IMDSv1を使用しているか判断できるIMDSパケットアナライザーがリリースされました | DevelopersIO
IMDSv2のみ許可したいけどIMDSv1を使っているプロセスの判断がつかないな こんにちは、のんピ(@non____97)です。 皆さんはインスタンスメタデータ(以降IMDS)v2のみ許可したいけどIMDSv1を使っているプロセスの判断がつかないなと思ったことはありますか? 私はあります。 IMDSv2のみ許可することでSSRF攻撃を緩和することが可能です。 IMDSv2の詳細な動作や効果については、DevelopesIOの以下記事や徳丸先生の記事が参考になります。 EC2インスタンスのデフォルトの設定ではIMDSv2とIMDSv1どちらも有効化されていることが多いです。(デフォルトの設定はAMI次第) そのため、後からIMDSv1を無効化したい場合は、どのプロセスがIMDSv1を使っているのかを確認する必要があります。しかし、具体的にIMDSv1を使用しているプロセスを確認するメトリク
Check Point Software Technologiesは3月11日(米国時間)、「All You Need to Know: The Four Zero Days in Microsoft Exchange Servers - Check Point Software」において、現在世界中で広く攻撃に使われているMicrosoft Exchange Serverの脆弱性について伝えた。Microsoft Exchange Serverにどのような脆弱性が存在するかを説明することで、管理者に対応を急がせる狙いがあるものと見られる。 同社が挙げているMicrosoft Exchange Serverの脆弱性は次のとおり。 CVE-2021-26855:Microsoft Exchange Server サーバサイドリクエスト偽造(SSRF: Server-Side Request
AWS WAF向けマネージドルールのおすすめは?種類別サービス7選 最終更新日:2022-02-16 AWS上に構築した自社のWebアプリケーションのセキュリティを高め、攻撃から守りたいと考えている方へ。AWS WAF上で利用できるマネージドルールの特徴や選び方を紹介します。 WebアプリケーションとWAF Webアプリケーションの危険性 現在、インターネットの通信のほとんどは、HTTPあるいはHTTPを暗号化したHTTPS(HTTP over SSL/TLSあるいはHTTP Secure)という通信プロトコルを利用しています。Webブラウザーを使ってWebサイト(Webサーバー)と通信するWebアクセスだけでなく、スマホなどのアプリもその多くは裏でHTTPやHTTPSを使って外部のサーバーと通信しています。 スマホのアプリはもちろんですが、Webブラウザーを使ったWebアクセスについても
The More You Know, The More You Know You Don’t Know
A Year in Review of 0-days Used In-the-Wild in 2021 Posted by Maddie Stone, Google Project Zero This is our third annual year in review of 0-days exploited in-the-wild [2020, 2019]. Each year we’ve looked back at all of the detected and disclosed in-the-wild 0-days as a group and synthesized what we think the trends and takeaways are. The goal of this report is not to detail each individual exploi
Sodinokibi Ransomware gang threatens to disclose data from Kenneth Cole fashion firm
APT41: The threat of KeyPlug against Italian industries | Critical SQL Injection flaws impact Ivanti Endpoint Manager (EPM) | Chinese actor 'Unfading Sea Haze' remained undetected for five years | A consumer-grade spyware app found in check-in systems of 3 US hotels | Critical Veeam Backup Enterprise Manager authentication bypass bug | Cybercriminals are targeting elections in India with influence
