- 1. 備忘録 – NIST 800-90Aで規定されている CTR-DRBG を読み解く(途中)
- 2. SHA-1の新しい脆弱性について(2020/01/07報告)
- 3. 【初学者向け】セキュリティ対策入門①〜XSS編〜
- 4. WordPress サイトを構築するときに確認したい項目
- 5. 【AWS】AWSのセキュリティー
- 6. リバースエンジニアリングって何?ハッキング入門してみる
- 7. CSSLP(Certified Secure Software Lifecycle Professional)に合格するために実施したこと
- 8. 【初学者向け】セキュリティ対策入門⓪〜環境構築編〜
- 9. 脆弱性情報をAWS Lambdaで取得してみたら
- 10. CEH(Certified Ethical Hacker)に合格するために実施したこと
- 11. IPsecについて
- 12. 偽のサイトにアクセスしようとしています@PaizaCloud
- 13. SORACOM Harvest Files内にDebianのリポジトリを構築する
- 14. 商業登記に基づく電子認証制度のルート証明書の更新頻度が3年に1回に削減
- 15. サーバーレスやられアプリを使った脆弱性診断ハンズオン
- 16. Windows7 サポート期限後の安全運用方法
- 17. 平成のうちにやめたかった『ITの7つの無意味な習慣』
- 18. SOPHOS Cloud OptixでGKEの設定がアンセキュアなものをあぶり出す
- 19. 脱獄検知回避アプリを解析する Liberty lite
- 20. 【セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方】本の感想(Web問題)
備忘録 – NIST 800-90Aで規定されている CTR-DRBG を読み解く(途中)
組み込み向け案件で、セキュリティ周りでCTR-DRBGを使う場面がでてきたので、調べがてらメモを残してみる。
# 想定読者
CTR-DRBGを使う場面に直面しているが、原文読むのがつらい人向け(要は自分という・・・)。
前提知識と心構えをざっくりと:
+ 情報工学の基礎知識がある(ビット演算とか)
+ 真性乱数と疑似乱数の違いが説明できる
+ AES(Advanced Encryption Standard)を知っている
+ セキュリティに対するアレルギーがない(Web系のセキュリティ知識は不要)# この記事の使いかた
原文を読む際の手助けとしての利用を想定しています。(本記事だけでは情報が不足していますので原文を合わせて読んでください。)
※間違っていても責任はとれません。参考文献を頭から読まずに、さらに斜め読みしているので色々抜けてるかもです。
間違いがありましたら指摘いただけると助かります!
# 参考文献(原文)
+ [NIST SP 800-38A (Recommendation for Block Cipher Modes of Operation Me
SHA-1の新しい脆弱性について(2020/01/07報告)
# さらにSHA-1の脆弱性の報告
暗号など、サイバーセキュリティの大家であるブルース・シュナイアー氏のブログによれば、さらにまたSHA-1の脆弱性が発見されたようです。すでに2015年には大きな脆弱性(The SHAppening)が発見され、もはやSHA-1の信用性は地に落ちておりますが、使用頻度が減っているとはいえ、まだまだ使われているところもあります。一応、さらなる注意が必要です。
その記事はコチラ。
https://www.schneier.com/blog/archives/2020/01/new_sha-1_attac.htmlほぼママですが、以下意訳してみました。
# ブルース・シュナイアー氏のブログ記事(翻訳)
## 新しいSHA-1攻撃
SHA-1への新しい実践的な【初学者向け】セキュリティ対策入門①〜XSS編〜
# 前提
## 確認環境
以下と同様です。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜]()## 本シリーズの目的
以下と同様です。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜]()## 本記事の目標
**XSS(クロスサイトスクリプティング)の概要、原因、対策について理解すること**です。
## 本記事を読み進める上での必要事項
以下の内容を終えていることです。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜]()# 概要
## XSS(クロスサイトスクリプティング)とは
**不正なスクリプトを混入・実行させること**です。掲示板などエンドユーザからの入力値をWebページに表示させる機能を持ったWebアプリケーション全般で行われる可能性があります。
これだけだとわかりにくいと思いますので実際に見てみましょう。
