- 1. CISSPまとめ(セキュリティとリスクマネジメント)その2
- 2. Hack The Box[Lame]
- 3. .devドメインと.appドメインがHTTPSを強制する仕組み
- 4. SECCON Beginners CTF 2020 Writesup
- 5. Hack The Box[Grandpa]
- 6. Dockerイメージのなりすましや改ざんを防ぐには?(Docker Content Trust)
- 7. O365にIPアドレス制限をかける
- 8. Hack The Box[Granny]
- 9. Wireshark だけで TLS を復号できたので、もう他に何もいらない(かもしれない)
- 10. Linuxのパケットフィルタリングツール
- 11. サイボウズに認定されなかった脆弱性?の話
- 12. Vulsはリモートスキャン対象サーバで何をしているのか
- 13. [Googleパスワードマネージャー]Googleアカウントのセキュリティ性を向上させてみた。
- 14. 【Golang】http.ClientにRoot CAを読み込ませる
- 15. 最近話題の偽サイトを効率良く収集して、Maltegoで見てみる
- 16. Dionaea と VirusTotal を自動連携して、未知のマルウェアと出会いたい
- 17. ハニーポットの解析で使っている自作の表やグラフを誰にも頼まれてないのに公開してみる
- 18. Virtual Boxで変更不可のVMを変更したい
- 19. サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その3 T-Pot編~
- 20. サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その2 Azure編~
CISSPまとめ(セキュリティとリスクマネジメント)その2
# 1. 概要
CISSPの学習を始めたので、備忘録も兼ねて
要点をまとめていこうかと思います。
その2はセキュリティガバナンスについてです。# 2. セキュリティガバナンス
– コーポレートガバナンスの一部であり、ITガバナンスの一部とされることもあります。(セキュリティがITのみを対象にするか、IT以外も対象にするかによって異なります)
– 取締役会と経営幹部が企業のリスクを受容可能な水準で管理・監督するための仕組みです。
– 目的は、リスクが適切に低減され、投資が適切に指示され、その効果の可視性が保証されることです。
– ITガバナンス協会は、ITガバナンスを「取締役会と経営幹部の責任」と定義しています。# 3. 組織の目的、使命、目標
– セキュリティは、組織のビジョン、使命、目標を実現するために存在します。
– 完全なセキュリティを実現することは非現実的かつ費用がかかりすぎ、維持することも困難です。(そのため、効果的かつ継続的なセキュリティマネジメントが必要になります)
– 経営幹部は、セキュリティにかかる費用と受容するリスクについて、最終的な決定を行います。(リスク
Hack The Box[Lame]
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
Twitter:@yukitsukai1731# Lame
HackTheBox公式より
Lame is a beginner level machine, requiring only one exploit to obtain root access. It was the first machine published on Hack The Box and was often the first machine for new users prior to its retirement.
Lameは初心者レベルのマシンで、ル
.devドメインと.appドメインがHTTPSを強制する仕組み
トップレベルドメインの中に.devと.appがある.これらはHTTPS接続を強制するドメインとして知られている.この仕組みが気になっていたので調べてみた.
参考: [グーグル、完全HTTPS接続で安全なアプリ用ドメイン「.app」–早期登録を受付開始 – CNET Japan](https://japan.cnet.com/article/35118647/)
# 仕組み
結論: **HSTS**の**Preload List**という技術を使っている.
## HSTS
HSTS(HTTP Strict Transport Security)はHTTPでアクセスしてきたユーザ(HTTPクライアント)にHTTPSでのアクセスを強制するための技術である.対応しているWebサイトでは,HTTPレスポンスのヘッダに `Strict-Transport-Security: xxx` が付与されている.Qiitaの場合は`strict-transport-security: max-age=2592000`が設定されている.[RFC 6797](https://tools.ietf.o
SECCON Beginners CTF 2020 Writesup
SECCON Beginners CTF2020に参加したのでWritesupを記載します
スコアサーバー
https://score.beginners.seccon.jp/challenges# Welcome
問題文に記載がある通り、SECCON BeginnersのDiscord チャンネルにアクセスするとフラグがある。
FLAG:ctf4b{sorry, we lost the ownership of our irc channel so we decided to
Hack The Box[Grandpa]
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
Twitter:@yukitsukai1731
# Grandpa
HackTheBox公式より
Grandpa is one of the simpler machines on Hack The Box, however it covers the widely-exploited
CVE-2017-7269. This vulnerability is trivial to exploit and granted immediate access to thousands
of IIS servers around the globe when it became public knowledge.
