- 1. DeepL翻訳を試してみた。
- 2. 【AWS入門】アカウント作成後にやるべき初期設定 セキュリティ編
- 3. (ISC)² のメンバーダッシュボードをCPE取得/登録の確認で使う
- 4. ISACAの無料Webinarを観て、CISAのCPEを獲得してAPPLYするまで
- 5. (ISC)² の無料Webinarを観て、CISSPのCPEを獲得するまで
- 6. 猫でもわかる初心者Pwnテク [GOT overwrite]
- 7. ゼロトラストネットワークとは何者なのか
- 8. AWSへの不正アクセスを防ぐために気をつけておいた方が良いことを紹介します
- 9. 買ったらまず実施!RaspberryPiのセキュリティ対策
- 10. 【忘備録】ウィルス対策ソフトとセキュリティソフトの差異
- 11. ハードディスクのデータを完全に消去する
- 12. WordPressセキュリティ対策~入口なけりゃ泥棒来ない
- 13. 注意!あなたのWordPressも狙われている!?侵入手口と挙動について
- 14. Linuxセキュリテイ対策 Snortによる侵入検知
- 15. CISSPまとめ (セキュリティとリスクマネジメント)その1
- 16. セキュリティ
- 17. 定期的なパスワード変更をなくす(上司を説得する)には
- 18. AWSを触る ~アカウント登録と最低限のセキュリティ設定まで~
- 19. OWASP ZAP で診断する OWASP Top 10 Project
- 20. Unityのモバイルゲーム向けクラッキングが行われるポイントを整理してみた
DeepL翻訳を試してみた。
【要旨】
ドイツの翻訳会社「DeepL社」によって提供されている翻訳サービス「DeepL翻訳」が高精度であるとの評判を聞いたので英文の日本語翻訳を試してみました。個人的な所感としては、確かに高精度という評判だけのことはあって「人力による英文和訳」以上の訳文が期待できると思います。
⇒「自分が何かの英文を日本語で読みたい」という用途にちょうど良いと思います。
「自分でない誰か」に読ませたい場合(例えば「納品物として翻訳ドキュメントを作成する」など)には、
読み手を想定して適宜修正した方が良さそうです。【本編】
3月頃、確かITmediaさんの記事だったと思いますが、「DeepL翻訳」の存在を知りました。・「DeepL翻訳」が日本語対応、「自然な訳文」と話題に 独ベンチャーが開発(ITmediaさん)
https://www.itmedia.co.jp/news/articles/2003/23/news093.html現在私は某IT系の会社でセキュリティ関連の仕事をして
【AWS入門】アカウント作成後にやるべき初期設定 セキュリティ編
# はじめに
前回の記事 [【AWS入門】アカウント作成方法 – Qiita](https://qiita.com/Suzuki09/items/88afebdcaacf38752c05) の続きです。
まずAWSアカウント作成後に行わなければいけない、セキュリティ編です。
主にrootユーザーのセキュリティ強化とIAMというrootユーザー以外のユーザーの作成です。
なぜ真っ先にセキュリティの設定が必要かというと、rootユーザーを乗っ取られた時点で終わりだからです。乗っ取られると不正にAWSを使用され、高額な請求をされてしまう場合があります。
# セキュリティ設定
まずログインするとAWSのコンソール画面に繋がります
そのコン
(ISC)² のメンバーダッシュボードをCPE取得/登録の確認で使う
# どうしてこれを書いたのか
無料WebinarのCPEがいつ登録されたのかを確認するときに「あ、そういやこれまとめてないや」と思って書いた。#手順
##1. (ISC)²のメンバーダッシュボードにアクセスする
[メンバーダッシュボード](https://www.isc2.org/Dashboard)こんな感じで画面が見れる。
|
|:-:|この画面から**一見**してわかることは次の通り。
* (CPE Statusより)3-Year Cycleにおいて残り58CPEを取得する必要がある
* (Current 3-Year Cycleより)Apr 2019 – Mar 2020のCPEはすでに取得済み
* (Current 3-Year Cycleより)Apr 2020 – Mar 2021のCPEは半分ぐらい取ったCPEの
ISACAの無料Webinarを観て、CISAのCPEを獲得してAPPLYするまで
# どうしてこれを書いたのか
古いUIの情報しかなかったので、自分の備忘録的に書いた。# 複数のISACA資格を持っているのだけど、どうすればいいの?
