- 1. 2019年に実施したセキュリティ対策
- 2. 文系大学生がMini Hardeningに参加してみた
- 3. SQLインジェクションとその対策(PHP + PDO)
- 4. 【セキュリティ飯】軍用レーションを食べてみた
- 5. 「秘密の質問」のベストプラクティス
- 6. Azure VM(Windows)においてAzure AD認証がパブリックプレビューになったので早速試してみた!
- 7. AWSセキュリティ対策2020
- 8. 気軽に脆弱性を見つけてみよう!
- 9. Googleの脆弱性を見つけてお金を貰うまでの話
- 10. 『情報共有のトライアングル(ジレンマ)』から学ぶ、作業の進め方
- 11. Page Cache Attacks (CVE-2019-5489) について
- 12. VTuberが身を守るためのセキュリティ入門1.パスワード編(非エンジニア向け)
- 13. 2019-2020年家庭向けWindows10におけるウイルス対策ソフトのベストプラクティス
- 14. Firepower Management Center での自動チューニングは本当に正しく動くのか
- 15. 社内の忘年会の余興に使う『謎解き Web アプリ~天使 vs 悪魔~』を開発した(サーバーサイド編)
- 16. golang で Cloud KMS を使って暗号化/復号化をしてみた。
- 17. サイバー攻撃(サイバーテロ)は人を殺しえるか?
- 18. CORS でつまづいた借りを返しにきた
- 19. Azure Key Vault を利用した .env 内の機密情報の管理
- 20. CTF初心者が問題サーバ(web)を構築してみた【回答編】
2019年に実施したセキュリティ対策
世間でも騒がれるほど大きいサイバー攻撃が目立つ年だった2019年ですが、弊社で実施したセキュリティ対策についてまとめておきたいと思います。
## フォームへの不正アクセス対策
Webサービスローンチ直後から、海外のIPアドレスから「お問い合わせフォーム」へ不正なアクセスが繰り返された案件がありました。
即座に対応が求められたため、Googleの reCAPTCHA v3 を導入して解決しました。### reCAPCHA v3
不可視のスコア判定をしてくれるモジュールで、v2の画像認証と比較してエンドユーザーのコンバージョンを落とすことなく導入できます。
導入した画面には reCAPCHAのアイコンが表示されます。
画像認証がないため、ユーザーには優しい反面、スコアや独自のロジックで OK/NG を決めるため、不正なアクセスで
文系大学生がMini Hardeningに参加してみた
#はじめに
現在、東北の大学2年生でリモートでITのスタートアップでアルバイトをしている文系エンジニアの佐藤です。詳しい自己紹介はこちらを参照ください。
(https://qiita.com/RyuseiSato/items/9253a9c4ad735dc5f3cb )#Mini Hardening
今回私はOWASP主催Mini Hardeningに参加してきました!
(https://minihardening.connpass.com/event/152553/ )今回はリモート含めて5つの競技会場があり、私はOWASP FUKUSHIMAが主催する会津会場から参加しました。
Mini Hardeningとは?
>WASForumは、2011年に発足したHardening Projectにより、2012年よりセキュリティ堅牢化の競技会を開催しています。このイベントは、最高の「衛る」技術を持つトップエンジニアを発掘・顕彰するものであり、技術競技(コンペティション)と、全チームの展開したセキュリティ施策の発表会の形式としています。丸一日かけて行われるHardening
SQLインジェクションとその対策(PHP + PDO)
> この記事は、[North Detail Advent Calendar 2019](https://qiita.com/advent-calendar/2019/northdetail) の21日目の記事です。
## はじめに
先日、社内で[「安全なウェブサイトの作り方」](https://www.ipa.go.jp/security/vuln/websecurity.html)を使った読書会が行われました :green_book:
SQLインジェクションについて議題に上がったので、
勉強がてら実際に試してみよう!というのが今回の趣旨になります。## SQLインジェクション?
