並び順

ブックマーク数

期間指定

  • から
  • まで

1 - 40 件 / 92件

新着順 人気順

ShellShockの検索結果1 - 40 件 / 92件

  • Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog

    2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software

      Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
    • セキュリティ相談を受けたときに引用したい記事集(WIP) - Qiita

      セキュリティ相談を受けたときに引用したい記事・ニュース集・事例集 これは何? セキュリティ相談受けた際、過去のインシデントや事例などを引用して、「その対策必要なの?」というい疑問への説得力を持たせたりすることがあります。 が、その場で思い出せることは稀です。よく引用できていますが、「どっかにあった気がするんだけどな〜」と思って思い出せないことが7割くらいな気がします。 そんなことがないように、ここにまとめていきます。 いつかまとめたいと思っていたんですが、すぐ思い出せないので永遠に先延ばしにしていたので、未完成のまま公開します。 少しずつ思い出す度に増やします。 BetterThanNothingの精神です。 参考: https://www.youtube.com/watch?v=bnfPUrJQh1I 事例集 各種プロダクトのセキュリティガイドラインなど メルカリさんのgithub ac

        セキュリティ相談を受けたときに引用したい記事集(WIP) - Qiita
      • GPT-3 API を使って AI WAF を作る - まったり技術ブログ

        ※ネタ記事です はじめに 検証する脆弱性 Tips. GPT-3 とは? WAFの実装 環境・必要なもの ソースコード 検証 正常リクエスト XSS GETパラメータ POSTデータ POSTデータ & ヘッダ無し SQL インジェクション GETパラメータ GETパラメータ & ヘッダ無し XXE POSTパラメータ① POSTパラメータ② POSTパラメータ & ヘッダ無し パストラバーサル GETパラメータ GETパラメータ & ヘッダ無し OS コマンドインジェクション GETパラメータ & ヘッダー無し GETパラメータ Log4Shell POSTパラメータ POSTパラメータ & ヘッダ無し POSTパラメータ & ヘッダ無し WordPress のユーザ列挙 ShellShock まとめ はじめに 最先端(?)であるGPT-3を使って 次世代WAF を作っていきます。 以下

          GPT-3 API を使って AI WAF を作る - まったり技術ブログ
        • 実践 bashによるサイバーセキュリティ対策

          bashとLinuxの標準コマンドを活用したセキュリティ対策手法についての解説書。サイバーセキュリティの現場では、常にGUIの最新ツールを使えるとは限りません。CUIによるセキュリティ対策はセキュリティ技術者にとって必須の知識です。本書では、Linux/Mac/Windows環境でbashを含む標準的なLinuxのコマンドラインツール群を用いて、各種情報収集や収集した情報の解析、監視、侵入テスト(ペネトレーションテスト)など、サイバーセキュリティの具体的な手法を実践形式で説明します。 賞賛の声 訳者まえがき まえがき 第Ⅰ部 基本的な技術 1章 コマンドラインの基礎 1.1 コマンドラインの定義 1.2 なぜbashなのか 1.3 コマンドラインの記載例 1.4 LinuxやbashをWindows上で実行する 1.4.1 Git Bash 1.4.2 Cygwin 1.4.3 Windo

            実践 bashによるサイバーセキュリティ対策
          • シェルとUNIXコマンドの未来 ~ これからの10年で起きるシェルスクリプトの変化 - Qiita

            はじめに シェルスクリプトの世界は今後 10 年で大きく変化します。10 年という数字は切りが良い数字を持ってきただけで根拠はありません。これより長い時間がかかるかもしれませんし、もしかしたら短くなるかもしれません。しかし確実によりよい方向に変わっていくでしょう。Unix/Linux の標準コマンドはさまざまな問題を抱えています。Unix/Linux の標準コマンドに依存している限りシェルスクリプトに大きな改善はありません。これからのシェルスクリプトの世界は Unix/Linux の標準コマンドに依存しない世界です。それがどういうものになるのかをこの記事で解説しています。この記事は私の予言であり目標です。 シェルスクリプトの失われた30年の進化を取り戻す! 残念なことに、シェルスクリプトの世界は 30 年前から大きく変わっていません。それまでの間、プログラミング言語の世界、ソフトウェア開発

