、HeartBleedやShellShockに並ぶとも言われました。また、脆弱性の公開から攻撃開始までが非常に早く、しかも、修正版にも何度も脆弱性が公開され、対応に多くの負担がかかるものでした。組織/システムによって、何も影響がなかったところ、対応が落ち着いたところ、まだまだ対応中のところ等あるかと思いますが、今一度セキュリティ対策について見直す機会になったかと思います。 そこで、次回以降、大きな脆弱性が公開された際にスムーズに対応できるようにするために、また、被害を最小限に抑えるために、今回のLog4Shellを例にして、いくつかの観点から対策案をご紹介します。 FWでのアウトバウンド制限 Log
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティの専門家は、「Log4j」のリモートコード実行の脆弱性である「CVE-2021-44228」に対応するには、数年とは言わないまでも、数カ月かかると考えている。Log4jが非常に広範に使用されており、容易に悪用できることがその理由だという。 McAfee EnterpriseとFireEyeの高度な脅威研究の責任者を務めるSteve Povolny氏は、「Log4Shell」について、「『Shellshock』や『Heartbleed』『EternalBlue』と同じ文脈で語られるべきものになった」と述べている。 Povolny氏は米ZDNetに対し、「攻撃者は、ほぼ即座にこのバグを悪用して、違法な暗号マイニングを実行
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet
Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet2024-06-26 polyfill.io, a popular JavaScript library service, can no longer be trusted and should be removed from websites. Multiple reports, corroborated with data seen by our own client-side security system, Page Shield, have shown that the polyfill service was being used, and could be used again, to inject ma
意外と語られないセキュリティの実態(1) セキュリティ・エキスパートに聞く! キーワードは“最小セキュリティ” ムダなセキュリティ対策の見分け方
セキュリティ・エキスパートに聞く! キーワードは“最小セキュリティ” ムダなセキュリティ対策の見分け方 サイバー攻撃が高度化し、企業のIT環境も複雑化していると言われる昨今では、セキュリティインシデントの発生後にフォレンジック調査を依頼したり、事前にログ解析サービスを依頼する企業も増えている。しかし、そうしたサービスははたして有効に活用されているのだろうか。本稿ではTIS株式会社の2人のセキュリティ・エキスパートに、現在の日本企業が抱えるセキュリティ課題と、ソリューションやプロダクトの選定や活用方法をふまえ、正しいセキュリティ対策について持論を展開してもらった。 登場人物 TIS株式会社 IT基盤技術本部 IT基盤サービス第1部 エキスパート 横森 隆氏 CISSP TIS株式会社 IT基盤技術本部 IT基盤サービス第1部 主査 山本 謙氏 “セキュリティトレンド”を鵜呑みにしてはならない
[crypto] Simple Substitution Cipher [crypto] Substitution Cipher [crypto] Administrator Hash(NTLM hash) [crypto] Administrator Password [crypto] Hash Extension Attack [forensics] The Place of The First Secret Meeting [forensics] The Deleted Confidential File [forensics] They Cannot Be Too Careful. [forensics] The Taken Out Secrets [forensics] Their Perpetration [NW] Transfer [NW] Analysis [NW] Enu
掲載アーティスト一覧 - 30年前のレコード棚
2022/9/27更新 当サイトで紹介したアーティストの一覧です。 上記『更新日』までの記事を掲載しています。 サイドバーにもリンクを貼ってあります。 登録数288アーティスト 左(アーティスト名) 右(ジャンル/出身地など) (追加: アーティスト) ANNIHILATOR、CYNIC、PINK FLOYD、PAPA ROACH、BLACK SABBATH、OVER KILL、Slash's Snakepit、VADER、ALCATRAZZ、STEELY DAN、CATHEDRAL、CHROMING ROSE A~D E~H I~L M~P Q~S T~Z 五十音ほか(順不同) A~D AC/DC HM/HR AUS ACCEPT HM/HR GER AEROSMITH HM/HR US aiko J-POP JPN 女性 AJICO ROCK 女性 JPN ALANIS MORISSE
