サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
デスク環境を整える
blog.eg-secure.co.jp
シリーズ第3弾です。3人目ともなると弊社の採用基準の多様さが徐々に見えてくるかと思います。今回の投稿もそれほど長文というわけではないので、軽い読み物としてお付き合いください。 本稿の主な目的はセキュリティ業界もしくは弊社への就職、転職をお考え中の方の参考になれば。というものですが、もちろんその他の方にもご意見ご感想いただけますと幸いです。 記事では私の経歴に触れた後、転職について、特に面接について述べています。最後に入社後の所感とちょっとした弊社のアピールを入れています。 前職まで 一般的な高校を卒業しました。特に理系にも文系にも振っていない普通の高校だったと思います。その後、物流系の会社で何年か(3~4年?)働いていました。実は前職就職時の決め手は特になく、とりあえずやりたいこともないし...といった感じで就職したものでした。ただ、仕事内容は気に入っていましたし、勤務時間や同僚などの職場
こんにちは、EGセキュアソリューションズ(EGSS)の黒木です。 前回に引き続き「こうやってEGSSに潜り込んだシリーズ」として他業種から中途入社した私(黒木)の事例を紹介します。 他業種から来た中途の人ってどういう人なの?というのを知っていただければと思います。 なお、技術的なお話は一切出てきません。 いままでのキャリア EGSSは私にとって3社目の会社になります。 1社目では、主にISP事業者のお客様拠点で、サーバの運用保守業務に3年近く従事しました。 24時間365日の交代勤務でシステムに異常がないかチェックし、何かあればサーバにログインして障害対応をしたり、場合によってはデータセンターまでタクシーで駆けつけたりもする仕事でした。 千台を優に超えるサーバがあり、毎日どこかのサーバが壊れていたため非常にやりがいがあったように思います。 余談ですが、この現場では「今日は平和ですね」は帰れ
こんにちは。エンジニアの竹添です。 本日は、新卒でセキュリティエンジニアになった私が、どのような経緯で業界に足を踏み入れ、どのようなお仕事をしているのか、というテーマで記事を書いてみたいと思います。 セキュリティエンジニアの業界に興味を持っている方に、今後の参考として読んでいただければ幸いです。 自己紹介 はじめに、私のプロフィールを公開します。 ・年齢:25歳(1994年生まれ) ・出身:長崎県 ・趣味:アニメ、バイク、お料理 ・技術領域:ウェブセキュリティ全般、PHP、WordPress 我ながら、これといった特徴も無い普通のプロフィールだと思います。 技術領域に書いてある内容も、ここ2,3年で身に付けたものです。 大した事無いじゃないか、と思っていただくために書きました。 わたしの学生時代 大学は理系の情報工学部に所属していました。 絵に描いたようなインドア学生生活をしていたので、惰
こんにちは。EGセキュアソリューションズの社長の徳丸です。 今日は、Apacheが本稿執筆時点での最新版 2.4.41 であるかを確認する方法を公開しちゃいます。 はじめに 脆弱性診断の一環で、サーバーソフトウェアのバージョンを確認したいというニーズがあります。今どき、Apache等のServerヘッダにバージョンが出ていることはまずない(…とも言えず実はよくある)ので、Serverヘッダ以外からソフトウェアのバージョンを確認する方法が知られています。以下はその例です。 Apache HTTP Serverのバージョンを当てる方法 僕が調べたApacheバージョン判定の小ネタ 診断文字列を打ち込まずにPHPのバージョンを推測する 2番目の、とある診断員さんの記事は、Apache 2.2のすべてのバージョンをビルドして確認する方法が具体的に説明されています。そして、上の2つの記事はApach
WordPressサイトの引っ越しや、開発環境から本番環境への移行等によりドメイン名やディレクトリ構造を変更する必要がある場合、データベース内のドメインやURLをSQLで直接書き換えるのではなく、DB置換ツール(Search Replace DB)が広く利用されているようです。 WordPress の引越し(WordPress Codex 日本語版) http://wpdocs.osdn.jp/WordPress_%E3%81%AE%E5%BC%95%E8%B6%8A%E3%81%97 Search Replace DB https://interconnectit.com/products/search-and-replace-for-wordpress-databases/ Search Replace DBはとても便利なツールですが、データベースのユーザ名/パスワードを 入力すること