              シェルとUNIXコマンドの未来 ~ これからの10年で起きるシェルスクリプトの変化 - Qiita
            • 少女に何が起ったか ~少女が他人のウェブサーバー構成を知るまでにやったいくつかのこと、そしてその結末~ - Techtouch Developers Blog

              ※これは テックタッチ Advent Calendar 2020 の記事です。昨日は zak による AWS MFAを一撃で認証するCLIコマンド作ってみた でした。 はじまり 少女はあるウェブサイトを見ていました。それが特に気になったわけではありませんでした。 少女が使っていたコンピューターは、カッコいい龍が印象的でした。このオペレーティングシステムが「Kali Linux」というらしいことがわかりました。 nmap それは本当に単なる気まぐれだったのですが、少女は一つのコマンドを実行してみました。 通常、このコマンドは、対象コンピューターの管理者との合意のもと、限られた環境下でのみ実行が許されるもので、見知らぬ相手のコンピューターに向かって実行してはならないことを、少女はまだ知りませんでした。 sudo nmap -sS -A 10.0.2.15 どうやらこのコンピューターは 22 番

                少女に何が起ったか ~少女が他人のウェブサーバー構成を知るまでにやったいくつかのこと、そしてその結末~ - Techtouch Developers Blog
              • 英ガーディアン 「ニュー・オーダーのベスト・ソング TOP30」発表 - amass

                30. The Him (1981) 29. Confusion (1983) 28. Murder (1984) 27. Weirdo (1986) 26. Shellshock (1986) 25. Waiting For the Sirens’ Call (2005) 24. Fine Time (1989) 23. As It Is When It Was (1986) 22. Sub-Culture (1985) 21. Elegia (1985) 20. Restless (2015) 19. Everything’s Gone Green (1981) 18. Round & Round (1989) 17. Lonesome Tonight (1984) 16. Love Vigilantes (1985) 15. Crystal (2001) 14. Age of Con

                  英ガーディアン 「ニュー・オーダーのベスト・ソング TOP30」発表 - amass
                • HTTP/2 Zero-Day vulnerability results in record-breaking DDoS attacks

                  HTTP/2 Zero-Day vulnerability results in record-breaking DDoS attacks Loading... This post is also available in 简体中文, 繁體中文, 日本語, 한국어, Deutsch, Français and Español. Earlier today, Cloudflare, along with Google and Amazon AWS, disclosed the existence of a novel zero-day vulnerability dubbed the “HTTP/2 Rapid Reset” attack. This attack exploits a weakness in the HTTP/2 protocol to generate enormous,

                    HTTP/2 Zero-Day vulnerability results in record-breaking DDoS attacks
                  • GitHub - corazawaf/coraza: OWASP Coraza WAF is a golang modsecurity compatible web application firewall library

                    Coraza is an open source, enterprise-grade, high performance Web Application Firewall (WAF) ready to protect your beloved applications. It is written in Go, supports ModSecurity SecLang rulesets and is 100% compatible with the OWASP Core Rule Set v4. Website: https://coraza.io Forum: Github Discussions OWASP Slack Community (#coraza): https://owasp.org/slack/invite Rule testing: Coraza Playground

                      GitHub - corazawaf/coraza: OWASP Coraza WAF is a golang modsecurity compatible web application firewall library
                    • JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?

                      Javaのログ出力ライブラリであるApache Log4jで、リモートコード実行のゼロデイ脆弱(ぜいじゃく)性「CVE-2021-44228」、通称「Log4Shell」を修正したバージョンが、日本時間の2021年12月10日に公開されました。このライブラリは広く利用されていることから、このゼロデイ脆弱性は過去に類を見ないレベルでさまざまな方面に深刻な影響を及ぼすと見られています。このCVE-2021-44228について、CDNサービス企業であるCloudflareが解説しています。 Inside the Log4j2 vulnerability (CVE-2021-44228) https://blog.cloudflare.com/inside-the-log4j2-vulnerability-cve-2021-44228/ Actual CVE-2021-44228 payloads