わからん。#手順
##1. ISACA会員ページにアクセスしてログインする
[ISACA会員ページ](https://www.isaca.org/)
~~なんでこんな「ランドルト環がカエルの卵」的なロゴにしちゃったんだろ。~~##2. Archived-Webinarsのページにアクセスする
[Archived-Webinarsのページ](https://www.isaca.org/training-and-events/online-training/archived-webinars)
「どれを観た、どれを観てない」とか視聴管理すると後々捗りそう。##3. 観たいWebinarを選ぶ
この画像は参考。タイトルのところがリンクになってて、そこをクリックする。
視聴期限は「Archived」に書いてある。
“`更新:なぜかBrightTalkアカウント作成のことを書いてしまっていたのだけど、CISSPのみ必要なものな
(ISC)² の無料Webinarを観て、CISSPのCPEを獲得するまで
# どうしてこれを書いたのか
自分にとってメインのCPE獲得方法になるので備忘録的に書いた。# 複数の(ISC)² 資格を持っているのだけど、どうすればいいの?
わからん。#手順
##1. (ISC)²の会員ページにログインする
[会員ページログインフォーム](https://www.isc2.org/Sign-In?fromURI=https%3A%2F%2Fisc2org.okta.com%2Fapp%2Fisc2orgprod_wwwisc2org_1%2Fexkeq1qd40KCe6cPq0x7%2Fsso%2Fsaml%3FRelayState%3Dhttps%253a%252f%252fwww.isc2.org%253fcheckmem%253dtrue)##2. OPE Opportunitiesのページにアクセスする
[ここからアクセス](https://www.isc2.org/Member-Resources/CPE-Opportunities)するか、「MEMBERS」→「OPE Opportunities」で移動する。|![image.png]
猫でもわかる初心者Pwnテク [GOT overwrite]
#はじめに
自分のPwnの理解を深めるために、できるだけわかりやすく書いた備忘録です。僕も初心者です。「なんとなく」わかった気になって使ってることがしばしばあるので、機会があれば他のテクニックも書きたいと思ってます。猫でもわかるは盛ったかも。#GOTとは
GOT(Global Offset Table)とは、共有ライブラリのシンボルが参照されている領域です。ELFではPLT(Procedure Linkage Table)からGOTにジャンプし、共有ライブラリを参照しています。ライブラリ関数を管理している領域みたいなイメージだと思います。参照
https://qiita.com/saikoro-steak/items/f9bf534f8fc5f2be3b0e#format string attackによるGOT overwrite
ここでは、ksnctfのVillager A(村人A)を使って説明していきます。
https://ksnctf.sweetduet.info/
ゼロトラストネットワークとは何者なのか
#はじめに
最近、界隈でも名前をよく聞くようになってきたゼロトラストネットワークについて、
[ゼロトラストネットワーク](https://www.oreilly.co.jp/books/9784873118888/)を読んだので、
その内容を簡単にまとめてみたい。#ゼロトラストネットワークとは
ゼロトラストネットワークには、5つの原則がある。> – ネットワークは常に安全ではないとみなされる
> – ネットワーク上には外部および内部の脅威が常に存在する
> – ネットワークを信用できると判断するには、ローカルネットワークでは不十分である
> – デバイス、ユーザー、ネットワークフローは1つ残らず認証および認可される
> – ポリシーは動的であり、できるだけ多くの情報源に基づいて作成されなければいけないゼロトラストネットワークとは上記を踏まえ、
従来型のネットワークセキュリティアーキテクチャである「**境界モデル**」では対応できなくなってきたセキュリティリスクに備えるために提唱されたものである。昨今のSaaSやモバイルデバイスの普及により、
守るべきネットワークの境界線
AWSへの不正アクセスを防ぐために気をつけておいた方が良いことを紹介します
まずはIAMのベストプラクティスに則ることが最も大切ですが、この記事では実際にどのような攻撃手法で不正アクセスを試みるのかを紹介しつつ、その対策方法も記載していこうと思います。
