- 1. [月次配信] 月次攻撃サービスの統計及び分析 – 2020年2月
- 2. 自動車の電源・電池と計算機・通信
- 3. 「3分で理解するWEBプログラミングセキュリティ 02」クロスサイトスクリプティングとは?
- 4. Linuxでファイル入出力のログを取りたい
- 5. [Python] Pythonとセキュリティ – ③Pythonで作るSQL Injectionツール
- 6. リモートワーク環境で、危険なURLを検出できているのだろうか
- 7. OmniAuth の `/auth/:provider` で GET を受け付けるのはやめましょう (あるいは CVE-2015-9284 について)
- 8. AWSの多要素認証について
- 9. JavaScriptの問題 「DOM Based Xss / Webストレージの不適切な使用」
- 10. Linuxセキュリテイ対策 ホストの侵入検知(chkrootkit/rkhunter/maldetect)
- 11. ID インフラストラクチャをセキュリティ保護する 5 つのステップを読み解く
- 12. IAMベストプラクティスにほぼほぼ準拠したIAMユーザ・グループ作成と、MFA デバイスの自己管理を許可するポリシーの取り扱い注意点
- 13. AWS Well-Architected Framework「セキュリティ」
- 14. Linuxの監査システム Auditについて理解する
- 15. リモートワークする時に気を付けている事。(自宅編)
- 16. ウェブアクセスをドメイン名で任意のインターネット接続回線へ振分ける(Mac上の仮想マシンに色々試行できるUTM的な環境を作って遊んでみる)
- 17. 新しく利用するドメインやIPアドレスが闇サイトの使いまわしでないことを確認するには
- 18. [月次配信] Oracle WebLogic RCE脆弱性(CVE-2019-2890)の分析及び対応方法
- 19. Gmailを無料で使わせていただいている限り手厚いサポートは受けられないという小話
- 20. DFIR用のツール「Velociraptor」を使用してみる
[月次配信] 月次攻撃サービスの統計及び分析 – 2020年2月
#はじめに
株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。#月次攻撃サービス(ポート)TOP 10
2020年2月の一か月間収取されたイベントの分析結果、先月とほぼ同じ推移でみられている。月次攻撃サービスTOP 10は、全体の件数と比べて減少した。全体的な特異事項はない。| 順位 | サービス(ポート) | 比率(%) |
|:—-:|:———————:|:——-:|
| 1 | HTTP(TCP/80) | 45.75% |
| 2 | DNS(UDP/53) | 18.17% |
| 3 | Microsoft-DS(TCP/445) | 15.12% |
|
自動車の電源・電池と計算機・通信
自動運転系の安全分析をするにあたり、電気自動車の電源・電池と計算機・通信について網羅的な調査を始めるために、
「自動車 複数電池」で検索した。
主な検索結果と、その記事中で参照している一次情報、参考文献などを列記する。
これは、自動車の安全を確保するためには、通信・サーバ、ECU(CPU)などが乗っ取られないことが重要であるが、これまでの安全対策で漏れているところがないかを探す作業の一つである。
#1.
自動車用リチウムイオン電池を活用した 電源システム, 境野 真道, 九州工業大学/日産, 2015
https://kyutech.repo.nii.ac.jp/?action=repository_action_common_download&item_id=4509&item_no=1&attribute_id=16&file_no=1参考文献
[1] (社)次世代自動車振興センター, “電気自動車等保有台数統計(推定値)” [オンライン]. Available: http://www.cevpc.or.jp/tokei/hanbai.html [アクセス日:
「3分で理解するWEBプログラミングセキュリティ 02」クロスサイトスクリプティングとは?