                        JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか?
                      • 記録的なDDoS攻撃をもたらしたHTTP/2のゼロデイ脆弱性(Blog翻訳記事)

                        この記事は以下のブログの翻訳です。 公式翻訳が完了次第削除します。 すでにCloudfalreのCDN、SSL/TLS暗号化、HTTP DDoS、WAF、Bot Management、Rate Limiting、API Gateway、Page Shieldを用いている場合は問題ありません。 Cloudflare以外をお使いの場合は、ご利用のサービスプロバイダにご相談ください。 軽減策の素早い実装が困難な場合、HTTP/2, HTTP/3(QUIC)の通信を一度止めることでも暫定対策は可能です。 本日未明、CloudflareはGoogleおよびAWSとともに、「HTTP/2 Rapid Reset」攻撃と呼ばれる新たなゼロデイ脆弱性の存在を公表しました。この攻撃は、HTTP/2プロトコルの脆弱性を悪用し、甚大かつ大容量の分散型サービス拒否(DDoS)攻撃を発生させます。Cloudflar

                          記録的なDDoS攻撃をもたらしたHTTP/2のゼロデイ脆弱性(Blog翻訳記事)
                        • Unix ASCII games

                          Unix ASCII games View the Project on GitHub ligurio/awesome-ttygames Unix ASCII games Feel free to submit pull requests to add new games and improve information about those already in the database. How to contribute Check games.yaml out. All information is inside, and you should more or less understand what’s going on by reading it. Sorting is alphabetical. Simplest way to contribute: edit games.y

                          • 2021年第4四半期におけるDDoS攻撃の傾向

                            2021年上半期には、世界中の重要なインフラストラクチャの複数の側面(米国最大の石油パイプラインシステム運営会社の1つを含む)を妨害する大規模なランサムウェアとランサムDDoS攻撃キャンペーンや、学校、公共機関、旅行団体、信用金庫などを対象としたIT管理ソフトの脆弱性などの問題が発生しました。 この年の後半には、最も強力なボットネットの1つ(Meris)が展開され、Cloudflareネットワーク上で記録的なHTTP DDoS攻撃とネットワーク層攻撃が観測されました。これは、12月に発見されたLog4j2の脆弱性(CVE-2021-44228)に加えて、攻撃者がリモートサーバー上でコードを実行できるようにするもので、インターネット上でHeartbleedとShellshock以来最も深刻な脆弱性の1つであると言えるでしょう。 上記のような著名な攻撃は、ハイテク企業や政府組織、ワイナリーや食

                            • Hacker Oneの無料のペンテスト基礎講座 まとめ ペンテスト・バグバウンティについて勉強していきたい人におすすめ - Security Index

                              HackerOneが公開しているペンテストの基礎講座の動画 PENTESTING BASICS VIDEO SERIES LAUNCHED ON HACKER101 のPart1~4を見たのでまとめました。 Hacker Oneの無料のペンテスト基礎講座 part1 OWASP Top 10 part2 ペンテストvsバグバウンティ part3 ペンテスト関連資料 part4 レポート作成とベストプラクティス Pentesting basics video series launched on Hacker101 https://t.co/TA3jjN0nJl— si🌤️ (@security_index) 2020年7月24日 PENTESTING BASICS VIDEO SERIES LAUNCHED ON HACKER101 Part1 A Starters Guide to P

                                Hacker Oneの無料のペンテスト基礎講座 まとめ ペンテスト・バグバウンティについて勉強していきたい人におすすめ - Security Index
                              • vulnhub調査メモ - 高林の雑記ブログ

                                自分用に雑に解く際の手法とかをまとめました。 文字数の都合上、WindowsのPrivilegeEscalationと調査の方針は以下に載せなおしました。 kakyouim.hatenablog.com 2020 3/4追記 Privilege Escalationをまとめた記事を新しく作成したので、ここに書いていたLinux PEは以下を参照してください。 kakyouim.hatenablog.com ネットワークの調査 IPアドレスの調査 脆弱性スキャン 脆弱性の調査 Webサービスの調査 手動で調査 ディレクトリブルートフォース その他 tomcatの調査 axis2の調査 スキャナを用いた調査 その他のサービスの調査 sshの調査 RDPの調査 変なポートの調査 snmp(udp161)の調査 telnet(23)の調査 domain(53)の調査 smtp(25)の調査 pop

