知らないうちにマルウェアをインストール マリシャスパッケージとは?マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッケージのことで、情報漏えいなどの深刻な影響が出る恐れがあります。本記事では、概要と具体的な攻撃手法、その対策方法について紹介します。
知らないうちにマルウェアをインストール マリシャスパッケージとは?マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッケージのことで、情報漏えいなどの深刻な影響が出る恐れがあります。本記事では、概要と具体的な攻撃手法、その対策方法について紹介します。
マリシャスパッケージとは、攻撃者によって作成された悪意のあるコードを含むパッケージのことで、情報漏えいなどの深刻な影響が出る恐れがあります。本記事では、概要と具体的な攻撃手法、その対策方法について紹介します。
セキュリティを守る3つの脆弱性対策手法と、大きな工数削減を実現したyamoryの導入についてお伺いしました。
本記事では、脆弱性診断と脆弱性管理サービスの脆弱性の検出方法の違いと対象となるレイヤーの違いからどのようなメリット・デメリットがあるのかについて紹介します。
ソフトウェア資産管理の標準手法である SBOM について、その背景や国内外の動向、実際の例を交えて解説します。
Flatt Securityは2020年11月4日、SaaS型eラーニングサービス「KENRO」をリリースしました。OWASP Top 10 に含まれる脆弱性をはじめとして、今日のWebエンジニアが開発にあたって学ぶべきセキュリティ技術の学習環境を提供するサービスです。 日本のセキュリティ業界において、教育サービスがSaaSとしてリリースされるというのはあまり多くありません。どのような経緯を経て本サービスを開発するに至ったのでしょうか。そこで今回は、学習コンテンツ作成を担当するセキュリティエンジニアの米内氏とプロダクトマネージャーとして製品設計に携わる小島氏にインタビューを実施。 「中の人」である開発者の声を紹介することで、「KENRO」というプロダクトの価値を改めてお伝えします。 flatt.tech 開発者プロフィール 開発のきっかけは「Web アプリケーションセキュリティを学ぶハード
OSCPを受験して合格しました!久々の記事更新ですね・・・実は転職をしたので色々とバタバタしていました。 本来、このブログは前職のチーム非公式のブログなのですが、更新していたのがほぼ自分一人で、このままブログが閉鎖されるのも寂しいので、転職すると同時にこのブログもいただくことにしました。今まではユーザ系の企業に努めていましたが、2020年5月より準セキュリティベンダーに転職しました。転職理由は・・・どうしてもネガティブな理由が含まれてしまうので、やめておこうと思います。一言だけ記載すると、前職だと自身のキャリアが見えなかったというのが大きな理由だと思います。 本題に戻すと、ちょうどこの前の4連休(9月20日)にOSCPを受験して、無事合格しました。OSCP受験記も最近増えて来ている気がしますが、まだまだ少ないので受験期&どのように勉強したかを載せていこうと思います。OSCP合格を目指してい
メルペイ エキスパートチームの@tenntennです。本稿は Merpay Tech Openness Month の11日目の記事です。 「プログラミング言語Go完全入門」の期間限定公開のお知らせでも書いたように、メルペイでは、社外の方向けにGopher道場という体系的にGoを学べる場を無償で提供してきました。Goの普及を目的にこれまでに8回開催し100人以上の方に参加していただきました。 また、Gopher道場の動画や資料はGopher道場 自習室として誰でも利用できるようになっており、現時点で300名以上の方が利用されています。 Gopher道場の資料のベースになっている「プログラミング言語Go完全入門」は、2020年7月31日までの限定公開になっていましたが、本日より公開期限を撤廃し、完全公開することになりました。 また、本日8月31日から始まる「Online Summer Int
最近脆弱性の話とか本業と一切関係ないことを書いていたので、今回は本業に関する話です。 前提 所感 楽しい やりがいがある 実績になる 得意な形でアウトプットできる 勉強になる 深く特定領域を学べる 得た知見を公の場で共有しにくい 広く触れない(可能性がある) なぜ会社としてOSSをやるのか?ということを真剣に考えられる 市場の熟成 有料化のしやすさ 品質の向上 カンファレンスでの発表 ファンを作る 会社の売上に貢献できる方が精神的に楽 ユーザからのフィードバックが助かる メンテナンスコストが高くなる 方針を決められなくなる 宣伝は必要 まとめ 2019/08/01にOpen Source Engineerという肩書になってから既に1年が経過しました。そういうポジションの人はまだ日本では少ないんじゃないのかなと思ったので何か参考になればと所感を書いておきます。ちなみに最初の頃Open Sou
概要 前回Node.jsのプロトタイプ汚染を起こすためのバイパス方法について記事にしました。 knqyf263.hatenablog.com プロトタイプ汚染後に何が出来るのか、ということについては基本的にアプリケーション依存なのであまり話題になることは少ないです。 自分の知る限り一番多いのは if(user.isAdmin) { // do something } といったような重要なプロパティを書き換えることで権限昇格する例です。ただし、自分の理解では isAdmin が初期化されていないことが前提条件として必要です。 const obj1 = {}; const obj2 = JSON.parse('{"__proto__":{"isAdmin":true}}'); merge(obj1, obj2) var a = {} a.isAdmin // true var b = {isA
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要は以下を見れば分かると思います。 jovi0608.hatenablog.com そもそもプロトタイプって何?という人は以下の記事が分かりやすいです。自分はお守りのように定期的に読んでます。 qiita.com 外部から送られてきたJSONなどをパースして変換し、そのオブジェクトをmergeやcloneする際に __proto__ を上書きすることで Object.prototype を汚染するというものです。このオブジェクトが書き換えられると、新しく作
無線LANのセキュリティって分かりづらいよね。と思っていて調べてみたら、どうも 暗号化アルゴリズム 完全性の検証方法 規格名 などが同次元に語られるせいで無駄に複雑になっているように思われます。 そこで、いくつかの切り口でまとめてみました。 とりあえず表でまとめてみる この表で一発解決な気がする。 暗号化方式 暗号化アルゴリズム 完全性の検証 規格「WEP」 規格「WPA」 規格「WPA2」 WEP RC4 CRC32 必須 - - TKIP RC4 Michael - 必須 任意 CCMP AES CCM - 任意 必須 TKIPとAESって同じ土俵で語られることじゃなくね?と漠然と思っていたのがこの表で解決しました。TKIPはRC4で暗号化し、Michaelで完全性の検証(=改ざん検知)するというプロトコルであり、AESは(RC4と同列で語られるべき)暗号化アルゴリズムであると。 で、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く