Ok. So you’ve found a feature on a web application that fetches external resources. You’re able to pull content from all sorts of external sites and there doesn’t seem to be any restrictions on the file type that you can request… The application displays everything right back at you. Everything on this endpoint is screaming at you, that it is ripe for SSRF! So you start typing in the magic digits:
Infrastructure overview
MangaDex is bigger than you think. No, really. People are often surprised (and/or sneer) at the complexity of some of the technical details we mention, but we do not engage in complexity for fun's sake. The site is simply unreasonably popular in comparison to our budget, and throwing money at our problems just isn't an option. For reference, MangaDex v3 was at times in the top 1000 most popular we
こんにちは、コンサル部@大阪オフィスのTodaです。 EC2のインスタンスメタデータサービスはEC2内から実行中のインスタンスの設定情報を取得できる仕組みになります。 ここ最近ではAWS Security HubのEC2.8の表示でIMDSv2の利用を推奨されたり、Amazon Linux 2023の初期設定で IMDSv1が無効になっていたりするので切り換え時期かなと考えております。 今回は新規インスタンスと既存インスタンスそれぞれで IMDSv2 のみにする調査と手順をまとめてみました。 EC2インスタンスメタデータサービス(IMDS)とは? IMDSはEC2内から実行中のインスタンスの設定情報を取得できる仕組みになります。 上記を利用する事でスクリプト内でインスタンスIDなどを取得して利用することができます。 取得可能な情報は下記リストを参照ください。 ■ インスタンスメタデータのカ
本レポートでは、2024年1月中に発生した観測情報と事案についてまとめています。 目次 DDoS攻撃の観測情報 IIJマネージドセキュリティサービスの観測情報 Web/メールのマルウェア脅威の観測情報 セキュリティインシデントカレンダー DDoS攻撃の観測情報 本項では、IIJマネージドセキュリティサービスやバックボーンなどでIIJが対処したDDoS攻撃のうち、IIJ DDoSプロテクションサービスで検出した当月中の攻撃を取りまとめました。 攻撃の検出件数 以下に今回の対象期間で検出した、DDoS攻撃の検出件数を示します。 図-1 DDoS攻撃の検出件数(2024年1月) 今回の対象期間で検出したDDoS攻撃の総攻撃検出件数は235件であり、1日あたりの平均件数は7.58件でした。期間中に観測された最も規模の大きな攻撃では、最大で約533万ppsのパケットによって2.47Gbpsの通信が発
Cloudbaseとは クラウドのセキュリティ事故の原因は、2025年になると設定ミスが99%になると予測されているそうです。 Cloudbaseは事故につながる設定ミスを「お手軽に」スキャンできるサービスです。 執筆時はAWS向けのβ版がリリースされています。 動機 普段使っているAWSアカウントがどのようなセキュリティリスクをどれくらい抱えているのかは気になりますが、今まで計測したことはありませんでした。 一度全体像を見るだけでも今後のセキュリティ意識が変わると思い、今回はCloudbaseを用いてチェックするとともに、実際に危険度の高いリスクを直してみました。 導入方法 Cloudbaseのアカウントに、スキャンを行うAWSアカウントのIAMを登録するのみです。 IAMの作り方や必要な権限はマニュアルが用意されており、導入のサポートも受けられるので、普段あまりIAMを触っていない人で
JSer.info #703 - Node.js v22.6.0がリリースされました。 Node.js — Node v22.6.0 (Current) 実験的な機能として、型の記述を取り除いてTypeScriptファイルを実行する--experimental-strip-typesフラグを追加されています。 関連: Node.jsのTypeScriptサポートについて また、Node.js DevToolsでNetwork Inspectionをサポートする--experimental-network-inspectionの追加なども行われています。 Firefox 129がリリースされました。 Firefox 129 for developers - Mozilla | MDN Firefox 129.0, See All New Features, Updates and Fixes