## 実際に体験してみよう
本シリーズで使うコンテナを起動して
http://localhost:8080/xss/bad.php?name=J
にアクセスしてみましょう。『こんにちは、Jさん』とブラウザに表示され
WordPress サイトを構築するときに確認したい項目
WordPress でサイトを運営する・している場合にセキュリティ観点として確認したい項目
# 最新バージョン
利用している WordPress の世代・バージョンを確認。
WordPress は、最新バージョンの利用を推奨しています。2020年1月8日現在の最新バージョンは、「5.3.2」となっています。公式サイトから確認できますので把握しておきましょう
[リリース | WordPress.org 日本語](https://ja.wordpress.org/download/releases/)# 管理画面
### wp-admin へのアクセス制限
誰もが管理画面にアクセスできる状態になっていないかを確認。
4G回線から “サイトURL/wp-admin” にアクセスください。
そのままログイン画面が表示される場合、アクセス制限がない可能性があります。### admin アカウント
アカウントに “admin”や “administrator”がないかを確認。
乗っ取りのターゲットになり易いアカウントは、利用しないようにする。### ログインURLの変
【AWS】AWSのセキュリティー
# AWSのセキュリティー
**セキュリティーはAWSにとって最重要事項**
## データの保護
– 回復性を備えたインフラストラクチャ
– 高度なセキュリティー
– 強力な安全対策##継続的改善
– 急速なイノベーション
– 絶えず進化するセキュリティーサービス## 従量課金性
– 高度なセキュリティーサービス
– リアルタイムで新たなリスクに対処する
– より低い運用コストでニーズを満たす## コンプライアンス要件への準拠
– ガバナンスで有効になる機能
監督の強化
セキュリティ統制
一元的なオートメーション## AWSの責任共有モデル
– AWSのセキュリティ統制を継承
– コントロールをレイヤー化## セキュリティー製品と機能
– ツール
AWSとパートナーからのアクセス
モニタリングとログの記録に使用## ネットワークセキュリティ
– 組み込みのファイアウォール
– 転送中の暗号化
– プライベート接続/専用接続
– 分散サービス妨害(DDoS)の緩和## インベントリと設定の管理
– デプロイツール
–
リバースエンジニアリングって何?ハッキング入門してみる
# 注意事項
この記事ではクラッキングを助長する意図はありません。
また、この記事で紹介する手法はあくまでも一例です。小学生でも「オレ強い」できるレベルしか紹介する気はありません。
あくまで自分の作ったソフトウェアのセキュリティ向上にお役立てください。
商用ソフトウェアではこの手法はほぼ通用しませんし、改変したソフトウェアを使用することは訴訟リスクにもなりえます。## はじめに
こんにちは。Sohと申します。普段はiOSの脱獄アプリを販売したり、自分の生活を良くするために完全独学でプログラミングしている文系大学生です。
留年し就活のきつさに溺れています。(自業自得)
突然ですが、あなたの作ったソフトウェア、オープンソースでなくてもソースコードを見れるってご存知でした?“`
if (purchased) {
//購入済みの場合の処理
}
else {
//購入していない場合の処理
}
“`
みたいな単純な処理をしていませんか?**これ、簡単にクラックできます。小学生でもできます。**
リバースエンジニアリングって、能動的に勉強しなければ案外知らないことも
CSSLP(Certified Secure Software Lifecycle Professional)に合格するために実施したこと
CSSLP(Certified Secure Software Lifecycle Professional)に合格(2019/12/16)した際に利用した教材と勉強法です。公式トレーニングは受講していません。リーズナブルな金額で入手できる教材と、それを用いた勉強法を紹介します。CSSLPの詳細については[こちら](https://japan.isc2.org/csslp_about.html)を参照。2020/1時点では英語でのテストしかありません。
# 前提条件
これまでの業務で下記のような経験があり、これらはCSSLPに役に立ちそうでした。ネックは運用経験がないこと。
###開発経験
Waterfall、Agileでの開発経験あり。言語はCとJava。テストはUnit TestからRegression Testまで実施。Certified Scrum Master(認定スクラムマスター)。運用経験はなし。