Dockerイメージのなりすましや改ざんを防ぐには?(Docker Content Trust)
Dockerのイメージへのセキュリティ対策ってどうなっているのか、気になったので、調べてみました。
# Dockerイメージのなりすましや改ざんを防ぐには?
Dockerイメージには、インフラ構成が含まれています。
なので、悪意のある第三者からの「なりすまし」や「改ざん」からイメージを保護する方が、外部からインフラ構成をみられることないため、安全です。
そこで、**Docker Content Trust**という機能を使うと、Dockerイメージの正統性を確認できます。## Docker Content Trust
### Docker Content Trustの仕組み
[公式サイト](https://docs.docker.com/engine/security/trust/content_trust/)
#### 署名
イメージ作成者がDockerレジストリにイメージをアップロードする前に、ローカル環境でイメージ作成者の秘密鍵を使ってイメージに署名します。
この秘密鍵のことをOffline Keyと呼ぶ。この鍵があると、中身をみられてしまうので、しっかり管理します。
O365にIPアドレス制限をかける
# はじめに
O365(最近Microsoft365に名称変更しましたが)の導入にあたり、セキュリティ対策を整理する中で、基本的なアクセス制限の一つを備忘と合わせてまとめました。# 目的
O365を会社で導入する際に、オフィス外からアクセスして、社内の情報を取得できてしまう状況を防ぐ。
いわゆるセキュリティ対策における「外部対策」。(外部からの悪意のあるアクセスを防ぐという意味で)# やること
O365サービスを特定のIPアドレス以外からはアクセスを不可にする。
(場合によっては特定のIPアドレス以外は2要素認証をかけるといったケースもありますが、シンプルにしました。)# 前提
## プラン
– Microsoft 365 Business Standard
トライアルで利用できる。## Azure Active Directory Premium P1もしくはP2
P2はトライアルで利用可能。## O365の管理者であること
Microsoft365管理センターへアクセスできること。# 設定手順
## Microsoft365管理センターへアクセス
管理のアイ
Hack The Box[Granny]
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
Twitter:@yukitsukai1731
# Granny
HackTheBox公式より
Granny, while similar to Grandpa, can be exploited using several different methods. The intended
method of solving this machine is the widely-known Webdav upload vulnerability.おばあちゃんは、おじいちゃんに似ていますが、いくつかの異なる方法を使って悪用することがで
Wireshark だけで TLS を復号できたので、もう他に何もいらない(かもしれない)
# はじめに
tcpdump や Proxy を使わずに Wireshark だけで TLS 通信の復号に成功しました。たくさんの人が同じようなことをやっていますが、自分用メモとして残しておきます。OS は Windows10 、ブラウザは Chrome です。# 設定手順
## TLS で暗号化する際に生成した鍵情報をファイルに出力する
Windowsキー + R で「ファイル名を指定して実行」画面を出し、「control」と入力して「OK」を押します。
「システムとセキュリティ」をクリックします。
ではパッケージ製品やクラウドサービスの脆弱性を発見すると、報奨金を貰うことができる制度「サイボウズ脆弱性報奨金制度」がある。日本の企業でこのような制度を行っているところは少なく、HackerOneなど英語ベースのサイトに比べて日本人が利用しやすい。本記事ではサイボウズに脆弱性として認定されなかったものの、ユーザへのリスクとなり得る報告を置いておく。内容はサイボウズが仕様動作と判断したものであるため、ユーザ側での対策が必要となる。
[サイボウズ脆弱性報奨金制度](https://cybozu.co.jp/products/bug-bounty/)本記事はサイボウズより公開許可を受けています。
本記事の内容を験する場合、法律により処罰される可能性があります。## 脆弱性とは