# 3分で理解するWEBプログラミングセキュリティ 02
**3分で理解するWEBプログラミングセキュリティ**
↓↓記事が出来次第Link貼って行きます↓↓
**No.01 SQLインジェクションとは?**
**No.02 クロスサイトスクリプティングとは?**
**No.03 クロスサイトリクエストフォージェリとは?**
**No.04 ディレクトリトラバーサルとは?**1.クロスサイトスクリプティングとは?
・概要
2.クロスサイトスクリプティング対策(PHPでの実装例)
・対策方法
・実装例##1.クロスサイトスクリプティングとは
**概要**
攻撃者は、まずターゲットとなる企業を見つけ、その企業に興味を持ちそうなユーザーが訪れる掲示板サイト上で罠(スクリプト付リンクを貼るなど)を仕掛けます。ターゲットの企業に興味を持ったユーザーが、掲示板サイト上で仕掛けられた罠にかかると、攻撃者が掲示板サイト内でスクリプトを実行します。
ユーザーはスクリプト情報を持ったままターゲット企業のページに移動することになるのですが、実は、ジャンプ先はターゲット企業を装った偽サイトで
Linuxでファイル入出力のログを取りたい
#やりたいこと
ユーザがPCとUSBメモリやSDカードをつないでデータを出し入れした時の
ログをとりたい。また、勝手にユーザが監視プロセスを落とせないようにしたい。
#参考になりそうな記事
[inotify-toolsでファイルやディレクトリを監視する](https://qiita.com/stc1988/items/464410382f8425681c20)
[[Linux] inotifywaitを使ってファイル更新時に任意のコマンドを実行する](https://qiita.com/sonodar/items/ddeeb98525ef4c03d48e)#ストレージ接続の監視方法
/dev配下を監視しておけばいいのかな・・・
[Python] Pythonとセキュリティ – ③Pythonで作るSQL Injectionツール
#はじめに
前回([[Python] Pythonとセキュリティ – ②Pythonで作るポートスキャニングツール](https://qiita.com/CyberFortress/items/0c18f0d773ad51ba9b78))でPythonを利用して簡単なポートスキャニングツールを作ってみた。
今回はウェブ脆弱性の中で重要度が高い「SQL Injection」の理解を深める為、ツールを作ってみよう。**許可を得ていない対象に実施するのは犯罪です。当該の記事で問題が発生した場合、弊社では一切責任を負い兼ねますのでご了承ください。**
#SQL Injectionとは
SQL Injectionは「Injection」攻撃の一つの種類で、クライアントの入力値がサーバのデータベースに送信され、データーベースの操作、破棄、漏洩などを行う攻撃方法である。攻撃方法の難易度は低いがデータベースを直接攻撃するため、被害が大きい攻撃である。このようなInjectionの脆弱性の場合、スキャニングツールなどで発見される場合が多いため、ウェブの担当者は必ず完成されたウェブページにスキャニン
リモートワーク環境で、危険なURLを検出できているのだろうか
### 忙しい人へ
* リモートワークの環境によっては、社内の出口対策を経由できずに、インターネットに出る可能性があると思います
* その場合、入り口対策をbypassできてしまうと、ちょっと危ないのではないでしょうか
* 今回は、それをURLに限って記載した記事です
* オリパラまでに安全なインターネットが実現されれば嬉しいなと思います
* 技術がわかる人は、[バックスラッシュの含めたURLからドメイン名が抽出できない件](https://qiita.com/hinoshiba/private/b158a8b4ca522e90fdfa#%E3%83%90%E3%83%83%E3%82%AF%E3%82%B9%E3%83%A9%E3%83%83%E3%82%B7%E3%83%A5%E3%81%AE%E5%90%AB%E3%82%81%E3%81%9Furl%E3%81%8B%E3%82%89%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E5%90%8D%E3%81%8C%E6%8A%BD%E5%87%BA%E3%81%A7%E3
OmniAuth の `/auth/:provider` で GET を受け付けるのはやめましょう (あるいは CVE-2015-9284 について)
# tl;dr
* OmniAuth を使う場合、まずはユーザーを `/auth/:provider` のような URL に誘導すると思います。
* このパスで GET リクエストを受け付けることは、セキュリティの観点から推奨されていません。
* 具体的には、ユーザーが意図しないうちに、意図しない外部アカウントを紐付けてしまう危険性があります。
* 代わりに POST を受け付けるようにしましょう。# どんな問題が発生するの?