###セキュリティの経験
SAST、DAST、SCA、Fuzzingなどを利用した経験あり。CEH。
###英語
TOEICは800点後半。英語の試験はCEHで経験済み。
【初学者向け】セキュリティ対策入門⓪〜環境構築編〜
# 前提
## 確認環境
– OS: macOS Mojave バージョン 10.14.6
– Docker: version 19.03.2
– docker-compose: version 1.24.1## 本シリーズの目的
**実装時に最低限気を付けた方がいいセキュリティ対策について理解してもらうこと**です。
セキュリティは非常に奥が深い世界です。僕自身セキュリティの全てを完璧に理解しているわけではありません。しかし、プログラミングする上で最低限気をつけるべきことについては知見が溜まってきました。なので、このあたりで放出していきたい所存です。『これさえやればセキュリティ完璧』というより『最低限これは意識しておいた方がいいよ』という温度感で整理できればと考えています。
## 本記事の目標
**本シリーズを通して学習していくための環境構築を終えること**です。
実際にソースコードを見て動かして云々するのが一番だと思っているので、それを行うための環境を構築するまでが本記事で扱う内容です。
## 本記事を読み進める上での必要事項
– ターミナルを最低限操作でき
脆弱性情報をAWS Lambdaで取得してみたら
# 結論から言うと
– 人力で脆弱性情報を収集するのは大変だよ。
– MyJVN APIを使って脆弱性情報を取得してみた。
– ほとんど[こちら](https://dev.classmethod.jp/server-side/os/myjvn-api/)を丸パクリ(真似)させていただいた。# きっかけ
仕事で脆弱性情報(OS、アプリ、NW機器など諸々)とかを収集して、ちゃんと対策しないと駄目だよ〜と言う流れになった。だけど、毎日NVDやJVNやJPCERTやCISCOとかのサイトに順番にアクセスして脆弱性が出ていないか目視でチェックすると言う運用に、いろいろ違和感を覚えたので、なんとかして楽できないかと考えていたところMyJVN APIの存在を知る。
MyJVN APIとは、JVN iPediaの脆弱性情報を検索するためのAPI検索情報を与えることで脆弱性情報の一覧や詳細をXML形式で受け取ることができるらしい。ベンダID、製品名、製品ID、CVSS深刻度、発見日/更新日/発行日などからフィルタリングが出来そう。
ちなみにJVNとは「Japan Vulnerability
CEH(Certified Ethical Hacker)に合格するために実施したこと
CEH v9に合格した際に利用した教材と勉強法です。公式トレーニングは受講していません。リーズナブルな金額で入手できる教材と、それを用いた勉強法を紹介します。CEHの詳細については[こちら](https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/)を参照。
# 前提条件
セキュリティの資格を英語で勉強するのも、英語で受験するのもCEH v9が初めてでした。英語力は TOEIC 800後半くらい。# 最も役に立った教材
学習にあたっては、教材と問題集をバランスよく実施する必要がありますが、私が利用して最も役に立ったと思える教材です。現在はCEHは日本語でも受験ができるのかもしれませんが、教材は英語に良いものが多いですので、それらを紹介します。### [CEH Certified Ethical Hacker All-in-One Exam Guide, Fourth Edition](https://www.amazon.co.jp/Certified-Ethical-Hacker-Guide-Fourt
IPsecについて
## IPsecについて
– ネットワーク層で暗号化や認証を行うプロトコル。
– IPv6では標準プロトコルとして採用されている。
– マルチキャスト伝送はできないので、GREを検討する必要がある。
– 以下のプロトコルから成り立つ。
– AH(Authentication Header)
– ESP(Encapsulated Security Payload)
– IKE(Internet Key Exchange)
– AHは認証のみ、ESPは認証と暗号化の情報が入る。## SA(Security Association)
– IKEによって確立されるコネクションのこと。
– ISAKMP SAが1つ、IPsec SAが2つ。
– SAの確立に先立ち認証方式を決める。(事前共有鍵、公開鍵暗号、デジタル署名)## IPsecの通信
### トランスポートモード
– ホスト間でのIPsec-VPN
– ホストにVPNソフトをインストール必要がある。
