- 1. UiPathのソースをGitHub等に公開する前に気を付けること~情報漏洩しないために
- 2. Hack The Box[Blocky] -Writeup-
- 3. サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介:使用方法・レッドチーム編
- 4. Hack The Box[Optimum] -Writeup-
- 5. Hack The Box[Devel] -Writeup-
- 6. フィンガープリント、認証、署名、証明書、SSL/TLSってどんな関係だっけ?
- 7. Hack The Box[Legacy] -Writeup-
- 8. Excelマクロ 4.0を利用した攻撃における非表示シートを表示させるツール
- 9. [月次配信] 月次攻撃サービスの統計及び分析 – 2020年5月
- 10. 【新入社員向け】情報セキュリティ基礎
- 11. SSLで使う暗号スイートはブラウザに任せていいのでは(※正しい設定なら)
- 12. GIPによるアクセス制限はそろそろやめないか
- 13. CISSPまとめ(セキュリティとリスクマネジメント)その2
- 14. Hack The Box[Lame] -Writeup-
- 15. .devドメインと.appドメインがHTTPSを強制する仕組み
- 16. SECCON Beginners CTF 2020 Writesup
- 17. Hack The Box[Grandpa] -Writeup-
- 18. Dockerイメージのなりすましや改ざんを防ぐには?(Docker Content Trust)
- 19. O365にIPアドレス制限をかける
- 20. Hack The Box[Granny] -Writeup-
UiPathのソースをGitHub等に公開する前に気を付けること~情報漏洩しないために
# はじめに
UiPathではGitHubなどと連携してのソース管理が可能で、個人やチームでのソース管理が簡単に行えます。しかし、自分で作ったソースを他人の目にさらす前に、最低限ここはチェックすべし!というところを押さえてから公開しましょう。ソース管理システムは一度コミットしてしまうと、修正は効くものの履歴が残るため、過ちはずっと履歴に記録されたままとなってしまいます( ;∀;)
そうならないように、気を付けましょう。# UiPathソースの特徴と注意点
UiPathのプロジェクトはパソコンの `C:\Users\<ユーザー名>\Documents\UiPath`の下に作成されます。この場所を開いてみると、プロジェクトごとにフォルダーが掘られているのがわかります。UiPath Studioで見ると、左側のプロジェクトパネルにツリー上で表示される構造とほぼ同じファイル構造がフォルダーの中に広がっています。
サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介:使用方法・レッドチーム編
# サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介:使用方法・レッドチーム編
## はじめに
### 趣旨
本記事は、『サイバーセキュリティ・フレームワーク「MITRE CALDERA」紹介』の 第二弾「使用方法・レッドチーム編」です。
本編では、模擬サイバー攻撃を実施するレッドチームでの MITRE CALDERA の使い方を紹介します。
機能概要や環境構築につきましては第一弾「[機能概要・動作環境構築編](https://qiita.com/shiracamus/items/658ea3e5b28fa5ae3245)」をご覧ください。### 記事構成
紹介内容が多いため、以下の4記事に分けて紹介しています。
* [機能概要・動作環境構築編](https://qiita.com/shiracamus/items/658ea3e5b28fa5ae3245)
* 使用方法:レッドチーム編(本記事)
* 使用方法:ブルーチーム編
* 使用方法:トレーニング編### 注意・免責事項
本記事には、サイバー攻撃を模擬再現する方法が含まれています。
これ
Hack The Box[Optimum] -Writeup-
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。
Twitter:@yukitsukai1731# Optimum
HackTheBox公式より
Optimum is a beginner-level machine which mainly focuses on enumeration of services with known exploits. Both exploits are ea
Hack The Box[Devel] -Writeup-
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。
Twitter:@yukitsukai1731# Devel
HackTheBox公式より
Devel, while relatively simple, demonstrates the security risks associated with some default program configurations. It is a b
フィンガープリント、認証、署名、証明書、SSL/TLSってどんな関係だっけ?