> SQLインジェクション(英: SQL Injection)とは、
> アプリケーションのセキュリティ上の不備を意図的に利用し、
> アプリケーションが想定しないSQL文を実行させることにより、
> データベースシステムを不正に操作する攻撃方法のこと。
>
> https://ja.wikipedia.org/wiki/SQLインジェクション「Injection」という単語が「注入する」と
【セキュリティ飯】軍用レーションを食べてみた
# はじめに
これは Sansan Advent Calendar 2019 第19日目の記事です。# 食事におけるセキュリティを考える
皆さんこんにちは、Sansanでセキュリティエンジニアをしているものです。
自分はサイバー空間や物理空間におけるセキュリティを日々考えていますが、食事のセキュリティはあまり考えたことがありませんでした。
しかし、歴史を見れば毒殺や食あたりで要人が逝ってしまい歴史が動くこのとも多々あります。
社内のCSIRTメンバーや要人(経営陣・エンジニア・キーマン)などを守ることができる脆弱性の無い食事をどのようにしてとればいいのでしょうか?## セキュリティ飯の要件
以下の二点を満たすことができればセキュアなご飯だといえます…(多分)
1. 可用性:常に食べることができる
2. 完全性:毒を盛られることがない
3. ~~機密性:第三者に知られることがない~~(食事については不要な要素)これらを満たす、セキュリティ飯とはズバリ ***MRE*** でしょう!
 の一節、[Testing for Weak security question/answer (OTG-AUTHN-008)](https://www.owasp.org/index.php/Testing_for_Weak_security_question/answer_(OTG-AUTHN-008)) を参考にしています。
# 「秘密の質問」とは
>秘密の質問(ひみつのしつもん、英語: secret question)またはセキュリティ質問(セキュリティしつもん、英語: security question)は、認証
Azure VM(Windows)においてAzure AD認証がパブリックプレビューになったので早速試してみた!
# はじめに
ついに、Windows OSでもAzure AD認証が利用できるように先日パブリックプレビューになりました!
(Linuxは以前にプレビューしていましたが、私としてはWindowsの方を使いたかったので待っていました笑)記事およびドキュメントは下記となります。
・[Azure AD authentication to Windows VMs in Azure now in public preview](https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Azure-AD-authentication-to-Windows-VMs-in-Azure-now-in-public/ba-p/827840)
・[Sign in to Windows virtual machine in Azure using Azure Active Directory authentication (Preview)](https://docs.microsoft.com/en-us/azure/a
AWSセキュリティ対策2020
[くふうカンパニーアドベントカレンダー](https://qiita.com/advent-calendar/2019/kufu)17日目の記事です。
あなたのサービス、セキュリティ対策万全ですか?
2020年を迎える前に、セキュリティ対策を行う前に脅威や脆弱性についておさらいしてみましょう。
脅威とは、不正アクセスや、サービス妨害、ウィルスなど人間によって引き起こされるものと、災害(地震、台風、火災)など環境によって引き起こされるものに分類されます。その脅威に利用される恐れのある弱点が脆弱性というわけです。脆弱性とは、ソフトウェアやハードウェアの「バグ」や「セキュリティホール」、アクセスコントールの欠如など脆い部分の事を言います。 「脅威」と「リスク」は混同されがちですが、リスクを引き起こす要因が脅威であり、リスクは可能性です。リスクは、脆
気軽に脆弱性を見つけてみよう!
ハイ!どうも皆さん、おはよう!こんにちは!こんばんは!
この季節がやってまいりましたね、[シーエー・アドバンス Advent Calendar 2019](https://qiita.com/advent-calendar/2019/ca-advance)
17日目を担当します、@ihahajimeです。宜しくお願いします!!
シーエーアドバンスに入社しセキュリティのお仕事を始めて1年と2か月くらい、まだまだ修行中です。# はじめに
今回は、自分の経験から**ブラックボックス視点で脆弱性をチェックしてみよう!**という内容となっています。
前職でブラックボックスのソフトウェアテスト[^1]をしていた経験と、今やっている脆弱性診断の経験を掛け合わせて、もっと簡単に脆弱性診断を紹介できればな!と思っています。
フランクな感じでサクッと読んでいただければ幸いです。Take it easy!:santa_tone3:# そもそも脆弱性診断とは
皆さん**脆弱性診断(ゼイジャクセイシンダン)**ってご存じでしょうか?
