- 1. 午前0時に前日のファイルアクセスログをメールで自動送信する
- 2. 何事にも正しい権限を。あと信じすぎないこと。
- 3. ChromeでDNS over HTTPSを試す方法。
- 4. ウェブサーバに攻撃試行があるけどどうしたらいい?
- 5. 備忘録 – NIST 800-90Aで規定されている CTR-DRBG を読み解く(途中)
- 6. SHA-1の新しい脆弱性について(2020/01/07報告)
- 7. 【初学者向け】セキュリティ対策入門①〜XSS編〜
- 8. WordPress サイトを構築するときに確認したい項目
- 9. 【AWS】AWSのセキュリティー
- 10. リバースエンジニアリングって何?ハッキング入門してみる
- 11. CSSLP(Certified Secure Software Lifecycle Professional)に合格するために実施したこと
- 12. 【初学者向け】セキュリティ対策入門⓪〜環境構築編〜
- 13. 脆弱性情報をAWS Lambdaで取得してみたら
- 14. CEH(Certified Ethical Hacker)に合格するために実施したこと
- 15. IPsecについて
- 16. 偽のサイトにアクセスしようとしています@PaizaCloud
- 17. SORACOM Harvest Files内にDebianのリポジトリを構築する
- 18. 商業登記に基づく電子認証制度のルート証明書の更新頻度が3年に1回に削減
- 19. サーバーレスやられアプリを使った脆弱性診断ハンズオン
- 20. Windows7 サポート期限後の安全運用方法
午前0時に前日のファイルアクセスログをメールで自動送信する
本稿は[【ファイルサーバのアクセスログをPowerShellで取得する】](https://qiita.com/mindwood/items/da5932845548a64a7946)の続編。
今回はコードのみ。監査ログの設定方法については、先の記事を参照して欲しい。次のPowerShellスクリプトをWindowsファイルサーバのタスクスケジューラに登録した。
午前0時になると、前日のファイルアクセスログをZIPファイルに固め、速やかにメールで転送する仕掛けだ。“`powershell:audit_mail.ps1
$endTime = Get-Date -Hour 0 -Minute 0 -Second 0
$startTime = Get-Date $endTime.AddDays(-1)$baseFile = Join-Path ‘E:\log\audit_’ $startTime.ToString(‘yyyyMMdd’)
$csvFile = $baseFile + ‘.csv’
$zipFile = $baseFile + ‘.zip’
if (Test-Pa
何事にも正しい権限を。あと信じすぎないこと。
# はじめに
私はJenkinsおじさんとまでは言わなくても、Jenkinsお兄さんと呼べるぐらいのビルド職人をしていました。そこで気づいたことを書きます。別にJenkinsに関係なくすべてで起きうることだと思います。### Jenkinsについて
JenkinsはCICDを自動化するOSSです。Cサーバーにデプロイしたり、スクリプトを変えたらGitにあげたりを自動化します。
なのでCICDを実現するには様々なgitやサーバーのログイン情報が必要です。しかし、パスワードやログイン情報が誰からも見らるのはよくないことです。なので、Jenkinsの開発者がログイン情報を見ないでジョブを作成するプラグインCredentials Pluginというものがあります。### Credentials Pluginについて
Credentials Pluginをしようするとユーザー名はJenkins画面からわかりますが、パスワードはわかりません。なので、セキュリティ的にはある程度の信頼がおけます。わたしは日々JOB(Jenkinsで自動化する単位の事)をよくわからないプロジェクトをよくわからな
ChromeでDNS over HTTPSを試す方法。
chrome://flags/#dns-over-https
を開いて、Enableに変更
ウェブサーバに攻撃試行があるけどどうしたらいい?
