- 1. [Python]Pythonとセキュリティ – ①Pythonとは
- 2. 開いているファイル セキュリティの警告 このファイルを実行しますか? このファイル開く前に常に警告する の再表示には Zone.Identifier
- 3. 複雑なS3BucketPolicyの設計
- 4. 牛角サブスクの脆弱性
- 5. VPC (Virtual Private Cloud) ~ AWS学習メモ ~
- 6. 構造化データの読み込みにまつわる問題 〜evalインジェクション〜
- 7. セキュリティのあれこれ
- 8. [月次配信] 月次攻撃サービスの統計及び分析 – 2020年1月
- 9. NXP SE050検証(証明書読み出し)(NXP SE050 cerificate extraction by using ESP32)
- 10. ChromeのみBad Requestで特定ページが開けない問題
- 11. DDoS攻撃に対処する WAF サンドイッチ構成とは
- 12. NXP SE050検証(ESP32へのポーティング編)(Porting NXP SE050 to ESP32)
- 13. NXP SE050検証(環境構築編)(prepare for testing NXP SE050)
- 14. NXP SE050検証(概要編)(Overview of Testing NXP SE050)
- 15. セキュリティマネジメントの勉強-サイバー攻撃手法
- 16. セキュリティマネジメントの勉強-不正と攻撃のメカニズム
- 17. ChromeでCORSエラー発生時の対処法
- 18. ハッキング・ラボの作り方 – Kali Linux(2020.1) VirtualBox 64-bit編 その2-
- 19. Gigazineさんの「中国製ネットワークカメラに管理者権限を奪取できるバックドアの存在が報告される」を見て慌ててしまったでござる
- 20. ハッキング・ラボの作り方 – Kali Linux(2020.1) VirtualBox 64-bit編 –
[Python]Pythonとセキュリティ – ①Pythonとは
#概要
Pythonは1991年に発表されたインタプリタ形式のプログラミング言語で、オランダ出身のプログラマ「Guido van Rossum(グイド・ヴァンロッサム)」によって開発された。
2020年1月を基準として最新バージョンは、Python2「2.7.17」、Python3「3.8.1」である。2008年の末から、Pythonは「バージョン2」と「バージョン3」に分かれて使用されている。Python2とPython3はお互いに互換ができないところも多いため、プログラムを作る際に、二つのバージョンのうち、一つ選ぶ必要がある。Python2は2020年4月に「2.7.18」が公開された後は公式な技術サポートは終了される。また、Python3から新たにサポートされるライブラリや脆弱性なども修正されているため、Pythonを習い始めようとしているのであれば、Python3をお勧めする。#Pythonのメリット
###容易性
Pythonの一番のメリットは簡単で、だれでもすぐプログラムが作れる容易性である。下記で「Hello World」を出力する例を、CとPython言語で作って
開いているファイル セキュリティの警告 このファイルを実行しますか? このファイル開く前に常に警告する の再表示には Zone.Identifier
本の[売上げスリップ](https://ja.wikipedia.org/wiki/%E5%A3%B2%E4%B8%8A%E3%82%B9%E3%83%AA%E3%83%83%E3%83%97)や帯を捨てられない[^1]人間です。
>
>[Windows7:開いているファイル セキュリティの警告 を非表示にしたい-教えて!HELPDESK](http://office-qa.com/win/win142.htm)# 再表示方法
notepad "解除したファイル:Zone.Identifier"
を実行し、新規ファイルを作成して“`
[ZoneTransfer]
ZoneId=3
“`
を記述して保存。ダウンロード時にこのファイルが作成され、警告を解除したときにこのファイルが削除されるようである。
したがって、**
複雑なS3BucketPolicyの設計
# 概要
ポリシー厳しめのS3バケットを作成したいときに、S3BucketPolicyを設定すると思います。
今回はS3BucketPolicyを設定時に、`DenyPolicy`かつ`Not〜`を利用すると理解に苦しむほど複雑になるのでまとめました。
また、CloudFormationを利用してBucketPolicyを作成した事例になります。# 背景