[IAMベストプラクティス](https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/best-practices.html)
[S3セキュリティベストプラクティス](https://docs.aws.amazon.com/ja_jp/AmazonS3/latest/dev/security-best-practices.html)## 1. アクセスキーの漏洩によるAWSの不正利用
### どうやっているか
AWSを利用している人にとってはお馴染みの攻撃手法だと思います。
実際にGithubに上げてみたところ**13分**で抜き取られるというQiitaの記事もあるぐらいですので、仕事/プライベート関らず対策が必要です。[GitHub に AWS キーペアを上げると抜かれるってほんと???試してみよー!](https://qiita.com
買ったらまず実施!RaspberryPiのセキュリティ対策
#はじめに
本記事は主にこちらを参考にさせて頂きました。
https://qiita.com/mochifuture/items/00ca8cdf74c170e3e6c6
https://qiita.com/nokonoko_1203/items/94a888444d5019f23a11買ってすぐのRaspberryPi本体へ適用する前提での方法となります。
私はセキュリティの専門家ではないので、下記だけでは不十分だ!という意見があれば、
積極コメント頂けるとありがたいです!#必要なもの
・RaspberryPi (本例ではRaspberryPi3 ModelB)
・PC (SSH接続の確認に使用。本例ではWindows10)
・上記RaspberryPiとPCのLAN接続環境(ルータにつなげばOK)#RaspberryPiとセキュリティ
安価で必要十分な性能を備えるRaspberrypPiですが、
デフォルト状態でのセキュリティに関しては、例えばWindows10のPCと比べて、
素人目にもヤバい!と思える部分が多くあり、
なんとあの[NASAでもRaspberryPi
【忘備録】ウィルス対策ソフトとセキュリティソフトの差異
#ウィルス対策ソフト
基本的にはウィルス対策に特化したソフトウェア。
コンピュータ内に侵入してきたコンピュータウィルスやスパイウェア(以下、マルウェア)等、悪意を持つプログラム群を検知~駆除するソフトウェア。
ファイアーウォールや不正アクセス等の機能はなく、原則として別ソフト、または機能(WindowsDifender等)に委ねられている。1.ダウンロードファイル、またはコンピュータ内の検疫(ファイルスキャン)
2.マルウェアファイルの駆除
3.パターンファイルの更新#セキュリティソフト
ウィルス対策のみならず、ファイアウォール、パスワード保護、通信の暗号化等、セキュリティに関連した一切の保護を行うソフト。#最近はセキュリティソフトしか見なくなった
とはいえここ10年程度でウィルス対策ソフトは減少した模様。1つはウィルス対策ソフトがセキュリティソフトと統合してしまったこと
2つ目にウィルスソフトが独自のファイアウォールを廃止したこと
3つ目にWindowsDefenderの登場により下手なアンチウィルスを導入するよりは安価にセキュリティが一定レベル保護されることらし
ハードディスクのデータを完全に消去する
# はじめに
ハードディスクの廃棄などで完全なデータのフォーマットが必要になったとき、ファイルを削除するだけでは、リカバリソフトを使うことで盗み取られてしまう可能性があります。完全なデータの削除をddコマンドを使用して実施します。
# ディスク情報を確認する
デバイスは/dev/sdXとします。
“`
$ sudo fdisk -l /dev/sdX
ディスク /dev/sdX: 1.8 TiB, 2000398934016 バイト, 3907029168 セクタ
単位: セクタ (1 * 512 = 512 バイト)
セクタサイズ (論理 / 物理): 512 バイト / 4096 バイト
I/O サイズ (最小 / 推奨): 4096 バイト / 4096 バイト
“`物理セクタサイズは、4096バイトのようです。
全物理セクタ数は、2000398934016 /4096=488378646セクタです。# ディスク全体を削除する
乱数を書き込みます。
容量が大きいと時間がかかりますので、PCのリソースに余裕があるときに実行します。“`
$ sudo dd
WordPressセキュリティ対策~入口なけりゃ泥棒来ない
#入口なければいいんじゃない?