JSOCアナリストの高井です。 Microsoft社は3月2日(米国時間)、Microsoft Exchange Serverの複数の脆弱性に関する情報を公開しました。また、3月4日に当該脆弱性の解説記事を公開しており、その中でCVE-2021-26855の脆弱性チェックツールを紹介しています。 公開された脆弱性が悪用されると、該当する製品が動作しているサーバにおいて、認証回避ののち、ファイル作成や任意のコード実行などの被害が発生する恐れがある危険な脆弱性のため早急な対応が必要です。 英国のセキュリティ企業Volexity社は、本脆弱性を狙った攻撃活動が早くとも約2か月前の2021年1月6日には始まっていたと報告しています。すなわち、これらの製品が、脆弱性の修正パッチが存在しない、いわゆるゼロデイの状態で攻撃の脅威にさらされていたことを意味します。 JSOCでは実際にファイル作成やコマンド
Last Origin (ラストオリジン) 日本版攻略wiki GOP Coが提供するスマホゲームLastOrigin(ラストオリジン)日本版の攻略Wikiです。 トップページページ一覧メンバー掲示板編集 強化ポイント振り分け例 最終更新:ID:JD8NgAiaaQ 2023年10月19日(木) 13:09:12履歴 概要 攻撃機 保護機 回避型保護機 防御型保護機 支援機 ゲームに慣れてきたら 概要 このページは、戦闘員の強化ポイントをどのように振り分ければよいか分からない初心者の方へ参考として提供するものです。 現在、強化ポイントは無制限に振り直しが可能です。 かつてはリセットのために専用アイテム消費が必要でしたが、(実質的に)廃止されました。とりあえずで振ってしまって大丈夫です。 より強い装備が手に入ったり、味方にバフをかけられる新しい戦闘員を入手できたりしたら、どんどん振り直しまし
Experts discovered millions of .git folders exposed to public
Crooks manipulate GitHub's search results to distribute malware | BatBadBut flaw allowed an attacker to perform command injection on Windows | Roku disclosed a new security breach impacting 576,000 accounts | LastPass employee targeted via an audio deepfake call | TA547 targets German organizations with Rhadamanthys malware | CISA adds D-Link multiple NAS devices bugs to its Known Exploited Vulner
Security-JAWS DAYS 参加記&CTF作問者解説 - blog of morioka12
1. 始めに こんにちは、morioka12 です。 本稿では、先日の8/26,27に開催された Security-JAWS DAYS の参加記と CTF デイで AWS セキュリティに因んで作成した CTF の問題解説について紹介します。 1. 始めに 2. Security-JAWS DAYS 3. CTF 作問 4. 問題解説 4.1 [Easy] Get Provision 4.2 [Medium] Get Access Key 4.3 [Hard] Secure Request Forwarder 5. その他 5.1 EC2 における脆弱性事例 5.2 EC2 IMDSv2 における SSRF の事例 5.3 他の作問メンバーの解説 5.4 参加者の解説記事 6. 終わりに また、Security-JAWS の運営メンバーより開催の裏側が AWS の公式ブログで公開されているた
2021年のオープンソース活動の振り返り記事です。 今までの振り返りの一覧です。 今年のオープンソース活動振り返り @ 2020 | Web Scratch 今年のOSS活動振り返り @ 2019 | Web Scratch 今年のOSS活動振り返り @ 2018 | Web Scratch 今年のOSS活動振り返り @ 2017 | Web Scratch 今年のOSS活動振り返り @ 2016 | Web Scratch 今年のOSS活動振り返り @ 2015 | Web Scratch 今年のOSS活動振り返り @ 2014 | Web Scratch 2021年のGitHubのPublicなContributionsは8000~9000ぐらいを推移していました。 Privateリポジトリも含めると大体1.5倍ぐらいなので、これは2020年と大体同じ比率なようです。 データの取得には
JPCERT-AT-2021-0016 JPCERT/CC 2021-04-01 I. 概要2021年3月30日(米国時間)、VMwareは、VMware vRealize Operations Managerなどの製品における複数の脆弱性に関するアドバイザリ(VMSA-2021-0004)を公開しました。vRealize Operations Manager APIには、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性(CVE-2021-21975)と任意のファイル書き込みの脆弱性(CVE-2021-21983)があります。脆弱性が悪用された場合、遠隔の第三者が管理者権限に関する情報を取得したり、任意のファイルをアップロードしたりするなどの可能性があります。詳細は、VMwareが提供する情報を確認してください。 VMware VMSA-2021-0004 https://www.