                                  vulnhub調査メモ - 高林の雑記ブログ
                                • Inside the Log4j2 vulnerability (CVE-2021-44228)

                                  This post is also available in 简体中文, 繁體中文, 日本語, 한국어, Français, Deutsch. In previous versions of this blog post slightly different mitigation techniques were recommended. The Apache Log4j project has updated their official guidance and we have updated this blog post in line with their recommendations Yesterday, December 9, 2021, a very serious vulnerability in the popular Java-based logging package

                                  • Tech Solvency: The Story So Far: CVE-2021-44228 (Log4Shell log4j vulnerability).

                                    Log4Shell log4j vulnerability (CVE-2021-44228 / CVE-2021-45046) - cheat-sheet reference guide Last updated: $Date: 2022/02/08 23:26:16 $ UTC - best effort, validate all for your environment/model before use, unofficial sources may be wrong by @TychoTithonus (Royce Williams), standing on the shoulders of many giants Send updates or suggestions (please include category / context / public (or support

                                    • Log4Shellの事例から見直すセキュリティ対策 | 技術者ブログ | 三井物産セキュアディレクション株式会社

                                      はじめに 2021年12月9日に、任意のコード実行ができるApache Log4jの脆弱性(Log4Shell:CVE-2021-44228)が公開されました。 この脆弱性は、非常に影響度が高く、HeartBleedやShellShockに並ぶとも言われました。また、脆弱性の公開から攻撃開始までが非常に早く、しかも、修正版にも何度も脆弱性が公開され、対応に多くの負担がかかるものでした。組織/システムによって、何も影響がなかったところ、対応が落ち着いたところ、まだまだ対応中のところ等あるかと思いますが、今一度セキュリティ対策について見直す機会になったかと思います。 そこで、次回以降、大きな脆弱性が公開された際にスムーズに対応できるようにするために、また、被害を最小限に抑えるために、今回のLog4Shellを例にして、いくつかの観点から対策案をご紹介します。 FWでのアウトバウンド制限 Log

                                        Log4Shellの事例から見直すセキュリティ対策 | 技術者ブログ | 三井物産セキュアディレクション株式会社
                                      • 「Log4j」悪用する攻撃、収束には「数カ月」か--サイバーセキュリティ専門家

                                        印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバーセキュリティの専門家は、「Log4j」のリモートコード実行の脆弱性である「CVE-2021-44228」に対応するには、数年とは言わないまでも、数カ月かかると考えている。Log4jが非常に広範に使用されており、容易に悪用できることがその理由だという。 McAfee EnterpriseとFireEyeの高度な脅威研究の責任者を務めるSteve Povolny氏は、「Log4Shell」について、「『Shellshock』や『Heartbleed』『EternalBlue』と同じ文脈で語られるべきものになった」と述べている。 Povolny氏は米ZDNetに対し、「攻撃者は、ほぼ即座にこのバグを悪用して、違法な暗号マイニングを実行

                                          「Log4j」悪用する攻撃、収束には「数カ月」か--サイバーセキュリティ専門家
                                        • Scanning images with Trivy in an AWS CodePipeline | Amazon Web Services

                                          Containers Scanning images with Trivy in an AWS CodePipeline This post was contributed by AWS Container Hero, Liz Rice, VP Open Source Engineering at Aqua Security. If you’re working with containers, it’s important to scan your images for known vulnerabilities, so that you don’t deploy code that an attacker can easily exploit. A good way of ensuring that all your deployed images get this check is

                                            Scanning images with Trivy in an AWS CodePipeline | Amazon Web Services
                                          • Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet

                                            Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet2024-06-26 polyfill.io, a popular JavaScript library service, can no longer be trusted and should be removed from websites. Multiple reports, corroborated with data seen by our own client-side security system, Page Shield, have shown that the polyfill service was being used, and could be used again, to inject ma

                                              Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet
                                            • 意外と語られないセキュリティの実態(1) セキュリティ・エキスパートに聞く! キーワードは“最小セキュリティ” ムダなセキュリティ対策の見分け方