ってなったときにざっくり思い出す用の記事です。
# 各用語の簡単な説明
|名称|説明|
|—|—|
|暗号化|メッセージを第三者に理解できない暗号文にすること。機密性を担保する。|
|認証|メッセージが本当に通信したい相手からのものであることを確かめること。|
|フィンガープリント|一方向ハッシュ関数の出力であるハッシュ値のこと。メッセージダイジェストとも。ソフトウェアの作者がハッシュ値を公開し、利用者が手に入れたソフトウェアのハッシュ値と、作者のハッシュ値が一致するか確かめることでソフトウェアの改ざん検知をすることができる。|
|署名(デジタル署名)|メッセージのハッシュ値を暗号化した暗号文。その暗号文はメッセージの作成者しか作ることができないので、「このメッセージは〇〇が作りました」と証明することができる。この暗号文は第三者が解読できる(メッセージの作成者を証明するだけ。機密性は守られない)。解読用の公開鍵が〇〇さんのもであることの証明はないので中間者攻撃ができてしまう。|
|証明書(公開鍵証明書)|認証局に登録された公開鍵と、それに対する認証局のデジタル署名をセットに
Hack The Box[Legacy] -Writeup-
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。
Twitter:@yukitsukai1731# Legacy
HackTheBox公式より
Legacy is a fairly straightforward beginner-level machine which demonstrates the potential security risks of SMB on Windows.
Excelマクロ 4.0を利用した攻撃における非表示シートを表示させるツール
2019年ころからExcelのマクロ4.0(化石のようなマクロだが、書けば最新のExcelでも動作してしまう)を利用した攻撃が観測されています。
出始めの攻撃は、マクロを記載したシートを非表示にしてぱっと見見えなくするような手法だった(右クリック「再表示」で表示可能)ようですが、
最近観測されているものではveryHiddenという形式のシートにすることで、右クリックでも再表示させることができなくなっているものがあります。#veryHiddenを表示させるための方法
##コミュニティ
こちらで方法について議論されています
https://isc.sans.edu/forums/diary/Excel+Maldocs+Hidden+Sheets/25876/##ツール
githubでいくつか公開されています。
・exe形式
https://github.com/DBHeise/ShowSheets/releases
・Powershell
https://github.com/denk-core/ExcelSheetUnhidePowershellのほう使ってみたらシンプル
[月次配信] 月次攻撃サービスの統計及び分析 – 2020年5月
#はじめに
株式会社サイバーフォートレスでは攻撃サービス(ポート)情報を収集し、分析しています。
分析内容から、月次攻撃サービス(ポート)、月次攻撃サービスパターンのTOP10を確認し、過去データと比較し、攻撃トレンドへの対策を考えます。
セキュリティ担当者または、システム管理者はこのようなデータ分析を活用してサイバー脅威の予測に役立てていただければと思います。#月次攻撃サービス(ポート)TOP 10
2020年5月の1ヶ月間収取されたサービスポートTOP10では、Unsigned(TCP/9900)ポートを利用したイベントが先月と比べて上昇し、SNMP(UDP/161), Telnet(TCP/23), MSSQL(TCP/1433), Unsigned(TCP/7178)は先月と比べて減っている。| 順位 | サービス(ポート) | 比率(%) | 前月比較 |
|:—-:|:———————:|:——-:|:——–:|
| 1 | HTTPS(TCP/443) | 36.78% | –
【新入社員向け】情報セキュリティ基礎
# 情報セキュリティについて
### 目次
1. 情報セキュリティとは
2. 脆弱性とは## 1. 情報セキュリティとは
情報セキュリティとは、Webサービスにおいてのセキュリティ**(安全保障)**です。
情報セキュリティにおける理想は、「不正なアクセスや情報の漏洩を防ぎつつ、権限がある人は便利に利用できる」状態を維持することです。
これを分解し言い換え、**「機密性」** **「完全性」** **「可用性」**の3つの要素を維持することを目標にします。#### 「機密性」
– 権限を持たない人が情報資産を見たり使用できないようにすること
(アクセス権限を関係者に限定し、パスワードをかけて関係者しか開くことができなくすること)#### 「完全性」
– 権限を持たない人が情報を書き換えたり消したりできないようにすること
(WEBサイトの改ざん・データの改ざんがされないこと)### 「可用性」
– 権限を持つ人がいつでも利用したいときに利用できるようにすること
(テレワーク等で社外からでも必要な情報を利用できるようにすること)## 2.