[サイボウズ脆弱性情報ハンドリングポリシー](https://cybozu.co.jp/company/security-policy/)より
>コンピュータのオペレーティングシステム(OS)、各種ソフトウェア、オ
Vulsはリモートスキャン対象サーバで何をしているのか
# はじめに
Vuls、勝手に脆弱性のあるパッケージを見つけてくれて便利ですよね。
リモートスキャンを使えば、スキャン対象のサーバにインストールする必要もなく、SSHで入って勝手になんか見つけてきてくれます。
でも、本番サーバにSSHで入られるのは少し怖い…
もし問題が起きたときに、スキャンしたせいじゃ無いですよ!と言える根拠が欲しいと思ったので、具体的にどんなことをスキャン対象サーバで行っているのか、調べてみました。調査方法は以下の通りです。`auditctl`でローカル側で実行されたコマンドを全てログし、後から解析してみました。
“`
auditctl -a always,exit -F arch=b64 -S execve
vuls サブコマンド
auditctl -D
cat /var/log/audit/audit.log | grep “EXECVE”
“`## 環境
ローカル“`
# cat /etc/centos-release
CentOS Linux release 7.7.1908 (Core)
# go version
go version
[Googleパスワードマネージャー]Googleアカウントのセキュリティ性を向上させてみた。
つい先日までは不正ログインをされても金銭的に被害を受けるわけじゃないしと思って同じパスワードを200アカウントぐらい使いまわしてたのですがAWSやGCPなどのクラウドサービスを運用するのに**クラウド破産**が怖くなったので2日ほど時間を割いて全部のパスワードを変更してきました。
## パスワードマネージャーの選定
– セキュリティ性が高い
– クラウドベース(紛失防止)
– サービスが終了しずらい
– 利便性が高い
– 無料これら全てを叶えてくれるのが**Googleパスワードマネージャー**だったので迷わず決めました。設定項目の地味な場所にあるのですが個人的に最高峰のパスワードマネージャーだと思います。最悪浮気したくなってもパスワードのエクスポート機能があるので
ごちゃごちゃしていなくてシンプルデザインな上に右クリックでパスワードの自動生成ができて自動入力もでき変に拡張機能を導入しなくてもChromeブラウザで標準装備されているので気に入りました。
## 他のパスワードマネージャー
[List of password managers(Wikipedia)](http
【Golang】http.ClientにRoot CAを読み込ませる
RootCAs が nil だと普通にPCの証明書を取りに行っちゃうのでRoot CAをハードコードする
これでBurp Suiteとかを使った中間者攻撃を対策できる・・・ハズ
“`main.go
ca := `—–BEGIN CERTIFICATE—–
読み込ませる Root CA の中身
—–END CERTIFICATE—–`
caCertPool := x509.NewCertPool()
caCertPool.AppendCertsFromPEM([]byte(ca))c := &http.Client{
Transport: &http.Transport{
TLSClientConfig: &tls.Config{
RootCAs: caCertPool,
},
},
}
“`
最近話題の偽サイトを効率良く収集して、Maltegoで見てみる
# はじめに
2020年5月、1000をも超える偽サイトが作成されているというニュースが流れました。[- 偽サイト1000超か 海外でも被害、謎深まる―売却目的の可能性も・専門家](https://www.jiji.com/jc/article?k=2020051600131&g=soc)
[- 被害サイト1000サイト以上! 規模の大きさも理由も謎だらけ…史上最大の「偽サイト」事件 三上洋氏に聞く](https://maidonanews.jp/article/13374200)詳細についてはリンク先の記事を御覧いただきたいのですが、作成されている偽サイトには以下の共通点があります。
– **ホスティングサービスが CloudFlare**
– **ドメインのオーナーが freenom.com**ここまで分かっているなら、偽サイトらしきサイトを大量に収集し、それが本当に偽サイトかというのを確認してみよう!というのがこの記事の趣旨です。