上記ではポリシー厳しめと書きましたが、具体的にはいくつかのポリシーが必要になりました。– セキュアな情報を格納するため、許可ではなく明示的に拒否しセキュリティレベルを高めたい
– ある特定の操作(Action_B)のみ許可するようにしたい
– あるユーザー(User_C)のみ操作を許可するようにしたい
– あるAssumeRole(RoleID_D)にスイッチした場合のみ許可するようにしたい参考ですが、想像しやすいようにより具体的に例をあげると
– 個人情報を含むデータを格納するため、セキュリティレベルは高い必要がある
– 改ざん、閲覧は禁止のなので、PutObjectのみ許可したい、Get、List、Deleteなどは
牛角サブスクの脆弱性
牛角サブスクに22日通った。
その中で、色々な脆弱性が見受けられたため、詳しく書く。※この記事で紹介する脆弱性を実際に突いてサービスを不正利用すると、詐欺罪に問われる可能性があるので、絶対にやらないこと。また、この記事は啓蒙を目的としており、システムの悪用を推奨していない。
最初に、牛角サブスクのシステムについて説明する。
・monster pass というサービスに登録し、クレカでサブスクパスに課金する。
・店でパスの画面を見せる。画面には1日1回だけ押せるボタンがあり、ボタンを店員の目の前で押すことで、サービス権を行使する。店員は伝票にサブスクと打ち、サービス開始となる
・最後にレジで会計するが、サブスク対象メニューの代金はすべて0円となる。追加メニューなどはここで普通に支払うこのシステムだが、はっきり言ってザルザルのザルすぎて、正直金をとって運用するレベルに達していない。
##本人確認の不徹底
monster pass には名前や顔写真の入力項目があるが、未設定でも店員からは一度も咎められなかった。プロフが未設定だと店員には客の本人確認ができない。これにより、
VPC (Virtual Private Cloud) ~ AWS学習メモ ~
#VPCとは?
AWS上に仮想的なネットワークを構築しプライベートなクラウド環境を提供するサービス。
VPC領域を作成するとネットワークをEC2インスタンスなどを作成することができる。##VPCの構成要素
構成の順番
1.AWSクラウド → 2.リージョン → 3.VPC → 4.アベイラビリティ―ゾーン
→ 5.VPCサブネット(Public Subnet、Private Subnet)
##サブネット
・サブネットVPC内に構成するネットワークセグメントのことで、1つのVPCに対して1つ以上のサブネットで構成される。
・Public Subnet、Private Subnetの違い【Public Subnet】
インターネットと直接通信を行う目的で作成されたサブネット
構造化データの読み込みにまつわる問題 〜evalインジェクション〜
XMLやJSONなどの構造を持つデータを保存や送受信できるように変換することをシリアライズと呼ぶ。
シリアライズは配列データを配列データとして保存できたりなど、配列の要素や構造が動的に変化するデータを扱う際などに使用される。
ここではシリアライズに関する脆弱性の一つであるevalインジェクションについて記載する。#概要
プログラム言語にはevalと呼ばれる関数・機能があり、これは文字列(各言語のコード)を式として評価したのものである。
evalは使い方によって外部から送り込んだスクリプトが実行されることがある。
それをevalインジェクション攻撃と言い、そのような攻撃を受ける脆弱性をevalインジェクション脆弱性と呼ぶ。###evalの例
**JavaScript**[(MDN)](https://developer.mozilla.org/ja/docs/Web/JavaScript/Reference/Global_Objects/eval)
>eval(string)**PHP**[(php.net)](https://www.php.net/manual/ja/fu
セキュリティのあれこれ
セキュリティ系の知識を付けようと思い、「徳丸浩のWebセキュリティ教室」を読んでみたのでメモ。
**脆弱性とバグ**
脆弱性の定義:悪用可能なバグ
脆弱性があると、「できないはずことができる」
バグがあると、「できるはずのことができない」**バッファーオーバーフロー**
コンピュータのメモリ(システムバッファ)をオーバーさせて、意図しない動作をできるようにしてしまう。**ガンブラー攻撃**
FTPアカウントなどを乗っ取り、webサイトを改ざんする。**パスワードリスト攻撃**
脆弱なwebサイトから入手したユーザーIDとパスワードを使って、攻撃対象のサイトでログインを試行する
責任の所在
パスワードを複数サイトで使い回し→利用者に責任