                                              セキュリティ・エキスパートに聞く! キーワードは“最小セキュリティ” ムダなセキュリティ対策の見分け方 サイバー攻撃が高度化し、企業のIT環境も複雑化していると言われる昨今では、セキュリティインシデントの発生後にフォレンジック調査を依頼したり、事前にログ解析サービスを依頼する企業も増えている。しかし、そうしたサービスははたして有効に活用されているのだろうか。本稿ではTIS株式会社の2人のセキュリティ・エキスパートに、現在の日本企業が抱えるセキュリティ課題と、ソリューションやプロダクトの選定や活用方法をふまえ、正しいセキュリティ対策について持論を展開してもらった。 登場人物 TIS株式会社 IT基盤技術本部 IT基盤サービス第1部 エキスパート 横森 隆氏 CISSP TIS株式会社 IT基盤技術本部 IT基盤サービス第1部 主査 山本 謙氏 “セキュリティトレンド”を鵜呑みにしてはならない

                                                意外と語られないセキュリティの実態(1) セキュリティ・エキスパートに聞く! キーワードは“最小セキュリティ” ムダなセキュリティ対策の見分け方
                                              • 防衛省サイバーコンテスト2023 Writeups - はまやんはまやんはまやん

                                                [crypto] Simple Substitution Cipher [crypto] Substitution Cipher [crypto] Administrator Hash(NTLM hash) [crypto] Administrator Password [crypto] Hash Extension Attack [forensics] The Place of The First Secret Meeting [forensics] The Deleted Confidential File [forensics] They Cannot Be Too Careful. [forensics] The Taken Out Secrets [forensics] Their Perpetration [NW] Transfer [NW] Analysis [NW] Enu

                                                  防衛省サイバーコンテスト2023 Writeups - はまやんはまやんはまやん
                                                • 掲載アーティスト一覧 - 30年前のレコード棚

                                                  2022/9/27更新 当サイトで紹介したアーティストの一覧です。 上記『更新日』までの記事を掲載しています。 サイドバーにもリンクを貼ってあります。 登録数288アーティスト 左(アーティスト名) 右(ジャンル/出身地など) (追加: アーティスト) ANNIHILATOR、CYNIC、PINK FLOYD、PAPA ROACH、BLACK SABBATH、OVER KILL、Slash's Snakepit、VADER、ALCATRAZZ、STEELY DAN、CATHEDRAL、CHROMING ROSE A~D E~H I~L M~P Q~S T~Z 五十音ほか(順不同) A~D AC/DC HM/HR AUS ACCEPT HM/HR GER AEROSMITH HM/HR US aiko J-POP JPN 女性 AJICO ROCK 女性 JPN ALANIS MORISSE

                                                    掲載アーティスト一覧 - 30年前のレコード棚
                                                  • 「ハッキング・ラボのつくりかた」をサイバーセキュリティ初心者がトレースしてみた | kdry's blog

                                                    本ブログでは IPUSIRON 様著の「ハッキング・ラボのつくりかた」をトレースした記録を残しています。 「ハッキング・ラボのつくりかた」の内容を実際に検証する際や、購入しようと考えている際の参考にしていただければと思います。 記事リンク 第1章 ハッキング・ラボでできること 本章はハッキング・ラボを構築するにあたって、ハッキングラボの説明や目的が書かれています。手を動かすパートではないため記事は作成していません。 第2章 仮想環境によるハッキング・ラボの構築 VirtualBox 6.1.2 に Kali Linux 2020.1 を導入する今日からハッキングラボの環境構築を始めます。ハッキングラボは仮想環境に構築するので、まずは仮想環境を作るためにVirtual Boxをインストールします。Virtual BoxとはOracle社の仮想化ソフトで、Windo...www.kdryblo

                                                      「ハッキング・ラボのつくりかた」をサイバーセキュリティ初心者がトレースしてみた | kdry's blog
                                                    • HTTP/2 zero-day脆弱性により史上最大のDDoS攻撃が発生