【セキュリティ ニュース】「Python」のURL解析に脆弱性 - ブロックリスト回避のおそれ(1ページ目 / 全1ページ):Security NEXT
「Python」においてURLの解析に広く利用される標準ライブラリ「urllib.parse」の既知の脆弱性について注意が呼びかけられている。 空白文字で始まるURLにおいてブロックリストメソッドを回避できる脆弱性「CVE-2023-24329」について、CERT/CCが注意を呼びかけたもの。ホスト名、スキームの双方において影響を受ける。 ブラックリストにあるドメインやプロトコルのフィルタリングをバイパスし、本来アクセスが制限されるべきサイトへのアクセスやプロトコルを指定した制限などを回避することが可能。任意のファイルの読み取り、任意のコマンドの実行、サーバサイドリクエストフォージェリ(SSRF)などにつながるおそれもある。 米国立標準技術研究所(NIST)の脆弱性データベース「NVD」において、共通脆弱性評価システム「CVSSv3.1」のベーススコアは「7.5」、重要度は4段階中2番目に
Archie Gunasekara Staff Software Engineer, Cloud Foundations We are heavy users of Amazon Compute Compute Cloud (EC2) at Slack — we run approximately 60,000 EC2 instances across 17 AWS regions while operating hundreds of AWS accounts. A multitude of teams own and manage our various instances. The Instance Metadata Service (IMDS) is an on-instance component that can be used to gain an insight to th
Middleware everywhere and misconfigurations to fix - Labs Detectify
Middleware, middleware everywhere – and lots of misconfigurations to fix tl;dr Detectify Crowdsource found some interesting middleware misconfigurations and potential exploits that, if left unchecked, leaves your web applications vulnerable to attack. Last year, Detectify’s security research team looked at various middleware, primarily for Nginx web servers, load balancers and proxies. We’ve found
【セキュリティ ニュース】「Exchange Server」にゼロデイ攻撃 - アップデートは準備中、緩和策の実施を(1ページ目 / 全1ページ):Security NEXT
「Microsoft Exchange Server」にゼロデイ脆弱性が明らかとなった。サイバー攻撃に悪用されたことをきっかけに発見されたもので、マイクロソフトではアップデートの準備を急いでいる。 「サーバサイドリクエストフォージェリ(SSRF)」の脆弱性「CVE-2022-41040」や、「PowerShell」にアクセスできる場合にリモートよりコードの実行が可能となる脆弱性「CVE-2022-41082」が明らかとなったもの。「CVE-2022-41040」を用いることで「CVE-2022-41082」による攻撃が可能になるという。ただし、悪用には認証済みのアクセスが必要。 ベトナムのセキュリティ事業者であるGTSCが、監視対象としていた「Exchange Server」において、「ProxyShell」と同様のフォーマットを用いた未知の脆弱性が悪用されていることを8月初旬に発見。8月
How we abused Slack's TURN servers to gain access to internal services
How we abused Slack’s TURN servers to gain access to internal services Executive summary (TL;DR)Slack’s TURN server allowed relaying of TCP connections and UDP packets to internal Slack network and meta-data services on AWS. And we were awarded $3,500 for our bug-bounty report on HackerOne. A very brief introduction to the TURN protocolThe Wikipedia page for this protocol is somewhat handy because
こんにちは。Retty インフラチームの幸田です。 今回は Retty で利用している GraphQL API に WAF (Web Application Firewall) を導入したのでその話をしようと思います。 Retty と GraphQL API GraphQL を利用した攻撃 リスクを伴う設定 悪意のあるクエリ Web API の脆弱性 Fastly Next-Gen WAF について GraphQL Inspection WAF のセットアップ GraphQL Inspection の有効化 Templated Rule 動作確認 ブロックについて Site Alerts を用いた攻撃のブロック シグナルを用いたブロック設定 URL パスと HTTP メソッドを利用したブロック設定 ブロック設定のまとめ 最後に Retty と GraphQL API 下記記事の「システム構
[EN] Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!