パスワードに使える文字の種類を制限→サイト側に責任**ブルートフォース攻撃**
ユーザーID固定で、パスワードを変更してログインを試行する。**リバースブルートフォース攻撃**
パスワードを固定、ユーザーIDを変更してログインを試行する。ブルートフォース攻撃の逆。
例:JAL、ANAの不正ログイン**クロスサイトリクエストフォー
[月次配信] 月次攻撃サービスの統計及び分析 – 2020年1月
#はじめに
株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。#月次攻撃サービス(ポート)TOP 10
2020年1月の一か月間収取されたイベントの分析結果、Oracle(TCP/1521)ポートを利用したイベントが上昇している。その他、DNS(TCP/53)、MS-SQL-S(TCP/1433)を利用したイベントの内容は下落した。全体的なイベントの件数は増加しており、HTTP(TCP/80)ポートの件数増加の影響だと判断される。| 順位 | サービス(ポート) | 比率(%) |
|:—-:|:———————:|:——-:|
| 1 | HTTP(TCP/80) | 53.23% |
| 2 |
NXP SE050検証(証明書読み出し)(NXP SE050 cerificate extraction by using ESP32)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#メーカー出荷時設定の証明書#
下記によると メーカーからクラウド登録用のキーペアと証明書がデバイスに登録されているとのこと。
https://www.nxp.com/docs/en/application-note/AN12436.pdf今回使用しているデバイスがSE050(C)になるので
Table 8. Variant Cの項目を確認する。以下の5種類のキーペアと証明書が格納されている。
IoT Connectivity(ECC256)
Cloud Onboarding RSA(RSA2048)
Cloud Onboarding ECC(ECC256)
Attestation, proof of or
ChromeのみBad Requestで特定ページが開けない問題
初めて投稿します。
至らぬところがあればご指摘いただけると幸いです。先日タイトルの通り、ChromeのみBad Requestが表示される問題に直面しました。
その際、クリティカルに解決する記事等がなかったので、同様の悩みを抱える同志がいたら救いになればと思い書きます。
# 結論
Apacheの設定に問題がありました。“`conf:httpd.conf
LimitRequestFields 20 #これを削除
“`
[こちら](https://qiita.com/bezeklik/items/1c4145652661cf5b2271)の記事を参考にインスタンスのセキュリティ対策をしていたのですが、私の関わるWebアプリでは、特定のページのみ、この`LimitRequestFields 20`をChromeだとぎりぎり超えてしまうら
DDoS攻撃に対処する WAF サンドイッチ構成とは
## はじめに
– Solution Architect の勉強で出てきた問題に WAF サンドイッチのアーキテクチャができてたのでその理解のため
– 参考にした資料 ([AWS初心者向けWebinar AWS上でのDDoS対策](https://www.slideshare.net/AmazonWebServicesJapan/awswebinar-awsddos)) が 2015 年のものなので、現在ではベストプラクティスではないかもしれないので注意
– ELB を利用している点や、AWS WAF が ALB に適用できるようになっている点などから## DDoS とは
– Distributed Denial of Service Attack のこと
– **ウェブサイトやアプリケーションをエンドユーザーが利用できないようにすることを目的とした攻撃**
– 攻撃者は、これを行うために、ネットワークやその他のリソースを消費するさまざまな手法を用いて、正規のエンドユーザーのアクセスを中断させる
– DoS とは異なり、攻撃者は複数のシステムを使用して標的に対する
NXP SE050検証(ESP32へのポーティング編)(Porting NXP SE050 to ESP32)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#ESP32での動作検討#
SE050はNXP社のプロセッサー、マイコンで動作させるためのドキュメントがそろっている。