                                                      本日未明、Cloudflareは、GoogleおよびAmazon AWSとともに、「HTTP/2 Rapid Reset」攻撃と名付けられた新種の脆弱性(zero-day )の存在を公表しました。この攻撃は、HTTP/2プロトコルの弱点を悪用し、巨大で超ボリューメトリックな分散サービス妨害(DDoS)攻撃を発生させます。Cloudflareはここ数カ月間、こうした嵐のような攻撃の軽減に取り組んでいました。その中には 、1秒間に2億100万リクエスト(rps)を超える、弊社がこれまでに観測した最大の攻撃の3倍ほどの規模となる攻撃も含まれています。2023年8月末以降、Cloudflareはその他の1,000万rpsを超える攻撃を1,100回以上軽減しましたが、この間DDoSの最大記録である7,100万rpsを超える攻撃が184回にも及びました。 攻撃を受けていますか?それとも、保護を追加した

                                                      • Log4j 2の脆弱性に対する Cloudflare のセキュリティ対応について

                                                        Cloudflare では、新しいセキュリティの脆弱性を確認した場合、すぐにチームを集めて次の2つの異なる質問に答えます。(1) お客様のインフラを確実に保護するために何ができるか、(2) 自社の環境を確実に保護するために何ができるか。昨日(2021年12月9日)、人気の高い Java ベースのロギングパッケージである Log4j  に深刻な脆弱性があることが公表された際、当社のセキュリティチームは、1つ目の質問への対応と2つ目の質問への回答を支援するために行動を開始しました。この記事では、2つ目の質問について説明します。 この脆弱性の仕組みの詳細については、別のブログ記事で紹介しています。Log4j2 の脆弱性(CVE-2021-44228)の内部 ですが、要約すると、この脆弱性によって、攻撃者はリモートサーバー上でコードを実行することができます。Java と Log4j が広く使用され

                                                        • CentOS 7と脆弱性

                                                          企業がセキュリティ事故から身を守るためには「脆弱性と EOL(End Of Life: サポート終了)」にも気をつける必要があります。その中でも特に多くの企業で Red Hat Enterprise Linux の代替として使われている「CentOS Linux(以下、CentOS)」の EOL と脆弱性について説明します。 1. CentOS 7 の EOL は 2024 年 6 月 CentOS にも当然 EOL がありますが、中でも CentOS 7 は 2024 年 6 月 30 日で EOL を迎えます。 それ以降は、重大な脆弱性が発見されても開発本家のセキュリティアップデートが提供されなくなります。 一口に「セキュリティアップデートが提供されなくなります」と言っても、どれくらいの影響があるのか判断しにくいと思います。そこで実際に、2021 年〜2023 年に公開された脆弱性がど

                                                            CentOS 7と脆弱性
                                                          • 【緊急】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」とは?

                                                            レポート 【緊急】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」とは? Apache Log4jにリモートコード実行の脆弱性が発見された。CVSSv3のスコア値は最大の10であり、深刻度は緊急(Critical)だ。悪用が簡単かつ遠隔からの任意コード実行が可能であることから、該当するライブラリを使っている場合はただちに対応することが求められている。このところ、CVSSv3のスコア値が緊急(Critical)に分類される脆弱性の発見は珍しくないが、今回の脆弱性は別格だ。Amazon Web Services、Microsoft、GoogleなどIT業界が一斉に注意喚起している。この10年で1、2を争う「最悪の脆弱性」の一つになる可能性が指摘されているのだ。 Log4j – Apache Log4j Security Vulnerabilities 多くのサ

                                                              【緊急】HeartbleedやShellshockに並ぶ最悪の脆弱性「Log4Shell」とは?
                                                            • ヤフーを支えるセキュリティ~サイバー攻撃を防ぐエンジニアの仕事とは~

                                                              ヤフーが開催した技術者向けイベント「Yahoo! JAPAN Tech Conference 2022」で、「ヤフーを支えるセキュリティ~サイバー攻撃を防ぐエンジニアの仕事とは~」をテーマにしたトークセッションが開催された。この記事では、その内容を紹介していく。セッションを担当したのは、いずれも2019年新卒ヤフー入社のBrahma Saurav氏と小林怜央氏だ。 Saurav氏はヤフーのセキュリティ監視室YJ-CSIRTに所属する。普段はインシデント対応や脆弱性評価と周知を担当しており、ZホールディングスにおけるCSIRT業務も兼務している。「最近はAngularやPythonを使って開発することが多い」と語る。 小林氏は、セキュリティ監視室SOCに所属しており、セキュリティアラートの対応や監視の強化を担当している。以前開発部署に在籍していた経験を生かし、効率化、監視強化に努めている。「