だじゃくせい?きょじゃくせい?何それおいしいの?って方も、
剛腕セ
Googleの脆弱性を見つけてお金を貰うまでの話
# はじめに
Googleには未発見の脆弱性を報告すると、種類に応じて報奨金が貰える制度「Google Vulnerability Reward Program (VRP)」がある。世のBug bounty hunterたちは、英語を始め様々な”言語”を駆使しているため問題なく報告できるが、偶然にも脆弱性を発見してしまった三流エンジニアは日本語記事が少なく苦労する。そんな人のためと少しの自慢を混ぜてここに記録を置いておく。Google Vulnerability Reward Program (VRP) Rules
https://www.google.com/about/appsecurity/reward-program/## 脆弱性を見つける
2019年10月、以下のGoogleブックスにXSS(クロスサイトスクリプティング)が存在したとの記事を読んだ。やはりネットサーフィンをしていたら
たまたまGoogleのサイトにXSSの脆弱性を見つけたのはまちがっている
http://nootropic.me/blog/blog/2016/09/20/XSS自体、よく知っ
『情報共有のトライアングル(ジレンマ)』から学ぶ、作業の進め方
# はじめに
情報処理安全確保支援士(登録セキスペ)の講習を受講する中で、**情報共有のトライアングル(ジレンマ)**という項目が挙げられており、面白いと思ったので紹介します。**情報共有のトライアングル(ジレンマ)**を理解することで、サイバーセキュリティに限った話ではなく、仕事の進め方全般であったり、不具合対応や資料作成時などに**何を優先し何を優先しないのか**、意識して行動する手助けになリます。
## 情報共有のトライアングル(ジレンマ)とは
以下、日本セキュリティオペレーション事業者協議会 (ISOG-J)より公開されている資料を引用した内容になります。
簡単に言うと、「早さ」、「正確性」、「網羅性」は**いずれかの2つ**しか満たすことができないと言う話になります。>
 について
本記事は[Kobe University Advent Calendar 2019](https://adventar.org/calendars/4690)の15日目の記事です。
# はじめに
この記事の目的は、CCS 2019で発表された、[CVE-2019-5489](https://bugzilla.redhat.com/show_bug.cgi?id=1664110)として登録されている**Page cache attacks[^1]**についてまとめ、実際に簡単なPoCを実装することである。実装したPoCは[Page Cache Side Channel Attacks (CVE-2019-5489) proof of concept for Linux](https://github.com/mmxsrup/CVE-2019-5489)に置いてある。ページキャッシュとは、Linuxカーネルが使うディスクキャッシュ(ディスクに保存されているデータをシステムがRAM上に保存できるようにするソフトウェア機構)のことであり、Paga cache attacksはページキャッ
VTuberが身を守るためのセキュリティ入門1.パスワード編(非エンジニア向け)
この記事は[VTuber Tech #1 Advent Calendar 2019](https://qiita.com/advent-calendar/2019/vtuber)の16日目のエントリです。
## はじめに
VTuberがインターネット上で活動する上で身を守るために気をつけた方がよいセキュリティ知識を紹介します。
内容はVTuberの人に限ったものではありませんが、あえて対象を限定した方が読んでもらいやすいかなと思いました。なお、筆者はエンジニアではありますがセキュリティの専門家ではないということを予めお断りしておきます。
このエントリは公開前に複数のエンジニアに最低限のレビューをして頂きましたが、内容に誤りがある場合はコメントや編集リクエストなどで訂正して頂けると幸いです。# 要約(ここだけでも読んでほしい)
* **VTuberを含む有名人のアカウントは狙われています**
* **パスワードは簡単にしない、同じものを使いまわさない**
* **出来るだけ2段階認証を使おう**
* **連携アプリの利用は慎重に**## パスワードが破られ不正アクセスされる
2019-2020年家庭向けWindows10におけるウイルス対策ソフトのベストプラクティス
## はじめに
もう12月ですし、みなさん家の掃除とかで大変だと思います。
ですがせっかく掃除をしているのなら普段使っているパソコンの掃除もしてみてはどうでしょうか?