本ブログでは IPUSIRON 様著の「ハッキング・ラボのつくりかた」をトレースした記録を残しています。 「ハッキング・ラボのつくりかた」の内容を実際に検証する際や、購入しようと考えている際の参考にしていただければと思います。 記事リンク 第1章 ハッキング・ラボでできること 本章はハッキング・ラボを構築するにあたって、ハッキングラボの説明や目的が書かれています。手を動かすパートではないため記事は作成していません。 第2章 仮想環境によるハッキング・ラボの構築 VirtualBox 6.1.2 に Kali Linux 2020.1 を導入する今日からハッキングラボの環境構築を始めます。ハッキングラボは仮想環境に構築するので、まずは仮想環境を作るためにVirtual Boxをインストールします。Virtual BoxとはOracle社の仮想化ソフトで、Windo...www.kdryblo
Fail2Banを使って不正なアクセスを遮断する(全自動)
Fail2Banはログを監視し、おかしなアクセスがあったらBAN、指定時間を過ぎたらUNBANを自動で実行してくれるツールです。 Fail2Ban自体に遮断する機能はありませんが、iptablesやfirewalldと連携して遮断と解除を自動でやってくれるので非常に楽ちんです。 Fail2Banがログを監査 > しきい値を超えたIPを発見 > BAN(iptablesやfirewalldで遮断) > 指定時間経過でBAN解除 という流れです。 [recidive]というルールも標準で用意されており、再検知した場合はより厳しい条件でのBANも可能です。 インストールはパッケージ管理ツールなどで導入するだけなので省略し、実際の設定方法などを見ていきます。 定義さてれいるフィルタ(監視対象) デフォルトで対応しているサービスは以下のディレクトリにあるxxx.confで確認できます。 /etc/f
Cloudflare では、新しいセキュリティの脆弱性を確認した場合、すぐにチームを集めて次の2つの異なる質問に答えます。(1) お客様のインフラを確実に保護するために何ができるか、(2) 自社の環境を確実に保護するために何ができるか。昨日(2021年12月9日)、人気の高い Java ベースのロギングパッケージである Log4j に深刻な脆弱性があることが公表された際、当社のセキュリティチームは、1つ目の質問への対応と2つ目の質問への回答を支援するために行動を開始しました。この記事では、2つ目の質問について説明します。 この脆弱性の仕組みの詳細については、別のブログ記事で紹介しています。Log4j2 の脆弱性(CVE-2021-44228)の内部 ですが、要約すると、この脆弱性によって、攻撃者はリモートサーバー上でコードを実行することができます。Java と Log4j が広く使用され
レポート 【緊急】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」とは? Apache Log4jにリモートコード実行の脆弱性が発見された。CVSSv3のスコア値は最大の10であり、深刻度は緊急(Critical)だ。悪用が簡単かつ遠隔からの任意コード実行が可能であることから、該当するライブラリを使っている場合はただちに対応することが求められている。このところ、CVSSv3のスコア値が緊急(Critical)に分類される脆弱性の発見は珍しくないが、今回の脆弱性は別格だ。Amazon Web Services、Microsoft、GoogleなどIT業界が一斉に注意喚起している。この10年で1、2を争う「最悪の脆弱性」の一つになる可能性が指摘されているのだ。 Log4j – Apache Log4j Security Vulnerabilities 多くのサ
ヤフーが開催した技術者向けイベント「Yahoo! JAPAN Tech Conference 2022」で、「ヤフーを支えるセキュリティ~サイバー攻撃を防ぐエンジニアの仕事とは~」をテーマにしたトークセッションが開催された。この記事では、その内容を紹介していく。セッションを担当したのは、いずれも2019年新卒ヤフー入社のBrahma Saurav氏と小林怜央氏だ。 Saurav氏はヤフーのセキュリティ監視室YJ-CSIRTに所属する。普段はインシデント対応や脆弱性評価と周知を担当しており、ZホールディングスにおけるCSIRT業務も兼務している。「最近はAngularやPythonを使って開発することが多い」と語る。 小林氏は、セキュリティ監視室SOCに所属しており、セキュリティアラートの対応や監視の強化を担当している。以前開発部署に在籍していた経験を生かし、効率化、監視強化に努めている。「
ニュー・オーダー『Substance』2023年エクスパンデッド版から「Confusion Dub '87 (2023 Digital Master)」公開 ニュー・オーダー(New Order)は1987年にリリースしたコンピレーション・アルバム『Substance』の2023年エクスパンデッド・エディションをリリースする予定です。このエディションから追加曲のひとつ「Confusion Dub '87 (2023 Digital Master)」が公開されています。 まだ正式発表はされていませんが、Amazonによると、エクスパンデッド・エディションはCD4枚組版で11月10日発売予定。同日にはCD2枚組版も発売予定。 ■『Substance 2023 Expanded』 Disc: 1 1 Ceremony (Version 2) [2019 Remaster] 2 Everythin
The OOM CTF
カーネルのバージョンやシステムの構成や実行するタイミングなどの変動要因により、結果が異なる場合がありますことを予めご了承ください。 0.3 自己紹介:熊猫の Linux との関わりについて OSレベルでのセキュリティ強化 2003年4月から2012年3月までは、 TOMOYO Linux という Linux システム向けのアクセス制御モジュールの開発に携わってきました。バッファオーバーフロー脆弱性やOSコマンドインジェクション脆弱性を撲滅できない状況で、当初は SELinux という難解なアクセス制御モジュールしかありませんでした。 TOMOYO Linux のメインライン化にまつわる苦労話は、セキュリティ&プログラミングキャンプ2011の講義資料を参照していただければと思います。 TOMOYO Linux から始まって AKARI や CaitSith に至るまでの変遷は、セキュリティ・