先日OWASP Top 10の最新リリースである2017版が正式に公開されました。 OWASP Top 10 - 2017 [PDF] OWASP Top 10 2017の公開に向けては、RC1が公開された際に議論百出した後いったん破棄されるなど波乱の幕開けとなりましたが、その後別メンバーにて作成されたRC2の内容で正式版として公開されたようです。 OWASP Top 10は多く企業にてガイドラインとして使われていると思いますし、PCI DSSなどの別の標準から参照されていますので、脆弱性診断サービスの内容がOWASP Top 10 2017にどのように対応するかは関心のある方が多いと思います。本稿では、弊社脆弱性診断サービスがOWASP Top 10 2017にどのように対応するかについて説明します。弊社診断サービスには、簡易なものから順に以下のものがあります。詳しくは弊社ウェブサイトを
脆弱性診断においてApacheのバージョンを外部から調べる方法を複数の専門家がブログ記事に書いておられます。 Apache HTTP Serverのバージョンを当てる方法 僕が調べたApacheバージョン判定の小ネタ いずれも大変興味深いものですが、ApacheでできるのであればPHPはどうだろうかと気になる方も多いと思います。これは人間の自然な感情だと思うのです。 このあたり、各診断会社の「秘伝のタレ」みたいなところもあるのでしょうが、私からも少し知見を披露したいと思います。 タイトルにも書いたように、診断文字列を打ち込まずに、言い換えれば、通常のウェブ閲覧の範囲で分かること、さらに言えばHTTPレスポンスヘッダから分かることについて書きます。こういうと、「X-Powered-Byヘッダを見れば一目瞭然www」みたいな反応も考えられますが、そういう自明なものは対象外とします。 (1) キ
こんにちは。HASHコンサルティングの一ノ瀬太樹です。 前回の記事では「弊社のWordPressに対する取り組み(by HASHコンサルティング 松本)」について書かせて頂きました。 HASHコンサルティングでは日々増えていくWordPressサイトのセキュリティ対策に貢献するべく、 WordPressサイトのセキュリティ強化支援サービスを展開させて頂いております。 https://www.hash-c.co.jp/service/wordpress_security/ さて、このブログを読んでいる方の中には既にご存知の方もいらっしゃると思いますが、 弊社は2016/9/30にコーポレートサイトをリニューアルしています。 https://www.hash-c.co.jp/ そして、リニューアルされたコーポレートサイトでは 皆様の人柱となるために WordPressが利用されているのです!
こんにちは。HASHコンサルティングの松本隆則です。 今回は弊社のWordPressに対する取り組みについてお話させていただきます。 KUSANAGI Ready プロジェクト HASHコンサルティングは、プライム・ストラテジー株式会社(https://www.prime-strategy.co.jp/)と共に、WordPressの主要なプラグインやテーマを検証し、一定の水準をクリアしているプラグインやテーマを公表する「KUSANAGI Ready プロジェクト」の運営を開始いたしました。 本プロジェクトの詳細については、以下のサイトをご参照ください。 http://ready.kusanagi.tokyo/ WordPressセキュリティ強化サービス ところで、弊社徳丸は、ブログ執筆やイベントでの登壇などの様々な場面でWordPressに関わっています。 WordPressの侵入対策は脆
はじめまして。HASHコンサルティングでエンジニアをしている松本隆則と申します。 弊社一ノ瀬に続き、私もHASHコンサルティング株式会社公式ブログを更新していくことになりましたので、よろしくお願いいたします。 というわけで、従業員の投稿第2弾はHASHコンサルティングの新サービスの話です。 新サービスについて HASHコンサルティング株式会社は、2016年8月24日に「脆弱性検査ハンズオンセミナー with OWASP ZAP」というサービスの開始を発表いたしました。 本サービスは、OWASP ZAPというオープンソースのツールによる脆弱性検査の手法を、ハンズオン形式で解説するセミナーです。 ご参加者のニーズに合わせて、二つのコースをご用意しております。 ウェブ健康診断 with OWASP ZAP OWASP ZAP Maniacs 「ウェブ健康診断 with OWASP ZAP」コース
はじめまして。HASHコンサルティングでエンジニアをしている一ノ瀬と申します。 ご存知の通り、現在HASHコンサルティングは現在も積極的にセキュリティエンジニアを募集しています。従業員も少しずつ増えてきましたので、今回の投稿から弊社の代表である徳丸と共に従業員もHASHコンサルティング株式会社公式ブログを更新していくことになりましたので、よろしくお願いいたします。 というわけで、従業員の投稿第1弾は2016/7/19に公開され話題となったhttpoxyの話です。 httpoxyは警視庁による注意喚起もされており、非常に注目を集めています。 “[PDF] CGI 等を利用するウェブサーバの脆弱性(httpoxy)を標的としたアクセスの観測について - 警察庁 (平成28年7月20日)” https://t.co/DE7LG7MwQC — 徳丸 浩 (@ockeghem) 2016年7月20日