偽サイトの収集、データクレンジング、Maltego での可視化など、作業が細かくて長いですが、おつきあいください。# 調査対象ドメイ
Dionaea と VirusTotal を自動連携して、未知のマルウェアと出会いたい
Dionaea は攻撃者が送りつけてきたマルウェアを収集できるハニーポットです。ハニーポットを運営する者としては、どのようなマルウェアが送りつけられたのか気になるものですが、Dionaea はマルウェアに関する情報を収集してくれません。
そこで、Dionaea と VirusTotal を連携し、VirusTotal に掲載されているかどうかを確認できるようにしました。これにより、VirusTotal に掲載されていれば既知のマルウェア、掲載されていなければ未知のマルウェアということが分かり、解析対象が絞り込みやすくなります。Dionaea と VirusTotal の連携に関するサイトは検索すればたくさんあるので基本的には焼き直しですが、マルウェアの既知と未知を区別できるように一手間加えたところがこの記事のミソです。
# 1. VirusTotal API の準備
まずは [VirusTotal](https://www.virustotal.com/gui/home) のアカウントを作ってログインします。ログイン後、右上のアイコンをクリックし、「API Key」をクリックしま
ハニーポットの解析で使っている自作の表やグラフを誰にも頼まれてないのに公開してみる
私が使っているT-potというハニーポットでは、さまざまなダッシュボードがプリセットされています。攻撃件数、攻撃元の地図、攻撃タイプなど、これだけでも見ていて楽しいです。楽しいのです!(強め)
このままでも解析はできるのですが、やはり自分が調べたいものに特化したダッシュボードの方が良いのは間違いありません。というわけで、私がよく使っている集計表 / グラフをご紹介します。
KibanaのURLクエリも貼り付けておくので、よかったら使ってください。
Visualize を選択して、
URLの「g=」以降
Virtual Boxで変更不可のVMを変更したい
Virtual Boxで怪しいサイトにアクセスしたり、ハニーポットで受けた攻撃を分析する用の解析VMを作りました。マルウェアに感染することもありうるので、ぶっ壊れる前提の環境にする必要があります。Virtual Boxは、シャットダウンするだけで元の環境に戻せる機能がありますので、それを使います。
# ディスクのタイプを「変更不可」にするだけ
自分がよく使うツールの導入や設定が済んだ時点でディスクの設定を「変更不可」にします。これによりVMをシャットダウンするだけで初期状態に戻るため安全安心です。
しかし、環境を作り終わったあとでも新しいツールを入れたくなったり、ブックマークを追加するなど、変更箇所はどうしても出てきてしまうものです。
Virtual Boxでは「変更不可」の状態から、書き込みができる「Normal」に変えても「変更不可」の
サーバー構築経験がほぼゼロな自分でも Micorosoft Azureにハニーポットを建てられた話 ~その3 T-Pot編~
[前回記事はこちら](https://note.com/believe_in_beer/n/na55bc4327410)
# T-Pot インストール
いよいよ T-Pot のインストールです。その前にとりあえず update と upgrade をしておきます。また、Debian 9 Strech には git が入っていないので git を入れます。“`Bash
sudo apt upgrade -y
sudo apt update -y
sudo apt install git -y
“`git から T-Pot をダウンロード & インストールします。
“`Bash
git clone https://github.com/dtag-dev-sec/tpotce
cd tpotce/iso/installer/
sudo ./install.sh –type=user
“`少し画面が進むと、以下の画面になります。これは「22番ポートが開いてて、ハニーポットのサービスとかぶるかもしれないけどいいですか?」と聞いています。気にせず Y を押します。
今回は、実際に環境を作っていきます。初心者の方にも分かりやすく細かく書くので若干長くなりますが、ご了承ください。ちなみに、Azure の画面構成やデザインは変更されることがあるので、変わっている場合は適宜読み替えてください。
Azure にログインしたら、「Virtual Machine」を選択します。
「追加」を押します。
# プロジェクトの詳細
プロジェクトの詳細サブ