Main Linux problems on the desktop, 2023 edition or why Linux sucks on the desktop
Preface: In this regularly but rarely updated article, which is without doubt the most comprehensive list of Linux distributions' problems on the entire Internet, we only discuss their main problems and shortcomings (which may be the reason why some people say Linux distros are not ready for the desktop) while everyone should keep in mind that there are areas where Linux has excelled other OSes: e
ニュー・オーダー(New Order)が1987年にリリースしたコンピレーション・アルバム『Substance 1987』。2023年リマスター・ヴァージョンの4CDデラックス・エディションがストリーミング配信開始。全47曲がYouTubeほかで聴けます。 2023年リマスター・ヴァージョンは11月10日発売。2LP、2CD、4CDデラックス・エディション、2LPカラー・ヴァイナル、ダブル・カセットテープがあります。また、12インチ・シングル『True Faith』、『True Faith Remix』、『Blue Monday 88』がリイシューされます。 『Substance 1987』は、それまでのバンドの全シングルを12インチ・ヴァージョンでコンパイルし、CDとカセット・エディションにはB面曲も多数収録。また「Temptation」と「Confusion」の(当時の)新録ヴァージョ
English Version, 中文版本 TL;DR GSA Admin console post-authentication Remote Code Execution. GSA Search interface Path traversal. GSA uses Oracle’s Outside-in Technology to convert documents. Google Web services have some fixed URIs that provide information about the service itself. Introduction The Google Search Appliance (hereinafter referred to as GSA) is an enterprise search device launched by Goo
![[REL] A Journey Into Hacking Google Search Appliance | DEVCORE 戴夫寇爾](https://cdn-ak-scissors.b.st-hatena.com/image/square/f2d89670d5fa2f853c26abed49f6904804a8449d/height=288;version=1;width=512/https%3A%2F%2Fdevco.re%2Fassets%2Fimg%2Fblog%2F20230707%2F1.png)
资源搜集
文章结构: 文章内容: Useful Resources shodan搜索 工业控制系统 三星电子牌 “Server: Prismview Player” 加油站泵控制器 “in-tank inventory” port:10001 自动车牌记录器 P372 “ANPR enabled” 交通信号控制灯 mikrotik streetlight 美国投票机 “voter system serial” country:US 思科拦截监听设备有关的电信公司 “Cisco IOS” “ADVIPSERVICESK9_LI-M” 监狱公用电话 “[2J[H Encartele Confidential” 特斯拉PowerPack充电系统 http.title:”Tesla PowerPack System” http.component:”d3” -ga3ca4f2 电动汽车充电器 “Server
Craig Stuntz - On Learning Compilers and Creating Programming Languages
Posted on October 13, 2023 When I first started learning about compilers, there was something important which I didn’t understand: Designing a programming language and writing a compiler are two almost entirely different skills. There is obviously some overlap between them, but less than you might think at first! I think it’s important to know this because they are both very challenging problems!