HASHコンサルティング株式会社では、一緒に働く仲間を募集しています。弊社はウェブアプリケーションのセキュリティを専門分野にしていますので、ウェブアプリケーションの開発経験のある方を歓迎いたします。セキュリティの専門知識や経験は、入社いただく時点では必須とはしておりません。 セキュリティの業務経験がない方に対する適性試験として、弊社ではウェブ健康診断仕様にもとづく脆弱性診断の実技体験をしていただいています。実務経験がない方が対象ですので、脆弱性診断のやり方は弊社代表の徳丸が説明いたします。下記は、実技体験に用いるソフトウェアが動いている画面のイメージです。 ウェブ健康診断仕様記載の脆弱性「全部入り」のWebアプリケーション(VMware) ブラウザ(Firefox) Burp Suite Professional 上記はログイン画面でSQLインジェクション検査をしているところで、なにやらエ
4年前にHashDos(Hash Collision Attack)に関する効率的な攻撃方法が28C3にて公開され、PHPを含む主要言語がこの攻撃の影響を受けるため対策を実施しました。しかし、PHP以外の言語が、ハッシュが衝突するデータを予測困難にする対策をとったのに対して、PHPは、GET/POST/COOKIE等の入力データの個数を制限するという対症療法を実施したため、PHPにはHashDosに対する攻撃経路がまだ残っているということは、一部の技術者には知られていました。例えば、以下の様なつぶやきにも見ることができます。 だって、 hashdos 脆弱性の時、 Python とかの言語が、外部入力をハッシュに入れるときに衝突を狙えないように対策したのに、phpだけPOST処理で対策したからね? json を受け取るような口もってるphpアプリのほとんどがhashdos残ってるんじゃない
重要事項説明 本稿は、HASHコンサルティング株式会社が、デジタルインフォメーションテクノロジー株式会社(以下DIT)から依頼を受けて「ウェブアルゴス」を評価し、その結果を執筆した記事広告です。 ウェブアルゴスとは DITのウェブアルゴスが7月1日に発売された。ウェブアルゴスは以下の様な特徴を持つ改ざん検知ソフトウェアだ。 バッチ検査ではなくリアルタイム検知が可能 検知だけではなく修復も可能 改ざん後のファイルを保全する監査機能 最近のインターネットを取り巻く状況のなかで、Webサイト改ざん事件の多発は目立つところであり、筆者も以下のブログ記事で紹介したように、Tripwire(オープンソース版)とinotifywaitというLinuxコマンドを用いたリアルタイム改ざん検知の仕組みを自社のWebサイトに導入している。 多発するWeb改ざんに備えてinotifywaitによる改ざん検知を導入
弊社のホームページにCSP(Content Security Policy)を導入しました。CSPについては、はせがわようすけ氏のスライド「5分でわかるCSP」がわかりやすいと思います。以下にスライドの一部を引用します。 具体的には、以下のように指定して使います。 Content-Security-Policy: default-src 'self' この結果、以下のようにJavaScriptの記述が制限されます。 外部のJavaScriptの読み込みは禁止 HTMLソースに記述した<script>...</script>のJavaScriptは禁止 イベント属性(onload="xxxx"など)は禁止 何も書けなくなるじゃないかと思われるかもしれませんが、JavaScriptは全て*.jsファイルに記述すればよい、ということです。 CSPは、JavaScriptのコードとデータを分離して
8月29日バラクーダネットワークスジャパン株式会社の「企業公開サイトのセキュリティ対策セミナー」にて講演致します。まだ若干お席があるようですので、ご案内いたします。 日時:2013年8月29日(木曜日)14:30~16:45(徳丸の出番は14:30~15:15) 場所:ウィンク愛知(愛知県産業労働センター)愛知県名古屋市中村区 費用:無料(申し込みはこちら) 講演タイトル:事例に学ぶWebサイト侵入事件手口と効果的な対策について 場所は名古屋駅から徒歩5分のところだそうで、名古屋近辺の皆様にお目にかかれることを楽しみにしています。 講演の内容は、最近の侵入事例や侵入に多く用いられている攻撃手法を題材として、侵入のメカニズムと防御の基本的な考え方を説明いたします。 講演概要: Webサイトへの侵入事件のトレンド 侵入経路は2種類しかない 侵入の手口と対策 phpMyAdminの脆弱性による侵
このエントリは弊社メールマガジンの第一号(2012年4月27日発行)の記事の転載です。入力フォームをSSLにしないことの問題が話題となっていますので、読者の参考のため公開するものです。 この件に関連して、私はtwitterで以下のようにつぶやきました。 こう説明すれば良い。『通信内容は、正常時には暗号化されますが、攻撃により暗号化が回避される可能性があります。攻撃を受けていないときは暗号化され、個人情報はもれないので、ご安心ください』 https://twitter.com/ockeghem/status/285230605359276032 当然ながら、攻撃を受けていない状況では暗号化は必要ないわけで、上記の「ご安心ください」は無意味です。入力フォームをSSLにしないというのは、つまりそういうことです。 twitterを見ておりましたら、gree.jpのIDとパスワード入力画面がSSLで