[自前のサーバーでブログを開設した途端、世界中から怪しい攻撃が来た話](https://qiita.com/KMim/items/60c1ce893c09872acd15)にもあるように、EC2インスタンスは常時攻撃にさらされます。
# そもそも攻撃試行が来ないようにしたい
無理です。インターネット上では常時大量のbotたちが脆弱性を探しています。IPアドレスで総当たりで攻撃していると思われるので、インターネット上にサーバがある以上どうしても避けられないと考えるべきです。
攻撃の試行があるのはしょうがないとして、ここではブログを開設するとして、どのように対策したら攻撃が成功しないか考えてみます。いくら攻撃試行があっても、成功しなければログが汚くなるくらいしか影響がありません。
# まずサーバなしでなんとかならないか
サーバを立てること自体
備忘録 – NIST 800-90Aで規定されている CTR-DRBG を読み解く(途中)
組み込み向け案件で、セキュリティ周りでCTR-DRBGを使う場面がでてきたので、調べがてらメモを残してみる。
# 想定読者
CTR-DRBGを使う場面に直面しているが、原文読むのがつらい人向け(要は自分という・・・)。
前提知識と心構えをざっくりと:
+ 情報工学の基礎知識がある(ビット演算とか)
+ 真性乱数と疑似乱数の違いが説明できる
+ AES(Advanced Encryption Standard)を知っている
+ セキュリティに対するアレルギーがない(Web系のセキュリティ知識は不要)# この記事の使いかた
原文を読む際の手助けとしての利用を想定しています。(本記事だけでは情報が不足していますので原文を合わせて読んでください。)
※間違っていても責任はとれません。参考文献を頭から読まずに、さらに斜め読みしているので色々抜けてるかもです。
間違いがありましたら指摘いただけると助かります!
# 参考文献(原文)
+ [NIST SP 800-38A (Recommendation for Block Cipher Modes of Operation Me
SHA-1の新しい脆弱性について(2020/01/07報告)
# さらにSHA-1の脆弱性の報告
暗号など、サイバーセキュリティの大家であるブルース・シュナイアー氏のブログによれば、さらにまたSHA-1の脆弱性が発見されたようです。すでに2015年には大きな脆弱性(The SHAppening)が発見され、もはやSHA-1の信用性は地に落ちておりますが、使用頻度が減っているとはいえ、まだまだ使われているところもあります。一応、さらなる注意が必要です。
その記事はコチラ。
https://www.schneier.com/blog/archives/2020/01/new_sha-1_attac.htmlほぼママですが、以下意訳してみました。
# ブルース・シュナイアー氏のブログ記事(翻訳)
## 新しいSHA-1攻撃
SHA-1への新しい実践的な【初学者向け】セキュリティ対策入門①〜XSS編〜
# 前提
## 確認環境
以下と同様です。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜](https://qiita.com/junkimatsuda/items/b29e496132b7fe596397)## 本シリーズの目的
以下と同様です。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜](https://qiita.com/junkimatsuda/items/b29e496132b7fe596397)## 本記事の目標
**XSS(クロスサイトスクリプティング)の概要、原因、対策について理解すること**です。
## 本記事を読み進める上での必要事項
以下の内容を終えていることです。
[【初学者向け】セキュリティ対策入門⓪〜環境構築編〜](https://qiita.com/junkimatsuda/items/b29e496132b7fe596397)# 概要
## XSS(クロスサイトスクリプティング)とは
**不正なスクリプトを混入・実行させること**です。掲示板などエンドユーザからの入力値をWebページに表示させる機能を持った
WordPress サイトを構築するときに確認したい項目
WordPress でサイトを運営する・している場合にセキュリティ観点として確認したい項目
# 最新バージョン
利用している WordPress の世代・バージョンを確認。
WordPress は、最新バージョンの利用を推奨しています。2020年1月8日現在の最新バージョンは、「5.3.2」となっています。公式サイトから確認できますので把握しておきましょう