[SE050 Documentation内のQuick Start Guide](https://www.nxp.com/products/security-and-authentication/authentication/edgelock-se050-plug-trust-secure-element-family-enhanced-iot-security-with-maximum-flexibility:SE050?tab=Documentation_Tab)には、
ARM Cortex-M4
NXP SE050検証(環境構築編)(prepare for testing NXP SE050)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#環境セットアップ#
前回、選択したNXP SE050C1を使い、まずはデバイス認識ができるかチェックしていく。
[ATECC608Aで実施したArduinoによるデバイス認識方法](https://qiita.com/kmitsu76/items/768d320069d9a2e764fa)を試していく。ESP32-DevkitCを用意しI2Cは100kHzで
SE050をピン21,22に接続する。(Overview of Testing NXP SE050)
#はじめに#
2019/12/14に開かれた IoTSecJPにてお時間をいただき
[セキュアエレメントとIoTデバイスセキュリティ](https://www.slideshare.net/KentaroMitsuyasu1/secure-element-for-iot-device)
と題してお話させていただきました。
その内容をベースにまとめていきたいと思います。#セキュアエレメント比較#
前回迄検証していたATECC608Aと比較してみる。
NXP SE050は幅広い楕円暗号とRSA暗号にも対応できる。
SHAも512まで対応可能。
記憶領域が1.1KB→50KBと大きい容量を扱える。
価格はおよそ5倍(1個単価)
コモンクライテリアEAL6+他の認証を取得しているところが大きい。パッケージの比較。
ATECC608A
[8-pa
セキュリティマネジメントの勉強-サイバー攻撃手法
#サイバー攻撃手法
日々進化してるので最新情報はIPA見てね
https://www.ipa.go.jp/security/##パスワードに関する攻撃
パスワードクラックともいう###ブルートフォース
適当な文字列で総当たり攻撃する。
同じパスワードをいろんなユーザーに対して使うリバースブルートフォースもある###辞書
辞書の用語を順に使ってログイン試行する###スニッフィング
盗聴することでパスワードを知る###リプレイ攻撃
パスワードなどの認証情報を送信しているパケットを取得
それを再度送る事でユーザーになりすます攻撃
暗号化されてても有効なので厄介###パスワードリスト攻撃
他のサイトで拾ったID/パスワードの組み合わせを使って
別サイトにログインを試みる###レインボー攻撃
ハッシュ値に対するパスワードリストをつくっておく(レインボーテーブル)
これをつかってパスワードを推測する##DoS攻撃
Denial of Service attack(サービス不能攻撃)
踏み台を使い、複数端末から一斉に攻撃するのをDDoS(Distributed DoS
セキュリティマネジメントの勉強-不正と攻撃のメカニズム
#不正と攻撃のメカニズム
##不正のメカニズム
不正のトライアングル理論では、人が不正行為を実行するに至るまでの3要素が提唱されている
###機会
不正行為の実行が可能、または環境
全アクセス権限を持っている、など###動機
不正行為を行うための事情
借金があるとか、給料が不当に低いなど###正当化
不正行為を行うための良心の呵責を乗り越える理由の事
お金を盗むのではなく借りるだけ、みたいなやつ##状況的犯罪予防論
英国で提唱されている* 物理的にやりにくい状況を作る
* やると見つかる状況を作る
* やっても割に合わない状況を作る
* その気にさせない状況を作る
* 言い訳を許さない状況を作る犯罪を生じさせる日常的な状況に注目し、日常活動理論というものがある
割れた窓みたいな軽微な不正や犯罪を放置する事でより大きな問題に繋がるという割れ窓理論もある##攻撃者の種類
###スクリプトキディ
自分には技術はないが、公開されているクラッキングツールを使うやつ###ボットハーダー
ボットを統制してサイバー攻撃をするやつ###内部関係者
従業員や業務委託先の社員
ChromeでCORSエラー発生時の対処法
# はじめに
Chrome経由で自作APIを使用した際に、
CORSエラーが発生しました。
下記にその対処方法を記載します。# CORS(Cross-origin resource sharing: クロスオリジンリソース共有)