– IPヘッダは暗号化されない。のヘッダ部のリンクから[PaizaCloud](https://paiza.cloud/ja/)へアクセスした所、「偽のサイトにアクセスしようとしています」というセキュリティに関するエラーが発生しました。
# ブラウザのエラーメッセージ
Chromeのデベロッパーツールでは、以下のエラーメッセージを確認できました。
どうやらCookieにSameSite属性が正しく設定されていないことが原因のようです。> A cookie associated with a cross-site resource at
was set without the `SameSite` attribute. A future release o
SORACOM Harvest Files内にDebianのリポジトリを構築する
# はじめに
以前の記事[「最強のセキュリティを誇るSORACOM Private Gardenが実用に耐えるかを検証する」](https://qiita.com/1stship/items/47afae52a5fd7ec53315)にて「aptなどのパッケージ管理ツールからのアップデートが出来ないのは難点ですが」と書きましたが、よく考えるとSORACOM Beam使えば簡単に対応できるな、ということに気付きましたので、試してまとめようと思ったのですが、、うまく行かなかったのでSORACOM Harvest Filesにリポジトリを作成する方法にしました。
試行錯誤をそのまま書いているので長いです。最終的な方法だけ知りたい場合は[こちら](#使うコマンド最終版)
# Private Gardenとは
ソラコムサービス以外への通信を遮断することで、IoTに必要な機能はそのままに高いセキュリティを実現する機能です。
詳しい説明はこちらの公式資料
https://dev.soracom.io/jp/docs/private_garden/および過去のブログ
https://qi
商業登記に基づく電子認証制度のルート証明書の更新頻度が3年に1回に削減
# 概要
[法務省のサイト](http://www.moj.go.jp/ONLINE/CERTIFICATION/REGISTRY/registry12.html)によると、従来1年に1回であった、商業登記に基づく電子認証制度のルート証明書の更新頻度が、2019年以降は3年に1回に削減されるとのことです。
これにより、サードパーティ製のソフトウェアを使わずAdobe AcrobatのみでPDFファイルに対して電子署名をする場合に、OCSPレスポンダの署名が毎年切り替わる影響で、毎年証明書を取得し直さざるを得なかった手間が緩和されると思われます。
なお、[e-Gov電子申請](https://www.e-gov.go.jp/)などでは、本記事に記載の方式(PDFファイル自体への署名埋め込み)とは異なる方式で電子署名が行われていますので、本記事の内容は当てはまりません。
# ルート証明書の更新
商業登記に基づく電子認証制度のルートCAは、東京法務局登記官(電子証明書上の`Common Name`は`Registrar of Tokyo Legal Affairs Bureau`)
サーバーレスやられアプリを使った脆弱性診断ハンズオン
セキュリティ診断のハンズオンなどの目的で、敢えて脆弱性を残しているいわゆる”やられアプリ”。
元旦から何やってんだという感じはありますが、折角時間があるので兼ねてから攻略したかった [OWASP Serverless Goat](https://github.com/OWASP/Serverless-Goat) をやっつけていきます。
## [OWASP Serverless Goat](https://github.com/OWASP/Serverless-Goat) とは
OWASP Serverless Goat はイスラエルのセキュリティスタートアップ [PureSec](https://www.puresec.io/) が作成した [The Ten Most Critical Risks for Serverless Applications v1.0](https://github.com/puresec/sas-top-10) に基づいた、サーバーレスアプリケーション固有の脆弱性をわざと埋め込んだ Web アプリケーションです。
以下の教育目的で作成されたものであ
Windows7 サポート期限後の安全運用方法
##要約
サポート期限到来後の端末を安全に運用する方法を考えました。
インターネットから隔離するため、ネットワークアダプタやファイアウォールの設定を変更します。##筆者
インフラエンジニアリング業務に5年間余従事。うちネットワーク構築が3年間半。
直近の業務は、企業の情報システムネットワークにおけるファイアウォールの構築。
令和元年秋期の情報処理安全確保支援士試験に合格。