## 前提
Web サイト A と B が存在するとします。
Web サイト A は OmniAuth を使って、「B のアカウントでログイン」のような機能を実装しています。そして `/auth/site_b` で GET リクエストを受け付けています。アリスとマロリーがいるとします。アリスは被害者、マロリーは攻撃者です。
アリスは A のアカウントを持っていて、A にログイン済みですが、B のアカウントは紐付けていません。マロリーは B のアカウントを持っていて、あらかじめ A に対する認可を済ませてあります [^1] 。## 攻撃開始
さ
AWSの多要素認証について
##AWSでは多要素認証が使えます
最近現場でAWS(Amazon Web Service)に触れる機会があり、
私が使っているIAMユーザでもログインをする際に多要素認証を行っております。この多要素認証ひと手間かかりますが、
このひと手間で情報漏洩しない(に等しいほど可能性を低くできる)と考えればやらない手はありません。ではこの多要素認証ですが、AWSでは以下の4つが使えます。
(1つは廃止されましたが…)・SMSテキストメッセージベースMFA(廃止)
・U2Fセキュリティキー
・ハードウェアMFAデバイス
・仮想MFAデバイス##その前に①:多要素認証とは
4つの多要素認証…、
多要素認証ってさっきから言っているが、それはなんだ?という方に簡単な説明を。多要素認証は言葉の通り多数(複数)の要素で認証を行うことです。
要素は主に3つあり、
「知識要素(パスワード等)」「所持要素(セキュリティトークン等)」
「生体要素(指紋等)」という要素があります。
このうちの2種類以上を使用して認証することを多要素認証といいます。また英語でMulti-factor
JavaScriptの問題 「DOM Based Xss / Webストレージの不適切な使用」
JavaScriptにまつわる脆弱性について。
「DOM Based Xss」と「Webストレージの不適切な使用」について記載する。[JavaScript | MDN](https://developer.mozilla.org/ja/docs/Web/JavaScript)
#DOM Based Xs
1. 概要
2. 攻撃手法と影響
3. 脆弱性が生まれる原因
4. 対策[DOM Based XSS – IPA](https://www.ipa.go.jp/files/000024729.pdf)
[第6回 DOM-based XSS その1:JavaScriptセキュリティの基礎知識|gihyo.jp … 技術評論社](https://gihyo.jp/dev/serial/01/javascript-security/0006)##概要
JavaScriptが原因で発生するXXSをDOM Based Xssと呼んでいる。
XXSはサーバ側のプログラムの不備が原因で発生するが、クライアントサイドで動作するJavaScriptの記述の不備で発生するケースもある。
こ
Linuxセキュリテイ対策 ホストの侵入検知(chkrootkit/rkhunter/maldetect)
# はじめに
本記事はLinuxのセキュリティ対策として、ホストの侵入検知について記載しています。ホストの侵入検知の目的は、ルートキットの存在やマルウェアを検知することです。
本記事では以下のツール(※)を扱います。
– chkrootkit
– rkhunter
– maldetect(※)バージョンについては本記事執筆時点の最新バージョンを使用
## chkrootkit
chkrootkitはルートキットの存在を検知するためのツールです。
CentOSの標準リポジトリには、Ubuntuのようにchkrootkitのパッケージは含まれていません。chkrootkitは[chkrootkit.org](http://www.chkrootkit.org/)の[Download](http://www.chkrootkit.org/download/)からダウンロードできます。
本記事ではCentOS 7を例にchkrootkitの導入手順について解説します。なお、chkrootkitは以下のコマンドを使用します。既に改ざんされた後では意味がないため、導入時には考
ID インフラストラクチャをセキュリティ保護する 5 つのステップを読み解く
#はじめに
今から書く内容は、Microsoft の公開情報である「ID インフラストラクチャをセキュリティ保護する 5 つのステップ」の内容をかみ砕いて書いています。-参考情報
ID インフラストラクチャをセキュリティ保護する 5 つのステップ
URL:https://docs.microsoft.com/ja-jp/azure/security/fundamentals/steps-secure-identity以下の設定を施したからといって、セキュリティ保護が万全になるわけではありません。
逆に以下の設定を必ずしもすべて設定しないといけない、というわけでもありません。この記事を書いた意図としては、ID を正しく保護するための方法が複数用意されているので、ご利用の環境に合わせて選択していただくための一助にして欲しいからです。