                                                                ヤフーを支えるセキュリティ~サイバー攻撃を防ぐエンジニアの仕事とは~
                                                              • ニュー・オーダー『Substance』2023年エクスパンデッド版から「Confusion Dub '87 (2023 Digital Master)」公開 - amass

                                                                ニュー・オーダー『Substance』2023年エクスパンデッド版から「Confusion Dub '87 (2023 Digital Master)」公開 ニュー・オーダー(New Order)は1987年にリリースしたコンピレーション・アルバム『Substance』の2023年エクスパンデッド・エディションをリリースする予定です。このエディションから追加曲のひとつ「Confusion Dub '87 (2023 Digital Master)」が公開されています。 まだ正式発表はされていませんが、Amazonによると、エクスパンデッド・エディションはCD4枚組版で11月10日発売予定。同日にはCD2枚組版も発売予定。 ■『Substance 2023 Expanded』 Disc: 1 1 Ceremony (Version 2) [2019 Remaster] 2 Everythin

                                                                  ニュー・オーダー『Substance』2023年エクスパンデッド版から「Confusion Dub '87 (2023 Digital Master)」公開 - amass
                                                                • The OOM CTF

                                                                  カーネルのバージョンやシステムの構成や実行するタイミングなどの変動要因により、結果が異なる場合がありますことを予めご了承ください。 0.3 自己紹介:熊猫の Linux との関わりについて OSレベルでのセキュリティ強化 2003年4月から2012年3月までは、 TOMOYO Linux という Linux システム向けのアクセス制御モジュールの開発に携わってきました。バッファオーバーフロー脆弱性やOSコマンドインジェクション脆弱性を撲滅できない状況で、当初は SELinux という難解なアクセス制御モジュールしかありませんでした。 TOMOYO Linux のメインライン化にまつわる苦労話は、セキュリティ&プログラミングキャンプ2011の講義資料を参照していただければと思います。 TOMOYO Linux から始まって AKARI や CaitSith に至るまでの変遷は、セキュリティ・

                                                                  • Main Linux problems on the desktop, 2023 edition or why Linux sucks on the desktop

                                                                    Preface: In this regularly but rarely updated article, which is without doubt the most comprehensive list of Linux distributions' problems on the entire Internet, we only discuss their main problems and shortcomings (which may be the reason why some people say Linux distros are not ready for the desktop) while everyone should keep in mind that there are areas where Linux has excelled other OSes: e

                                                                    • Fail2Banを使って不正なアクセスを遮断する(全自動)

                                                                      Fail2Banはログを監視し、おかしなアクセスがあったらBAN、指定時間を過ぎたらUNBANを自動で実行してくれるツールです。 Fail2Ban自体に遮断する機能はありませんが、iptablesやfirewalldと連携して遮断と解除を自動でやってくれるので非常に楽ちんです。 Fail2Banがログを監査 > しきい値を超えたIPを発見 > BAN(iptablesやfirewalldで遮断) > 指定時間経過でBAN解除 という流れです。 [recidive]というルールも標準で用意されており、再検知した場合はより厳しい条件でのBANも可能です。 インストールはパッケージ管理ツールなどで導入するだけなので省略し、実際の設定方法などを見ていきます。 定義さてれいるフィルタ(監視対象) デフォルトで対応しているサービスは以下のディレクトリにあるxxx.confで確認できます。 /etc/f

                                                                        Fail2Banを使って不正なアクセスを遮断する(全自動)
                                                                      • AWS WAF AwsManagedRules 検証