[リリース | WordPress.org 日本語](https://ja.wordpress.org/download/releases/)# 管理画面
### wp-admin へのアクセス制限
誰もが管理画面にアクセスできる状態になっていないかを確認。
4G回線から “サイトURL/wp-admin” にアクセスください。
そのままログイン画面が表示される場合、アクセス制限がない可能性があります。### admin アカウント
アカウントに “admin”や “administrator”がないかを確認。
乗っ取りのターゲットになり易いアカウントは、利用しないようにする。### ログインURLの変
【AWS】AWSのセキュリティー
# AWSのセキュリティー
**セキュリティーはAWSにとって最重要事項**
## データの保護
– 回復性を備えたインフラストラクチャ
– 高度なセキュリティー
– 強力な安全対策##継続的改善
– 急速なイノベーション
– 絶えず進化するセキュリティーサービス## 従量課金性
– 高度なセキュリティーサービス
– リアルタイムで新たなリスクに対処する
– より低い運用コストでニーズを満たす## コンプライアンス要件への準拠
– ガバナンスで有効になる機能
監督の強化
セキュリティ統制
一元的なオートメーション## AWSの責任共有モデル
– AWSのセキュリティ統制を継承
– コントロールをレイヤー化## セキュリティー製品と機能
– ツール
AWSとパートナーからのアクセス
モニタリングとログの記録に使用## ネットワークセキュリティ
– 組み込みのファイアウォール
– 転送中の暗号化
– プライベート接続/専用接続
– 分散サービス妨害(DDoS)の緩和## インベントリと設定の管理
– デプロイツール
–
リバースエンジニアリングって何?ハッキング入門してみる
# 注意事項
この記事ではクラッキングを助長する意図はありません。
また、この記事で紹介する手法はあくまでも一例です。小学生でも「オレ強い」できるレベルしか紹介する気はありません。
あくまで自分の作ったソフトウェアのセキュリティ向上にお役立てください。
商用ソフトウェアではこの手法はほぼ通用しませんし、改変したソフトウェアを使用することは訴訟リスクにもなりえます。## はじめに
こんにちは。Sohと申します。普段はiOSの脱獄アプリを販売したり、自分の生活を良くするために完全独学でプログラミングしている文系大学生です。
留年し就活のきつさに溺れています。(自業自得)
突然ですが、あなたの作ったソフトウェア、オープンソースでなくてもソースコードを見れるってご存知でした?“`
if (purchased) {
//購入済みの場合の処理
}
else {
//購入していない場合の処理
}
“`
みたいな単純な処理をしていませんか?**これ、簡単にクラックできます。小学生でもできます。**
リバースエンジニアリングって、能動的に勉強しなければ案外知らないことも
CSSLP(Certified Secure Software Lifecycle Professional)に合格するために実施したこと
CSSLP(Certified Secure Software Lifecycle Professional)に合格(2019/12/16)した際に利用した教材と勉強法です。公式トレーニングは受講していません。リーズナブルな金額で入手できる教材と、それを用いた勉強法を紹介します。CSSLPの詳細については[こちら](https://japan.isc2.org/csslp_about.html)を参照。2020/1時点では英語でのテストしかありません。
# 前提条件
これまでの業務で下記のような経験があり、これらはCSSLPに役に立ちそうでした。ネックは運用経験がないこと。
###開発経験
Waterfall、Agileでの開発経験あり。言語はCとJava。テストはUnit TestからRegression Testまで実施。Certified Scrum Master(認定スクラムマスター)。運用経験はなし。
###セキュリティの経験
SAST、DAST、SCA、Fuzzingなどを利用した経験あり。CEH。
###英語
TOEICは800点後半。英語の試験はCEHで経験済み。
【初学者向け】セキュリティ対策入門⓪〜環境構築編〜
# 前提
## 確認環境
– OS: macOS Mojave バージョン 10.14.6
– Docker: version 19.03.2
– docker-compose: version 1.24.1## 本シリーズの目的
**実装時に最低限気を付けた方がいいセキュリティ対策について理解してもらうこと**です。
セキュリティは非常に奥が深い世界です。僕自身セキュリティの全てを完璧に理解しているわけではありません。しかし、プログラミングする上で最低限気をつけるべきことについては知見が溜まってきました。なので、このあたりで放出していきたい所存です。『これさえやればセキュリティ完璧』というより『最低限これは意識しておいた方がいいよ』という温度感で整理できればと考えています。