下記 Microsoft 公開情報にベストプラクティスとして書かれている記事がありますので、そちらも参考にしてみてください。
-参考情報
Azure の ID 管理とアクセス制御セキュリティのベスト プラクティス
URL:https://doc
IAMベストプラクティスにほぼほぼ準拠したIAMユーザ・グループ作成と、MFA デバイスの自己管理を許可するポリシーの取り扱い注意点
# 1. はじめに
* AWS マネジメントコンソール作業で使用するIAMグループ や IAMユーザーの設計や作成フローを、[IAM ベストプラクティス](https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html) を参考にして見直してみる。
* けど、IAMグループ や IAMユーザー の作成に関する [IAM ベストプラクティス](https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html) をすべて採用するのは窮屈なので、採用するものを決めて My IAM プラクティスを作成してみる。
* そして、My IAM プラクティスに準拠したIAM グループ、IAMユーザーの作成フローを構築してみる。
* 例として、新規に参画したAWS マネジメントコンソール作業者で、開発チームのAさんの IAM ユーザーを作成してみる。
* あと、IAMポリシーとIAMグ
AWS Well-Architected Framework「セキュリティ」
セキュリティの柱の7つの設計原則をざっくりまとめてみたいと思います。
この内容はnoteのほうで投稿したものと同じ内容になります。
「[②最重要項目:セキュリティ](https://note.com/yoriasanuma/n/n9df28ba45578)」####1, 強力なアイデンティティ基盤の実装
アカウントの用途によって与える操作権限を分けましょう。システムを管理するためのアカウントには設定変更・リソースの追加・削除ができる権限を与え、その他のアカウントには設定値やリソースの使用状況の参照のみできる権限を与えるなど、必要最低限の権限のみ与えるようにします。また、多要素認証(自分で設定したパスワード+一時的に発行される認証コードなど)を利用することでセキュリティを向上できます。権限を一元管理し、認証情報も適切に管理しましょう。
####2, トレーサビリティの実現
だれが、いつ、どんな操作をしたかを常に監視し、ログとして記録しましょう。AWSサービスを組み合わせて、不正なアクセスやリソースの状態の変化をリアルタイムで検知し、自動でアクションを実行させることができます。
Linuxの監査システム Auditについて理解する
# はじめに
本記事はLinuxの監査システムであるAuditについて記載しています。AuditはLinuxの監査システムとして、監査ルールを定義し、システムで発生したセキュリテイに関するイベントをログファイルに出力します。
ログファイルに出力されたメッセージを監視することで、セキュリテイに関するイベントを検知することができます。
Auditでは以下の監査ルールが設定可能です。
– 制御ルール
– システムコールルール
– ファイルシステムルール## Auditの概要
Auditはauditdデーモンとして起動し、カーネルから受け取った監査結果をログファイルに出力します。全般的な設定は`/etc/audit/auditd.conf`ファイルで設定します。
– /etc/audit/auditd.conf
“`text
#
# This file controls the configuration of the audit daemon
#local_events = yes
write_logs = yes
log_file = /var/log/audi
リモートワークする時に気を付けている事。(自宅編)
###はじめに
こんにちは。K’s Software Designです。よろしくお願いします。
さて、以前は喫茶店やカフェでリモートワークをする場合の注意点など書かせて頂きました。今回は自宅からリモートワークする場合に注意しているポイントを書かせて頂きたいと思います。
自宅でリモートワークする場合も喫茶店・カフェ編で書いたポイントは有効だと思います。VPNを使ったりハードディスクを暗号化したりですね。自宅ならではのポイントを幾つかまとめてみました。###Wifi(無線LAN)のSSIDは変更しましょう。
SSIDを初期値のまま使用している家が多いと思います。多くの機器は初期値のままですと、メーカー名や商品名を特定することが出来ると思います。取り扱い説明書、マニュアルを入手して初期パスワードで機器に悪戯ができるかもしれません。機器に脆弱性があった場合、その脆弱性が利用されるかもしれません。ご利用の機器のメーカー名・商品名が簡単にわからない為にも変更する事をお勧めします。
私はハッシュ値をSSIDとして設定したら、周りから変態扱いされました。(笑)ハッシュはやりすぎですね。