セキュリティ対策はいたちごっこ。
とはいうものの、そもそも入口も窓も何もない建物があったら、泥棒はどうあがいても入ってこれません。
まぁ、正規のユーザーも通り抜けフープを持っていないと入れなくなりますが!##正面玄関をなくす
別に表通りに入口つけなくてもいいよね、そこにwp-login.phpがあるからアクセスが来るわけです。
と思い、なにかいいものはないかと調べてみたところ、いいプラグインがありました。
[Login rebuilder](https://ja.wordpress.org/plugins/login-rebuilder/)
まんま、名前の通りです。
適当な裏口玄関となるファイルを作ってくれて、正面玄関のwp-login.phpでの出入りをできなくすることができるプラグインです。
シンプルなのも初心者フレンドリーでいいと思います。このwp-login.phpを隠すことの効果はかなり大きいです。
以下に主な恩恵の具体例を挙げておきます。
####スパイメッセージ対策を定型化できる
URLの末尾が「wp-login.php」だったらす
注意!あなたのWordPressも狙われている!?侵入手口と挙動について
皆さんが当たり前のように使っているWordPressには,実は**脅威**が存在します。
乗っ取られると素人ではなかなか解析できないような複雑な改ざんが行われて,復元しないとページが見られなくなります。
今回はそのハッキングの一例を取り上げます。
「こっちはセキュリティ対策してるから大丈夫」ってわけにはいかないみたいですよ…# まえがき
該当する事例が前にあったようです。
https://qiita.com/mikkame/items/eec33df6863ed81740c2# 侵入経路
不明。
どこから入ってきたのかは分かりませんが,恐らくテーマやプラグインを脆弱性を突き**XSSを利用してPHPコードを実行させて環境を整えた**と見られます。# 挙動
この例としては– /wp-load.php
– /wp-blog-header.php
– /index.php
– /wp-content/themes/twentyfifteen/inc/index.php
– /wp-content/themes/calliope/inc/index.phpが不正に書き
Linuxセキュリテイ対策 Snortによる侵入検知
# はじめに
本記事はLinuxのセキュリティ対策として、Snortの侵入検知について記載しています。[Snort](https://www.snort.org/)はオープンソースのネットワーク型のIDSです。GPL (GNU General Public License) の元に無償で利用できます。
現在も開発が行われているので最新のルールセットを無料でダウンロードして使用することができます。
## Snortの構築
Snortはソースで提供されているため、ソースをダウンロードしてmaikする必要があります。そのため、環境依存が大きく必要なライブラリがインストールされていない場合は、configureでエラーが発生し、依存関係を自分で調べてインストールする必要があります。
本記事で
CISSPまとめ (セキュリティとリスクマネジメント)その1
# 1. 機密性・完全性・可用性
– 情報セキュリティのコア概念であり大原則です。
– CIA 3要素(CIA Triad)とも言います(単にCIAと言うことが多いです)
– 情報セキュリティのCIA、のように使用します。# 2. 機密性(Confidentiality)
– 最小限の(必要性のある)人やシステムだけが、最小限の(必要性のある)情報にアクセスできるということです。– 重要なキーワードは、以下になります。
– 知る必要性(Need to Know)
– 最小特権の原則(Least Privilege)
– データ分類(公開、機密など)
– アクセス制御(識別、認証、認可)
– 暗号化– データ分類によりアクセス制御の実装を容易にし、アクセス制御により最小限の(必要性のある)人やシステムだけが情報にアクセスできるようにします。
– 暗号化により、特権(知る必要性)のない人が情報にアクセスできてしまったとしても、その情報の機密性を保護します。# 3. 完全性(Integrity)
– 情報が正しい(信頼できる)ということです。– 重要な
セキュリティ
WEBサイト構築
定期的なパスワード変更をなくす(上司を説得する)には
# パスワードは、肉やパンのように腐ったりしない
だから「消費期限」なども必要ない。とは少々乱暴な意見かも知れませんが、これには裏付けがあって、
2017年米国国立標準技術研究所 (NIST) による刊行物の、パスワードのベスト・プラクティスに以下のように記載されています。*認証コードの漏えいの証拠がある場合、または加入者から変更の要求があった場合を除き、
「検証者は、記憶された秘密情報を恣意的(定期的など)に変更することを要求してはならない」
また、「大文字や小文字を混ぜたパスワード」を推奨してきたが、これらも「無意味だった」*としています。
Microsoft社でも、この刊行物に従って
Windows 10 v1903およびWindows Server v1903のセキュリティベースライン(DRAFT)において、**定期的なパスワード変更を必要とするパスワード有効期限ポリシーを削除する**とのこと。Microsoft社は、なぜパスワードの有効期限ポリシーを削除するのですか?