以前の記事で、HTTP(S)のリクエスト時に使用されるHostヘッダに着目して傾向を分析しましたが、今回はUser-Agentヘッダに着目してみました。 セキュリティに直接関わっているというわけではない方でも、Webサーバのアクセスログの分析等で、特殊なUser-Agentを見かけて気になったことがある方はいらっしゃるのではないかと思います。SOCでアラート分析していても、とても気になります。 そこで、MBSD-SOCで観測したアラートについて、User-Agentの観点から分析し、どのような不正アクセスが来ているのか、どのような対策が考えられるかについて見ていきたいと思います。 User-Agentとは クライアントはWebサーバにリクエストを送る際に、クライアントアプリケーションの情報をUser-Agentヘッダーとして送信します。通常はブラウザやクライアントアプリを識別する情報が入り
bashに存在する脆弱性「Shellshock」の概要 - 脅威データベース | Trend Micro (JP)
オンプレミスからクラウドへの移行をはじめ、ハイブリッドクラウド環境をシームレスに保護しながら、クラウドの利点を実現します。 詳しくはこちら
PlayStation 30周年! 「アストロボット」&今のPSを支える5つのスタジオ(+α)のゲームで記念すべきこの日のお祝い企画
PlayStation 30周年! 「アストロボット」&今のPSを支える5つのスタジオ(+α)のゲームで記念すべきこの日のお祝い企画 編集部:Junpoco ライター:内藤ハサミ ソニー・インタラクティブエンタテインメント(SIE)が展開するゲーム機「PlayStation」,本日(2024年12月3日)は1994年12月3日の初代PlayStation発売からちょうど30年の特別な日! 画像は「ASTRO's PLAYROOM」 初代PSからPS2,PS3,PS4,そしてPS5。世代によってその出会いや思い出の作品は違うだろうけど,“新しい技術とアイデアによるアソビがあふれたゲーム”に驚き,ワクワクする気持ちとともにゲームの世界へ飛び込んだという体験は,PSのゲームで育った人であれば共通しているものではないだろうか。 画像は「ASTRO's PLAYROOM」 本企画では,そんなPSらし
The ubiquitous Log4j bug will be with us for years. John Hammond, senior security researcher at Huntress, discusses what’s next. Jen Easterly, the director of the Cybersecurity and Infrastructure Security Agency (CISA), stated in a public news interview that the now-infamous Log4j flaw is the “the most serious vulnerability that [she has] seen in her career.” It’s not a stretch to say the whole se
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
セキュリティ相談を受けたときに引用したい記事集(WIP) - Qiita
GPT-3 API を使って AI WAF を作る - まったり技術ブログ
シェルとUNIXコマンドの未来 ~ これからの10年で起きるシェルスクリプトの変化 - Qiita
英ガーディアン 「ニュー・オーダーのベスト・ソング TOP30」発表 - amass
防衛省サイバーコンテスト 2025 Writeup - はまやんはまやんはまやん
記録的なDDoS攻撃をもたらしたHTTP/2のゼロデイ脆弱性(Blog翻訳記事)
vulnhub調査メモ - 高林の雑記ブログ
Inside the Log4j2 vulnerability (CVE-2021-44228)
Log4Shellの事例から見直すセキュリティ対策 | 技術者ブログ | 三井物産セキュアディレクション株式会社
「Log4j」悪用する攻撃、収束には「数カ月」か--サイバーセキュリティ専門家
防衛省サイバーコンテスト2023 Writeups - はまやんはまやんはまやん
「ハッキング・ラボのつくりかた」をサイバーセキュリティ初心者がトレースしてみた | kdry's blog
Log4j 2の脆弱性に対する Cloudflare のセキュリティ対応について
【緊急】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」とは?
ヤフーを支えるセキュリティ~サイバー攻撃を防ぐエンジニアの仕事とは~
ニュー・オーダー『Substance』2023年エクスパンデッド版から「Confusion Dub '87 (2023 Digital Master)」公開 - amass
ニュー・オーダー『Substance 1987』2023年リマスター版の4CDデラックスエディション全曲公開 - amass
[REL] A Journey Into Hacking Google Search Appliance | DEVCORE 戴夫寇爾
不正アクセスの傾向分析(UA編)と狙われている脆弱性 | 技術者ブログ | 三井物産セキュアディレクション株式会社
'Long Live Log4Shell': CVE-2021-44228 Not Dead Yet