                                                                        料金Web ACL 5.00USD/月あたり (時間で案分)ルール 1.00USD/月あたり (時間で案分)リクエスト 0.60USD/100 万リクエストあたりプラス マネージドルールの利用料金マネージドルールの料金は Marketplace とかで探してみると金額がわかる Fortinet Managed Rules for AWS WAF - Complete OWASP Top 10 設定されているルール数とそれらを処理したリクエスト数に応じて料金が発生する AWS WAF を紐付ける CloudFront や ALB 、 API Gateway の料金は別途発生する さらに知っておくべきこととして AWS Managed Rules の使用に関しての追加料金などはありませんAWS Marketplace の販売者が提供するマネージド型ルールにサブスクライブすると、販売者が設定した

                                                                          AWS WAF AwsManagedRules 検証
                                                                        • ニュー・オーダー『Substance 1987』2023年リマスター版の4CDデラックスエディション全曲公開 - amass

                                                                          ニュー・オーダー(New Order)が1987年にリリースしたコンピレーション・アルバム『Substance 1987』。2023年リマスター・ヴァージョンの4CDデラックス・エディションがストリーミング配信開始。全47曲がYouTubeほかで聴けます。 2023年リマスター・ヴァージョンは11月10日発売。2LP、2CD、4CDデラックス・エディション、2LPカラー・ヴァイナル、ダブル・カセットテープがあります。また、12インチ・シングル『True Faith』、『True Faith Remix』、『Blue Monday 88』がリイシューされます。 『Substance 1987』は、それまでのバンドの全シングルを12インチ・ヴァージョンでコンパイルし、CDとカセット・エディションにはB面曲も多数収録。また「Temptation」と「Confusion」の(当時の)新録ヴァージョ

                                                                            ニュー・オーダー『Substance 1987』2023年リマスター版の4CDデラックスエディション全曲公開 - amass
                                                                          • [REL] A Journey Into Hacking Google Search Appliance | DEVCORE 戴夫寇爾

                                                                            English Version, 中文版本 TL;DR GSA Admin console post-authentication Remote Code Execution. GSA Search interface Path traversal. GSA uses Oracle’s Outside-in Technology to convert documents. Google Web services have some fixed URIs that provide information about the service itself. Introduction The Google Search Appliance (hereinafter referred to as GSA) is an enterprise search device launched by Goo

                                                                              [REL] A Journey Into Hacking Google Search Appliance | DEVCORE 戴夫寇爾
                                                                            • 资源搜集

                                                                              文章结构: 文章内容: Useful Resources shodan搜索 工业控制系统 三星电子牌 “Server: Prismview Player” 加油站泵控制器 “in-tank inventory” port:10001 自动车牌记录器 P372 “ANPR enabled” 交通信号控制灯 mikrotik streetlight 美国投票机 “voter system serial” country:US 思科拦截监听设备有关的电信公司 “Cisco IOS” “ADVIPSERVICESK9_LI-M” 监狱公用电话 “[2J[H Encartele Confidential” 特斯拉PowerPack充电系统 http.title:”Tesla PowerPack System” http.component:”d3” -ga3ca4f2 电动汽车充电器 “Server

                                                                                资源搜集
                                                                              • コマンドラインシェル - ArchWiki

                                                                                Wikipedia より: Unix シェルは、UNIX オペレーティングシステムおよび Unix 系システムの従来からのユーザインタフェースを提供するコマンドラインインタプリタまたはシェルである。コマンドラインインタプリタに文字列の形でコマンドを入力することでコンピュータを直接操作したり、そのようなコマンドを並べたスクリプトを書いて実行させたりするのに使われる。 シェル一覧 POSIX に(多かれ少なかれ)準拠しているシェルは #POSIX準拠 に、異なる構文を持つシェルは #代替シェル にリストアップされています。 POSIX準拠 これらのシェルはすべて /usr/bin/sh からリンクできます。Bash、 mkshAUR、 zsh、 を sh という名前で呼び出すと、自動的に POSIX に準拠するようになります。 Bash — Bash は Bourne シェルを拡張したもので、

                                                                                • Craig Stuntz - On Learning Compilers and Creating Programming Languages

                                                                                  Posted on October 13, 2023 When I first started learning about compilers, there was something important which I didn’t understand: Designing a programming language and writing a compiler are two almost entirely different skills. There is obviously some overlap between them, but less than you might think at first! I think it’s important to know this because they are both very challenging problems!