そして、普段意識してない今インストールされているセキュリティソフト(特にアンチウイルス、ウイルス対策ソフト)を考え直してみてはいかがでしょうか?
普段セキュリティの業務をこなしている私が2019年-2020年におけるご家庭向けのセキュリティソフトのベストプラクティスをご紹介します。## とりあえずやること
Windows10にインストールしている、
すべてのアンチウイルス・ウイルス対策ソフトをアンインストール。
※オンラインバンキング用のプロテクションソフト等は除く– ノートン
– ウイルスバスター
– マカフィー
– カスペルスキー
– etc…特に、買ったときに入っている評価版のウイルスバスターや、何らかのソフトのインストールと同時にインストールされるマカフィーは使い物になりません。
## ベストプラクティス
### WindowsDefenderを有効にしよう!!!
WindowsDefender
Firepower Management Center での自動チューニングは本当に正しく動くのか
# はじめに
この記事は、Cisco Systems Japan Advent Calendar 2019 の 15日目として投稿しています。
シスコシステムズ合同会社としては 2017年、2018年にも Advent Calendar を公開しており、メーカーの中の人からの発信として約に立つ情報から、ただ単に面白いだけの記事までいろいろと掲載しております。
私もこの「お祭り」に参加し、2018年には、VPN ロードバランスという 20年以上前からある技術の検証記事を書いております。2017年版: https://qiita.com/advent-calendar/2017/cisco
2018年版: https://qiita.com/advent-calendar/2018/cisco
2019年版: https://qiita.com/advent-calendar/2019/cisco# IPS 運用の悩み
境界セキュリティ対策の1つに IPS というソリューションがあります。
Intrusion Prevention System の略で、シグニチャやルールといったパ
社内の忘年会の余興に使う『謎解き Web アプリ~天使 vs 悪魔~』を開発した(サーバーサイド編)
# 概要
この記事は[Nssol2019AdventCalendar](https://qiita.com/advent-calendar/2019/nssol)の14日目の記事です.忘年会で謎解きウェブアプリを作成することになり,そのサーバーサイド(Flask, AWS)を主に扱ったのでハマったポイントやサーバーサイドの構築でやったことを書いていきます.そもそもこのアプリとは?といった話やフロントエンドの話は[こちら](https://qiita.com/ychNext9/items/680519e007d149566095)を参考にしてください.
開発が遅れていて,忘年会会場に行くタクシーの中で最終versionをデプロイしました笑
この記事の目的としては,忘年会のような場で発表するような,ある程度まともにアプリを作ろうとした人がどのような手順で構築したらいいかというのがわかるように書いていきたいと思います.# やったこと
今回,ぼくがやったことは主にAWSによるウェブサーバーの構築とウェブサーバー上で稼働するアプリケーションのサーバーサイドの開発です(下の図のオレンジ色の部分
golang で Cloud KMS を使って暗号化/復号化をしてみた。
こんばんわ! @ktoshi です!
今回は機密な情報をDBなどで保管する際に有効な [Cloud KMS](https://cloud.google.com/kms/) を利用した話です。
昨今、クラウドサービスなどのAPIを利用する機会が増えていると思いますが、その認証情報をどのように保存するかは非常に重要な問題です。
現に私もその問題に少し…いやかなり悩まされました。
そんな折、Cloud KMS というサービスを利用をすることとなりました。# Cloud KMS
暗号鍵をセキュアに管理できるGCPのサービスです。
自動ローテーションやIAMでの権限管理でセキュアなアクセスを実現できる上、APIを利用した暗号化/復号化を行えるので非常に柔軟な利用が可能です。
類似したサービスはAWSの「KMS」や Azureの「Key Vault」などがあります。# Key Ring と Key
Cloud KMS では Key を Key Ring で管理しています。
関係性は字のごとく、鍵と鍵束ですね。
ある程度同じ用途で使用される鍵については同じ Key Ring でまとめておくと
サイバー攻撃(サイバーテロ)は人を殺しえるか?