(その他の情報は[**スキル一覧**](https://kothaka.com/?p=skill)からご覧ください)
Windows 7のサポート期限対応は、情報処理安全確保支援士の題材でありそうな話題であるため、
今回考察してみました。##背景
2020年1月14日(執筆時点の2週間後)を以て、
Microsoftのパソコン用基本OSであるWindows 7の延長サポートが終了する事は、
聞いた事があるかと思います。
[**Windows 7 サポート終了情報**](https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-i
平成のうちにやめたかった『ITの7つの無意味な習慣』
2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。
※ちなみに、諸君のまわりでこれらをすべてやめられている人がいたならば本当に神である、というのが残念ながら今の現状だ。
#【7位】 2要素認証でない「2段階認証」
これは令和元年にセブンペイサービスの停止でだいぶ話題になったので、認識されている諸君も多いかもしれない。話題になったのは大手企業のサービス停止の失態であるが、この記事で注目したいのは使われている用語である。マスコミはあいかわらず「2要素認証」と「2段
SOPHOS Cloud OptixでGKEの設定がアンセキュアなものをあぶり出す
TOPGATEの堤です。
SOPHOS Cloud Optixというセキュリティ製品を試用する機会があったので、紹介させていただきます。これをGCPやGKEで使えるかどうかも含めて検証してみた。
## SOPHOS Cloud Optixとは・・・
英国のセキュリティベンダーであるSOPHOSがリリースしているセキュリティ可視化ツールといったところだろうか。インスタンスの状態はもちろんのこと、リソースの設定に不備があるかどうかなども、SOPHOSのAI技術を使って分析して、その結果をレポートしてくれるツールと理解しています。
GCP以外にも、AWSやAzureにも対応。詳細は公式HPを御覧ください。
https://www.sophos.com/ja-jp/products/cloud-optix.aspx
Cloud Optixは、30日まで無償で試用できるので、興味ある方はぜひ使ってみてください。
## レポート機能を試す
いろんな機能があるが、今回試すものは、構築したインフラやリソースにアンセキュアな設定がないかどうかを自動的に検出する機能「レポート」を試したいと思
脱獄検知回避アプリを解析する Liberty lite
—
typora-copy-images-to: ipic—
執筆途中
本記事では脱獄についての説明は省きます。
## 脱獄者 vs 開発者
今まで脱獄者は開発者にとって無視できない不都合な事象(アプリケーションの解析やチート、海賊版の作成 etc…)をもたらしてきました。これらの行為を防ぐべく、多くの開発者は__脱獄を検知__してアプリケーションの挙動を変えることで対策しました。
脱獄者の中には少なからず_開発者_や_セキュリティリサーチャー_といった類の「職」を持つ人々がいます。そしてこれらの人々の一部(野心的なデベロッパー・ハッカー)にとって脱獄検知という技術は非常に興味深いものであることに間違いありません。彼らもまた、__脱獄検知を回避__するという手段を通じて開発者に対抗しました。
__これは終わらないイタチごっこに違いありません!__
実際、今まで_Cydia_をはじめとした脱獄アプリストアには多くの__脱獄検知回避Tweak__が並んできました。
_Xcon, BreakThrough, FLEX, Liberty, Lib
【セキュリティコンテストチャレンジブック CTFで学ぼう!情報を守るための戦い方】本の感想(Web問題)
お久しぶりです。長岡です。
最近 CTF に興味を持ちまして、その取っ掛かりとして今回タイトルに記載した本を購入しました。CTF って何って方は以下の URL から CTF の概要が確認できますので、ぜひご参照ください。
[CTF(Capture The Flag)とは?概要から基本ルール、メリットデメリットまで徹底解説](https://cybersecurity-jp.com/security-measures/33780#CTFCapture_The_Flag:embed:cite)
今回は現在の職であるアプリケーションエンジニアと近しい「Web 問題」から読みました。各章ごとに学んだことと、感想について書きます。
– [Web 問題とは](#-web-問題とは)
– [任意コード実行系の脆弱性について](#-任意コード実行系の脆弱性について)
– [各種脆弱性の利用](#-各種脆弱性の利用)
– [シェルを取った後の手法](#-シェルを取った後の手法)
– [FLAG がありそうな場所を探してみる](#flag-がありそうな場所を探してみ