ウェブアクセスをドメイン名で任意のインターネット接続回線へ振分ける(Mac上の仮想マシンに色々試行できるUTM的な環境を作って遊んでみる)
いわゆるVPNサービスを利用していると、時々接続できないサイトかあります。全くダメなら良いのですが、サービスへ認証が成功した瞬間に不審なアクセスと見なされて、いきなりサービスへのアクセスをBANされることもあります。回復には電話したり・されたり等々で、大変手間がかかることが多いです。
– 都度手元端末のプロキシ除外リストへ登録したくない。
– 手元端末のVPNクライアントで同じようなことができない。
– どうせなら色々サイバーなツールを検証できる環境が欲しい。ということで、「ウェブアクセスをドメイン名で任意のインターネット接続回線へ振分けたい、それならUTMっぽくしたMac上の仮想マシンで何とかしてみよう」と思い、色々やってみた次第です。以下、全体的に粗い記述で恐縮ですが「こんなやり方でVPN使う・使わないの制御ができたよ」ということで公開します。
#1. 環境
– 親機
– MacOS 10.15.3 Catalina
– 子機
– Debian 10 (Paralles Desktop 15.1.2 で稼働)#2. 手順
##(1)親機Macの準備
新しく利用するドメインやIPアドレスが闇サイトの使いまわしでないことを確認するには
# 概要
新しくウェブサイトを立ち上げたりメールサービスを利用開始する場合に必ず必要になるのが**独自ドメイン**や**IPアドレス**です。インターネットが一般的になってから既に25年が経過して、[IPv4アドレスは枯渇](https://ja.wikipedia.org/wiki/IP%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E6%9E%AF%E6%B8%87%E5%95%8F%E9%A1%8C)していて、多くの人が取得したい人気のある独自ドメインも、誰かの使いまわしである可能性が高いです。そのために、新しく取得した独自ドメインやIPアドレスを使ってウェブサイトやメールを使い始めたときに、過去に闇サイトやスパム送信で使われていて、セキュリティソフトからブロックされてしまう、といったリスクもあります。
セキュリティソフトで引っかかった例:
の分析及び対応方法
#概要
Oracle社が提供しているOracle Fusion MiddlewareのWebLogic Serverから逆直列化(Deserialization)を迂回し、特定の権限で悪意的なT3プロトコルの要請を通じてリモートコマンドが実行できる脆弱性(CVE-2019-2890)が発見された。脆弱性はWebLogic Severがデータを受信する際にバイナリタイプに変換されたデータを元のタイプに変換する逆直列化の過程で入力値の有効性検証が不足しているため発生する。
CVEリストには2019年10月16日に公開され、同月にOracleの緊急パッチアップデートのリストに含まれ、セキュリティパッチが完了された。
今回はこの脆弱性の動作仕組み及び分析、対処について紹介する。#脆弱性分析
##影響を受けるソフトウェア| CVE | 脆弱バージョン | 危険度 |
|:————-:|:————————————————
Gmailを無料で使わせていただいている限り手厚いサポートは受けられないという小話
現在の状況:通常の使い方ではないと機械判定されGoogleアカウントへのログインをブロックされた。
(unusually usageなんちゃらというメッセージが表示された気がする)原因:短期間にメールマガジンを大量掃除
2010年春に作成したGmail由来のGoogleアカウントでしたが、
– 楽天市場から大量に送信された過去のメールマガジン
– タワーレコードから大量に送信された過去のメールマガジン容量的には合計1GB程度を1日目夕方20分、翌日午前20分程度、検索→ゴミ箱→ゴミ箱全消去の作業を行っていたところ
Googleのセキュリティデーモンにより普通ではないと判定され以後ログインをブロックされました。一応ブロック数分前に連携済みメールアドレスに「削除多すぎ~危ないよ。保護してください」
というメールが来ていたようでしたが作業中につき気づけませんでした。たしかに不正ログインされているような行為と言われても仕方ないです。
不正ログイン・不正削除から一般市民を守るサービス提供側としての言い分も当然あるでしょう。くれぐれも皆さんはGmailの短時間大量消去はおや
DFIR用のツール「Velociraptor」を使用してみる
#Velociraptor とは
アーティファクトを収集し、指定したサーバにアップロードする
?[公式サイト](https://www.velocidex.com/)
開発者SANSの講師っぽい
## 一般的なデジタルフォレンジックの一例
保全した端末でアーティファクトを収集するツールを実行し、HDD/SSD等の外部記憶媒体または、クラウドストレージにコピーし、調査用のPCで解析を行う
## Velociraptor の場合
予め生成したコンフィグをもとに実行ファイルを保全PC内で実行し、Veloci