# 自己紹介
どうもはじめまして。
oxlunaxoと申します。
普段は他人の記事を見るのが中心ですが、
いい加減に記事の一つや二つ書かないと深夜にフィッシングサイトのリンクを貼るスパマーや、怪しい製品の宣伝をするスパムアカウントと同類かなと思い、自分の低レベルのスキルでかける記事がなにか無いかと考えながらと、日課のセキュリティブログを流し見してたときに思いついた記事になります。
内容としては実際の攻撃手法とか説明するのでは無く実際にあった事件等を交え、自身に知識とか還元する目的を兼ねて書いているのでどちらかというと初心者向けになるかと思います。結構タイトルは危ないですが、ガチガチの説明口調ではなく砕いてフランクに書く予定なので身構えなくてもいいです。
その代わり主観も結構入ると思うので、そういうのが苦手な方は戻るボタンが懸命かもしれません。
※コメント等での指摘やこういう事例があるよというリンク等は歓迎します。(記事への反映には時間がかかります。)## キッカケ
まずはこの動画(リンク先youtube)を見ていただきたいです。
[Hacknet – Project Juneb
CORS でつまづいた借りを返しにきた
名著[「安全なアプリケーションの作り方」](https://www.amazon.co.jp/dp/B07DVY4H3M/)をめちゃくちゃ参考にしています
より詳細には [MDN web docs の CORS](https://developer.mozilla.org/ja/docs/Web/HTTP/CORS) などを御覧ください
※ 網羅性を担保できてない部分もありますのでご注意ください筆者は S3 + CloudFront のフロントに API Gateway + Lambda のバックエンドという一般的な 静的な Webアプリを作成した際に Cross-Origin Resource Sharing(以下CORS) にハマりました。
その借りを返すべく調べてみました。# CORS の話に入る前に
Web アプリケーションのセキュリティを語る際に、当然ながら Web アプリそのもののセキュリティ対策は語られますが、実はブラウザも多くのセキュリティ対策を施してくれています。ブラウザが実施する多くの対策のうちの一つが、**クライアントスクリプト(Javascript
Azure Key Vault を利用した .env 内の機密情報の管理
# .env と機密情報
Laravel を利用したプロジェクトは通常 `.env` を使って環境変数を管理しています。`.env` には各種認証情報などを含めることもあると思いますが、それらは Git などのバージョン管理システムに平文で保存するべきではありません。
かと言って、どこにも管理されておらず稼動している環境に置いてあるだけの状態というのも心許無さがあります。そこで [Azure Key Vault](https://docs.microsoft.com/azure/key-vault/basic-concepts) (和名:キー コンテナー)の[シークレット](https://docs.microsoft.com/azure/key-vault/about-keys-secrets-and-certificates#key-vault-secrets)と、Go で書いた簡素な [vaultenv](https://github.com/sensyn-robotics/vaultenv) というツールで、 `.env` に直接機密情報を記述することなく管理できるようにし
CTF初心者が問題サーバ(web)を構築してみた【回答編】
## はじめに
こちらの記事は [CTF初心者が問題サーバ(web)を構築してみた【問題編】](https://qiita.com/fiotto/items/a1830cfae6a1fa121ad9)で作成した、Web問題を解き方を解説します。
問題編の最後に、この問題のリポジトリのリンクもあります。
この記事のように、CFTの問題の解説記事はWriteupというようです。
筆者自身が作成し、筆者自身もCTF初心者のため
普通はそのような発想にはならないだろう等の指摘がありましたら、ご教授いただけると幸いです。## 注意点
こちらの内容ではサイバー攻撃の一部を実際に行うことになります。
実際に攻撃を行うことで、どのような効果があるのかを学ぶことを目的としています。
決して、実際のシステムに攻撃を仕掛けることは行わないようにしてください。## 前提
### この問題サーバでのルール
– フラグの形式は`myctf{フラグ}`となります。
– サーバの中には3つのフラグが隠されています。## 実際に問題を解いてみる
まずは、問題サーバへアクセスする。