(2013/08/29)追記 ロリポップ上のWordPressが不正アクセスされる事例が増えているようです(参考)。現時点で侵入経路等は明らかでありませんが、以下に説明する方法で、公開ページに対するSQLインジェクション攻撃や、管理コンソールに対する不正ログインに対しては、かなり効果があると考えられます。ユーザーの参考になれば幸いです。また、タイトルを変更しました。 追記終わり 今年の9月27日から、ロリポップのレンタルサーバーの全プランで、WAF(SiteGuard Lite)が標準装備されるようになりました。 WAF(ウェブアプリケーションファイアウォール)を導入いたしました ロリポップ!レンタルサーバーはWAF標準装備です。 http://lolipop.jp/waf/より引用 これは大変良いことですね。インターネット上のすべてのサイトが攻撃の対象ですし、被害も増えている印象がありま
HASHコンサルティング株式会社では、このたび無償メールマガジン(以降、メルマガと表記)を創刊することに致しました。セキュリティや弊社代表徳丸浩に関する記事を、ほぼ毎月(努力目標)お届けいたします。 第1回の発行(送信)は四月末頃を予定しています。 購読希望の方は、下記から申し込みをお願いいたします。 メールマガジン申し込みページ ■発行内容 予定しているコンテンツは下記となります。毎号すべてのジャンルが含まれる訳ではありません。コンテンツの内容は予告なく変更する場合があります。 ◎徳丸の動静 徳丸の講演予定などをお知らせします。この情報は他のメディア(ブログやtwitter)でも発信します。 ◎セキュリティ解説コラム 徳丸浩の日記に書いているような解説記事です。 ◎脆弱性情報の解説 Japan Vulnerability Notes(JVN)等に公表された脆弱性から、徳丸の気になったもの
SiteGuard Liteはシグネチャ検査に特化することで価格を下げた廉価版と言うことになります。 インストール SiteGuard Liteは商用製品ですのでバイナリでの提供となります。Red Hat Enterprise Linux 4/5/6あるいはCentOS 4/5/6が動作可能ディストリビューションとなっています。筆者としてはUbuntu上でも動作確認してもらえるとありがたいと思いましたので、JP-Secure社にはそう要望しています。 rpmによるインストールは基本的には以下の3コマンドです。 # rpm -Uvh siteguardlite-1.00-beta.i386.rpm # cd /opt/jp-secure/siteguardlite/ # ./setup.sh 最後のsetup.shはApacheの各種パスなどを指定するものです。その他、SE Linux用のポ
► 2020 (4) ► 9月 (1) ► 7月 (1) ► 6月 (1) ► 1月 (1) ► 2019 (3) ► 5月 (1) ► 3月 (1) ► 2月 (1) ► 2017 (4) ► 11月 (1) ► 9月 (1) ► 5月 (1) ► 4月 (1) ► 2016 (5) ► 11月 (1) ► 10月 (1) ► 9月 (1) ► 7月 (1) ► 3月 (1) ► 2015 (2) ► 10月 (1) ► 7月 (1) ► 2014 (1) ► 8月 (1) ► 2013 (2) ► 12月 (1) ► 8月 (1) ► 2012 (11) ► 12月 (2) ► 10月 (1) ► 6月 (2) ► 5月 (1) ► 4月 (3) ► 3月 (1) ► 1月 (1) ▼ 2011 (2) ▼ 10月 (1) 10月14日YAPC::ASIA Tokyo2011でトークし
► 2020 (4) ► 9月 (1) ► 7月 (1) ► 6月 (1) ► 1月 (1) ► 2019 (3) ► 5月 (1) ► 3月 (1) ► 2月 (1) ► 2017 (4) ► 11月 (1) ► 9月 (1) ► 5月 (1) ► 4月 (1) ► 2016 (5) ► 11月 (1) ► 10月 (1) ► 9月 (1) ► 7月 (1) ► 3月 (1) ► 2015 (2) ► 10月 (1) ► 7月 (1) ► 2014 (1) ► 8月 (1) ► 2013 (2) ► 12月 (1) ► 8月 (1) ► 2012 (11) ► 12月 (2) ► 10月 (1) ► 6月 (2) ► 5月 (1) ► 4月 (3) ► 3月 (1) ► 1月 (1) ▼ 2011 (2) ► 10月 (1) ▼ 9月 (1) 9月10日PHPカンファレンス2011で講演
このページを最初にブックマークしてみませんか?
『EGセキュアソリューションズオフィシャルブログ』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く