[EN] Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server! Orange Tsai (@orange_8361) | 繁體中文版本 | English Version Hey there! This is my research on Apache HTTP Server presented at Black Hat USA 2024. Additionally, this research will also be presented at HITCON and OrangeCon. If you’re interested in getting a preview, you can check the slides here: Confusion Attacks: Exp
![[EN] Confusion Attacks: Exploiting Hidden Semantic Ambiguity in Apache HTTP Server!](https://cdn-ak-scissors.b.st-hatena.com/image/square/8a5b91f61a298886d884ea8b403d255f950ceecf/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEhPC506ziev4fJXtMlHNpXqYA17yX5uywSmqdESOSWh6wl2NYtmZFm1U4ygJLE3P3xExW5WsXLTDghdztSQshpvprnISOwZWF2NR_aQSWU8_RjLX65_NLjk3l3FrPWpqPJIFRTVV9vVIcStMPAS-0-l7dF6pjJR4pgCbRhP2qvhyznH6f86ZJ-Ofgs7Tq0%2Fs16000%2Ffb48778b63a5eead717f13f46.png)
Ubuntu Weekly Topics Ubuntu 24.04 LTS(noble)の開発 / Feature Freeze後の試行錯誤、22.04.4 LTSのリリース noble(Ubuntu 24.04 LTS)の開発 / 初期インストールソフトウェアの変更 nobleはFeature Freezeを過ぎて、ここからは「品質を高めるため」の時間に入ります。 もっとも、UbuntuではFeature Freezeは「以降は新機能の投入に審査が必要になる」という意味しかなく、これ以降の仕様が動かないわけではありません。実際に「デフォルトではゲームをインストールしないようにするのはどうだろう」といった提案やインストーラーのユーザビリティテストが行われており(テストを行うということはつまり、悪い箇所があれば画面遷移等を見直す=機能的な変化が生じるということです)、GNOME Te
Analyzing attacks using the Exchange vulnerabilities CVE-2022-41040 and CVE-2022-41082 | Microsoft Security Blog
November 8, 2022 update – Microsoft has released patches for these issues. While Microsoft has not seen any further exploitation of these vulnerabilities in the wild since the targeted use in August, it is highly recommended that organizations patch their systems as attackers often reverse engineer patches to develop exploits. October 1, 2022 update – Added information about Exploit:Script/ExchgPr
Abusing HTTP hop-by-hop request headers - Nathan Davison
October 31, 2019 In this writeup, I will be covering techniques which can be used to influence web systems and applications in unexpected ways, by abusing HTTP/1.1 hop-by-hop headers. Systems affected by these techniques are likely ones with multiple caches/proxies handling requests before reaching the backend application. What is a hop-by-hop header? A hop-by-hop header is a header which is desig
GitHub - puresec/sas-top-10: Serverless Architectures Security Top 10 Guide
The Ten Most Critical Risks for Serverless Applications v1.0 Preface The “Serverless architectures Security Top 10” document is meant to serve as a security awareness and education guide. The document is curated and maintained by top industry practitioners and security researchers with vast experience in application security, cloud and serverless architectures. As many organizations are still expl
2024年のセキュリティトレンド大予想【各業界の開発・セキュリティエンジニア13人に聞く(後編)】 - #FlattSecurityMagazine