詳しくは[オリジン間リソース共有 (CORS) – HTTP | MDN](https://developer.mozilla.org/ja/docs/Web/HTTP/CORS)参照。とてもざっくり表現すると、
許可に応じたHTTPリクエストを行い、安全でないHTTPリクエストを制限する仕組み。
クロスサイトリクエストフォージェリ対策等として用いられる。プリフライトリクエストと呼ばれる事前リクエストを送り、
そのレスポンスに応じてリクエストを送る/中止する。# Chrome経由のリクエスト
CORSに則り、以下の流れで
CheromeはHTTPリクエストを送る。
例)POSTリクエスト時
①プリフライトリクエスト(OPTIONS)
↓ 結果がOKなら
②実際のリクエスト(POST)
ハッキング・ラボの作り方 – Kali Linux(2020.1) VirtualBox 64-bit編 その2-
# はじめに
– 『[ハッキング・ラボのつくりかた](https://www.amazon.co.jp/%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%83%BB%E3%83%A9%E3%83%9C%E3%81%AE%E3%81%A4%E3%81%8F%E3%82%8A%E3%81%8B%E3%81%9F-%E4%BB%AE%E6%83%B3%E7%92%B0%E5%A2%83%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%83%8F%E3%83%83%E3%82%AB%E3%83%BC%E4%BD%93%E9%A8%93%E5%AD%A6%E7%BF%92-IPUSIRON/dp/4798155306?ref_=BSellerC&pf_rd_p=60b9563d-076d-5acb-9380-7b29e01d239a&pf_rd_s=merchandised-search-10&pf_rd_t=101&pf_rd_i=542586&pf_rd_m=AN1VRQENFRJN5&pf_rd_r=AEY10
Gigazineさんの「中国製ネットワークカメラに管理者権限を奪取できるバックドアの存在が報告される」を見て慌ててしまったでござる
はじめに
—先日防犯監視用に360度見渡せる電球型ネットワークカメラを購入した。中国製だが、高機能で激安なので、とても満足していた。
だが「[Gigazine – 中国製ネットワークカメラに管理者権限を奪取できるバックドアの存在が報告された](https://gigazine.net/news/20200207-xiongmai-backdoor/)」を見て衝撃が走った。
**中国の企業であるXiongmai製のファームウェアを搭載した一部デバイスが対象**とのこと。
気になったので念の為、調べてみることにした。参考
—– [GitHub – tothi/pwn-hisilicon-dvr](https://github.com/tothi/pwn-hisilicon-dvr)
バックドアを突くことができるプログラム
– [Full disclosure: 0day vulnerability (backdoor) in firmware for HiSilicon-based DVRs, NVRs and IP cameras](https://habr.com
ハッキング・ラボの作り方 – Kali Linux(2020.1) VirtualBox 64-bit編 –
# はじめに
– 『[ハッキング・ラボのつくりかた](https://www.amazon.co.jp/%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%83%BB%E3%83%A9%E3%83%9C%E3%81%AE%E3%81%A4%E3%81%8F%E3%82%8A%E3%81%8B%E3%81%9F-%E4%BB%AE%E6%83%B3%E7%92%B0%E5%A2%83%E3%81%AB%E3%81%8A%E3%81%91%E3%82%8B%E3%83%8F%E3%83%83%E3%82%AB%E3%83%BC%E4%BD%93%E9%A8%93%E5%AD%A6%E7%BF%92-IPUSIRON/dp/4798155306?ref_=BSellerC&pf_rd_p=60b9563d-076d-5acb-9380-7b29e01d239a&pf_rd_s=merchandised-search-10&pf_rd_t=101&pf_rd_i=542586&pf_rd_m=AN1VRQENFRJN5&pf_rd_r=AEY10