## 本記事の目標
**本シリーズを通して学習していくための環境構築を終えること**です。
実際にソースコードを見て動かして云々するのが一番だと思っているので、それを行うための環境を構築するまでが本記事で扱う内容です。
## 本記事を読み進める上での必要事項
– ターミナルを最低限操作でき
脆弱性情報をAWS Lambdaで取得してみたら
# 結論から言うと
– 人力で脆弱性情報を収集するのは大変だよ。
– MyJVN APIを使って脆弱性情報を取得してみた。
– ほとんど[こちら](https://dev.classmethod.jp/server-side/os/myjvn-api/)を丸パクリ(真似)させていただいた。# きっかけ
仕事で脆弱性情報(OS、アプリ、NW機器など諸々)とかを収集して、ちゃんと対策しないと駄目だよ〜と言う流れになった。だけど、毎日NVDやJVNやJPCERTやCISCOとかのサイトに順番にアクセスして脆弱性が出ていないか目視でチェックすると言う運用に、いろいろ違和感を覚えたので、なんとかして楽できないかと考えていたところMyJVN APIの存在を知る。
MyJVN APIとは、JVN iPediaの脆弱性情報を検索するためのAPI検索情報を与えることで脆弱性情報の一覧や詳細をXML形式で受け取ることができるらしい。ベンダID、製品名、製品ID、CVSS深刻度、発見日/更新日/発行日などからフィルタリングが出来そう。
ちなみにJVNとは「Japan Vulnerability
CEH(Certified Ethical Hacker)に合格するために実施したこと
CEH v9に合格した際に利用した教材と勉強法です。公式トレーニングは受講していません。リーズナブルな金額で入手できる教材と、それを用いた勉強法を紹介します。CEHの詳細については[こちら](https://www.eccouncil.org/programs/certified-ethical-hacker-ceh/)を参照。
# 前提条件
セキュリティの資格を英語で勉強するのも、英語で受験するのもCEH v9が初めてでした。英語力は TOEIC 800後半くらい。# 最も役に立った教材
学習にあたっては、教材と問題集をバランスよく実施する必要がありますが、私が利用して最も役に立ったと思える教材です。現在はCEHは日本語でも受験ができるのかもしれませんが、教材は英語に良いものが多いですので、それらを紹介します。### [CEH Certified Ethical Hacker All-in-One Exam Guide, Fourth Edition](https://www.amazon.co.jp/Certified-Ethical-Hacker-Guide-Fourt
IPsecについて
## IPsecについて
– ネットワーク層で暗号化や認証を行うプロトコル。
– IPv6では標準プロトコルとして採用されている。
– マルチキャスト伝送はできないので、GREを検討する必要がある。
– 以下のプロトコルから成り立つ。
– AH(Authentication Header)
– ESP(Encapsulated Security Payload)
– IKE(Internet Key Exchange)
– AHは認証のみ、ESPは認証と暗号化の情報が入る。## SA(Security Association)
– IKEによって確立されるコネクションのこと。
– ISAKMP SAが1つ、IPsec SAが2つ。
– SAの確立に先立ち認証方式を決める。(事前共有鍵、公開鍵暗号、デジタル署名)## IPsecの通信
### トランスポートモード
– ホスト間でのIPsec-VPN
– ホストにVPNソフトをインストール必要がある。
– IPヘッダは暗号化されない。のヘッダ部のリンクから[PaizaCloud](https://paiza.cloud/ja/)へアクセスした所、「偽のサイトにアクセスしようとしています」というセキュリティに関するエラーが発生しました。
# ブラウザのエラーメッセージ
Chromeのデベロッパーツールでは、以下のエラーメッセージを確認できました。
どうやらCookieにSameSite属性が正しく設定されていないことが原因のようです。> A cookie associated with a cross-site resource at
was set without the `SameSite` attribute. A future release o