2024年、プロダクトセキュリティのトレンドはどうなるのか。様々な業界で活躍する開発エンジニア・セキュリティエンジニアの方々13人に見解を伺いました。 今回は、「2023年のプロダクトセキュリティを振り返る」というテーマでお届けします! ▼前編(2023年のプロダクトセキュリティに関する取り組みの振り返り) flatt.tech 今回コメントをいただいた方々 CADDi CTO 小橋昭文さん サイボウズ Cy-PSIRT Finatextホールディングス 取締役CTO/CISO 田島悟史さん Google 小勝純さん グラファー 森田浩平さん IssueHunt 取締役 CTO Junyoung Choiさん カンム 金澤康道さん メルカリ IDP team kokukumaさん メルカリ Product Security team, Manager Yannarak Wannasaiさん
詳解セキュリティコンテスト|マイナビブックス
詳解セキュリティコンテスト CTFで学ぶ脆弱性攻略の技術 著作者名:梅内翼、 清水祐太郎、 藤原裕大、 前田優人、 米内貴志、 渡部裕 書籍:4,180円 電子版:4,180円 B5変:704ページ ISBN:978-4-8399-7349-0 発売日:2021年07月22日 備考:初~中級 内容紹介 セキュリティ競技CTFを幅広く丁寧に解説 情報セキュリティ技術を競う競技であるセキュリティコンテスト:CTF(Capture the Flag)。本書ではCTFの基礎を、技術的な背景の解説を通して実践的に学んでいく一冊です。 現代のCTFにおいて主流である ・Web (Webアプリケーションへの攻撃) ・Crypto (暗号解読) ・Reversing (バイナリ解析) ・Pwnable (低級プログラムの掌握) の4ジャンルについて取り扱います。 各パートの冒頭には、必要な基礎知識の説明が
Amazon GuardDuty Enhances Detection of EC2 Instance Credential Exfiltration | Amazon Web Services
AWS News Blog Amazon GuardDuty Enhances Detection of EC2 Instance Credential Exfiltration [This blog post was updated on Jan. 23rd to show how to use imdsv2 instead of imdsv1] Amazon GuardDuty is a threat detection service that continuously monitors for malicious activity and unauthorized behavior to protect your AWS accounts, workloads, and data stored in Amazon Simple Storage Service (Amazon S3)
みなさんこんにちは。調査・監視部に所属する宮﨑です。 普段の業務ではブルーチームとして、SOC監視・調査やフォレンジック調査、マルウェア解析などを行なっています。 今回はOffsec社が提供する、Webペンテストの資格 2種へ挑戦し合格したため、受験記を投稿します。 OSWA・OSWEとは これらはOffsec社が提供するWebペンテスト系の資格で、それぞれの正式名称は以下のとおりです。 OSWA (Offsec Web Assessor) OSWE (Offsec Web Expert) 資格の難易度とレベル Offsec社のコンテンツの難易度は、100から400まで存在し、通常の契約プランで購入できるコンテンツは300までになります。そして、OSWAは200、OSWEは300の位置付けにいるため、単純にOSWEの方が難易度としては高いです。また、300のコンテンツ・試験ではエクスプロイ
2023年11月くらいのAWS最新情報ブログとかをキャッチアップする – AWSトレンドチェック勉強会用資料 その1 | DevelopersIO
こんにちは、臼田です。 みなさん、AWSの最新情報はキャッチアップできていますか?(挨拶 社内で行っているAWSトレンドチェック勉強会の資料をブログにしました。 AWSトレンドチェック勉強会とは、「日々たくさん出るAWSの最新情報とかをブログでキャッチアップして、みんなでトレンディになろう」をテーマに実施している社内勉強会です。 このブログサイトであるDevelopersIOには日々ありとあらゆるブログが投稿されますが、その中でもAWSのアップデートを中心に私の独断と偏見で面白いと思ったもの(あと自分のブログの宣伝)をピックアップして、だいたい月1で簡単に紹介しています。 11月と12月はアップデートの量が多いので、それぞれ2回に分けてお送りします。11月前半はre:Invent開始直前までですが、それでも93本ピックアップしています。この後来る大量のアップデートに関連するものもあるためし
GitHub - projectdiscovery/interactsh: An OOB interaction gathering server and client library
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
【セキュリティ ニュース】PHPに複数の脆弱性 - アップデートが公開(1ページ目 / 全1ページ):Security NEXT
PHPの開発チームは、複数の脆弱性に対処した「PHP 8.0.8」「同7.4.21」「同7.3.29」をリリースした。 今回のアップデートでは、URLの検証処理において明らかとなったサーバサイドリクエストフォージェリ(SSRF)の脆弱性「CVE-2021-21705」を修正した。 さらにデータベース「Firebird」の接続においてスタックバッファオーバーフローをはじめ、メモリ処理にエラーが生じるおそれがある「CVE-2021-21704」を解消している。 またこれらCVEベースで2件の脆弱性のほか、「同8.0.8」「同7.4.21」ではバグの修正なども実施している。 今回のアップデートについて、開発チームはいずれもセキュリティリリースと位置づけており、「PHP 8.0」「同7.4」「同7.3」の利用者に対してアップデートを推奨している。 (Security NEXT - 2021/07/