という疑問に対して、
**パスワードが盗まれることがない場合は、期限切れにする必要はありま
AWSを触る ~アカウント登録と最低限のセキュリティ設定まで~
AWSでアカウントを作ってみたいと思います。
一応やりながら下に流れを書いていこうと思いますが、こちらに公式がありますので、これからやる人は公式を見たほうがいいと思いますので、参考にしてもらえればと思います。[AWS アカウント作成の流れ](https://aws.amazon.com/jp/register-flow/)
#AWSのアカウント取得
googleで調べたらすぐ出てきますが、AWSのサイトへアクセスします。
[クラウドならアマゾン ウェブ サービス 【AWS 公式】](https://aws.amazon.com/jp/)
無料アカウント作成ボタンを押下します。
メールアドレスとパスワード、アカウント名を入力して「続行」ボタンを押下します。
(記載されているように12ヶ月は無料枠
OWASP ZAP で診断する OWASP Top 10 Project
[OWASP ZAP](https://www.zaproxy.org/) の公式ドキュメントに、ZAP を使った診断で [OWASP TOP 10](https://owasp.org/www-project-top-ten/) をカバーするためのガイドがあります。
– [ZAPping the OWASP Top 10](https://www.zaproxy.org/docs/guides/zapping-the-top-10/)
本記事ではこの [ZAPping the OWASP Top 10](https://www.zaproxy.org/docs/guides/zapping-the-top-10/) を参考に、OWASP Top 10 のセキュリティ要件を ZAP で診断するための様々なコンポーネントを紹介します。
OWASP や ZAP の概要については他の入門用の記事や[本家のドキュメント](https://www.zaproxy.org/)をご参照ください。
入門者の方には[脆弱性診断研究会](https://security-testing.doorke
Unityのモバイルゲーム向けクラッキングが行われるポイントを整理してみた
#免責事項
**この記事に記載されている内容を、実際に試して発生した損害に対していかなる責任も負いません(補償しません)。**
**すべて自己責任のもとで行ってください。**リリースされているアプリやゲーム、[ソフトウェア利用許諾契約(EULA)](https://ja.wikipedia.org/wiki/%E3%82%BD%E3%83%95%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A2%E5%88%A9%E7%94%A8%E8%A8%B1%E8%AB%BE%E5%A5%91%E7%B4%84#%E3%83%AA%E3%83%90%E3%83%BC%E3%82%B9%E3%82%A8%E3%83%B3%E3%82%B8%E3%83%8B%E3%82%A2%E3%83%AA%E3%83%B3%E3%82%B0)やアプリケーション利用規約などでリバースエンジニアリングは禁止されています。
実際に試す場合は、自分で開発しているアプリやゲームや脆弱性確認用でリリースされているアプリやゲームを使いましょう。勘違いして理解しており、誤ったことを記載しているとこ