SORACOM Harvest Files内にDebianのリポジトリを構築する
# はじめに
以前の記事[「最強のセキュリティを誇るSORACOM Private Gardenが実用に耐えるかを検証する」](https://qiita.com/1stship/items/47afae52a5fd7ec53315)にて「aptなどのパッケージ管理ツールからのアップデートが出来ないのは難点ですが」と書きましたが、よく考えるとSORACOM Beam使えば簡単に対応できるな、ということに気付きましたので、試してまとめようと思ったのですが、、うまく行かなかったのでSORACOM Harvest Filesにリポジトリを作成する方法にしました。
試行錯誤をそのまま書いているので長いです。最終的な方法だけ知りたい場合は[こちら](#使うコマンド最終版)
# Private Gardenとは
ソラコムサービス以外への通信を遮断することで、IoTに必要な機能はそのままに高いセキュリティを実現する機能です。
詳しい説明はこちらの公式資料
https://dev.soracom.io/jp/docs/private_garden/および過去のブログ
https://qi
商業登記に基づく電子認証制度のルート証明書の更新頻度が3年に1回に削減
# 概要
[法務省のサイト](http://www.moj.go.jp/ONLINE/CERTIFICATION/REGISTRY/registry12.html)によると、従来1年に1回であった、商業登記に基づく電子認証制度のルート証明書の更新頻度が、2019年以降は3年に1回に削減されるとのことです。
これにより、サードパーティ製のソフトウェアを使わずAdobe AcrobatのみでPDFファイルに対して電子署名をする場合に、OCSPレスポンダの署名が毎年切り替わる影響で、毎年証明書を取得し直さざるを得なかった手間が緩和されると思われます。
なお、[e-Gov電子申請](https://www.e-gov.go.jp/)などでは、本記事に記載の方式(PDFファイル自体への署名埋め込み)とは異なる方式で電子署名が行われていますので、本記事の内容は当てはまりません。
# ルート証明書の更新
商業登記に基づく電子認証制度のルートCAは、東京法務局登記官(電子証明書上の`Common Name`は`Registrar of Tokyo Legal Affairs Bureau`)
サーバーレスやられアプリを使った脆弱性診断ハンズオン
セキュリティ診断のハンズオンなどの目的で、敢えて脆弱性を残しているいわゆる”やられアプリ”。
元旦から何やってんだという感じはありますが、折角時間があるので兼ねてから攻略したかった [OWASP Serverless Goat](https://github.com/OWASP/Serverless-Goat) をやっつけていきます。
## [OWASP Serverless Goat](https://github.com/OWASP/Serverless-Goat) とは
OWASP Serverless Goat はイスラエルのセキュリティスタートアップ [PureSec](https://www.puresec.io/) が作成した [The Ten Most Critical Risks for Serverless Applications v1.0](https://github.com/puresec/sas-top-10) に基づいた、サーバーレスアプリケーション固有の脆弱性をわざと埋め込んだ Web アプリケーションです。
以下の教育目的で作成されたものであ
Windows7 サポート期限後の安全運用方法
##要約
サポート期限到来後の端末を安全に運用する方法を考えました。
インターネットから隔離するため、ネットワークアダプタやファイアウォールの設定を変更します。##筆者
インフラエンジニアリング業務に5年間余従事。うちネットワーク構築が3年間半。
直近の業務は、企業の情報システムネットワークにおけるファイアウォールの構築。
令和元年秋期の情報処理安全確保支援士試験に合格。
(その他の情報は[**スキル一覧**](https://kothaka.com/?p=skill)からご覧ください)
Windows 7のサポート期限対応は、情報処理安全確保支援士の題材でありそうな話題であるため、
今回考察してみました。##背景
2020年1月14日(執筆時点の2週間後)を以て、
Microsoftのパソコン用基本OSであるWindows 7の延長サポートが終了する事は、
聞いた事があるかと思います。
[**Windows 7 サポート終了情報**](https://www.microsoft.com/ja-jp/windows/windows-7-end-of-life-support-i