Google fixes fifth actively exploited Chrome zero-day this year | Russia-linked APT28 targets government Polish institutions | Citrix warns customers to update PuTTY version installed on their XenCenter system manually | Dell discloses data breach impacting millions of customers | Mirai botnet also spreads through the exploitation of Ivanti Connect Secure bugs | Zscaler is investigating data breac
A flaw in LastPass password manager leaks credentials from previous site
Magento flaw exploited to deploy persistent backdoor hidden in XML | Cyberattack disrupted services at Omni Hotels & Resorts | HTTP/2 CONTINUATION Flood technique can be exploited in DoS attacks | US cancer center City of Hope: data breach impacted 827149 individuals | Ivanti fixed for 4 new issues in Connect Secure and Policy Secure | Jackson County, Missouri, discloses a ransomware attack | Goog
Published: 17 February 2020 at 14:36 UTC Updated: 05 January 2021 at 14:10 UTC The results are in! After 51 nominations whittled down to 15 finalists by a community vote, an expert panel consisting of Nicolas Grégoire, Soroush Dalili, Filedescriptor, and myself have conferred, voted, and selected the Top 10 new web hacking techniques of 2019. Every year, professional researchers, seasoned penteste
先週のクラウドセキュリティ:キャピタルワンの情報漏洩について、上院議員はアマゾンの過失を調査(大元隆志) - エキスパート - Yahoo!ニュース
10月20日週にかけて発生した、クラウド関連のセキュリテイ・トピックをダイジェストでお伝えする。 ■米上院議員がキャピタルワンの情報漏洩事故について、AWS側の過失調査を要求 2019年を代表するセキュリテイ・インシデントとなった、キャピタルワンの大規模情報漏洩。この事件ではAWS上に構築されていたサーバーがサイバー攻撃者によってSSRF攻撃を受け、1億人以上のアメリカ市民と600万人のカナダ人の個人情報が盗まれた。 このキャピタルワンのセキュリテイインシデントについて、エリザベスウォーレン上院議員とロンワイデン上院議員は、連邦取引委員会にてアマゾンを調査するよう求めている。 上院議員の主張は、このサイバー攻撃に利用された、SSRF攻撃について、AWSの競合で有る、Googleは2013年、Microsoftは2017年にSSRF攻撃に対する保護を開始しており、AmazonもAWSがSSR
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
知っておきたいMicrosoft Exchange Server 4つの脆弱性
AWS WAF向けマネージドルールのおすすめは?種類別サービス7選 | アスピック|SaaS比較・活用サイト
Bypassing SSRF Protection
EC2のインスタンスメタデータ(IMDS)をv2に移行する手順をまとめてみた | DevelopersIO
wizSafe Security Signal 2024年1月 観測レポート
クラウドセキュリティ診断プラットフォーム「Cloudbase」を使ったらリスクがいっぱい検出されたので直してみた
2024-08-15のJS: Node v22.6.0(`--experimental-strip-types`)、Firefox 129
【注意喚起】Microsoft Exchange Server製品に関する複数の脆弱性について | LAC WATCH
強化ポイント振り分け例 - Last Origin (ラストオリジン) 日本版攻略wiki
今年のオープンソース活動振り返り @ 2021
VMware vRealize Operations Managerなどの複数の脆弱性に関する注意喚起
Our Journey Migrating to AWS IMDSv2 - Slack Engineering
/blog/2023/01/microsoft-resolves-four-ssrf-vulnerabilities-in-azure-cloud-services/
GraphQL Inspection で守る GraphQL API - Retty Tech Blog
Ubuntu 24.04 LTS(noble)の開発 / Feature Freeze後の試行錯誤、22.04.4 LTSのリリース | gihyo.jp
Webペンテスト系の資格「OSWA」「OSWE」受験記 | 株式会社レオンテクノロジー
New EvilQuest ransomware targets macOS users ...
Top 10 web hacking techniques of 2019