SSLで使う暗号スイートはブラウザに任せていいのでは(※正しい設定なら)
# ……たぶん
自信がないわけではないのですが、私が知っている情報が古い可能性もあるので、誤りがあるようでしたらぜひご指摘ください。
また、本文で特に断りがない場合、SSLという単語は **SSL/TLS** を指します。
# 暗号スイート(cipher suite)の“選ばせ”方
Apache httpd の設定を解説した記事では、多くの場合
`SSLHonorCipherOrder` を `on` にすることが推奨されています。こうするとサーバで暗号スイートを指定するのでダウングレード攻撃を防げる、という理由からです。でもこれはベストプラクティスと言えるでしょうか?
私は、サーバが提示する暗号スイートが **すべて安全なもの** なら、サーバで指定するのではなく、クライアント(ブラウザ)に選ばせた方がいい、と考えています。# 暗号スイートの提示
安全な暗号スイートとはなにか、というのはサーバの運用次第だと思います。ここでは、2020年6月3日時点で安全な、たいていのクライアントが対応し、処理速度の速いものを選びました。
Apache httpd で、利用できる暗
GIPによるアクセス制限はそろそろやめないか
#はじめに
掲題の通りです。
そろそろGIP(Global IP Address)によるアクセス制限はやめませんか?#GIPによるアクセス制限の定義
ここで伝えたいGIPによるアクセス制限とは以下です。* アクセス元IPアドレスを使用したサービスへのアクセス許可/拒否の制御
SaaSなどのインターネットに開かれているシステムに対して、クライアントのアクセス元GIPによる制御をやめたほうが良いと考えています。
以降、理由について述べます。#SaaSが当たり前に
政府がクラウド・バイ・デフォルト原則をうたっているように、もうクラウドが当たり前です。
参考: https://pfs.nifcloud.com/navi/beginner/cloud_by_default.htmSaaS同士を連携しようとした際に、「信頼できるGIP」をSaaS上で登録したりします。
この方式はSaaSが大規模になればなるほど、登録すべきGIPの範囲が拡大します。
SaaSの進退に応じて柔軟に変更できる運用を敷けるのであれば止めはしませんが、そんなことに労力を割くべきではないと考えます。
なによ
CISSPまとめ(セキュリティとリスクマネジメント)その2
# 1. 概要
CISSPの学習を始めたので、備忘録も兼ねて
要点をまとめていこうかと思います。
その2はセキュリティガバナンスについてです。# 2. セキュリティガバナンス
– コーポレートガバナンスの一部であり、ITガバナンスの一部とされることもあります。(セキュリティがITのみを対象にするか、IT以外も対象にするかによって異なります)
– 取締役会と経営幹部が企業のリスクを受容可能な水準で管理・監督するための仕組みです。
– 目的は、リスクが適切に低減され、投資が適切に指示され、その効果の可視性が保証されることです。
– ITガバナンス協会は、ITガバナンスを「取締役会と経営幹部の責任」と定義しています。# 3. 組織の目的、使命、目標
– セキュリティは、組織のビジョン、使命、目標を実現するために存在します。
– 完全なセキュリティを実現することは非現実的かつ費用がかかりすぎ、維持することも困難です。(そのため、効果的かつ継続的なセキュリティマネジメントが必要になります)
– 経営幹部は、セキュリティにかかる費用と受容するリスクについて、最終的な決定を行います。(リスク
Hack The Box[Lame] -Writeup-
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。
Twitter:@yukitsukai1731# Lame
HackTheBox公式より
Lame is a beginner level machine, requiring only one exploit to obtain root access. It was the first m
.devドメインと.appドメインがHTTPSを強制する仕組み
トップレベルドメインの中に.devと.appがある.これらはHTTPS接続を強制するドメインとして知られている.この仕組みが気になっていたので調べてみた.
参考: [グーグル、完全HTTPS接続で安全なアプリ用ドメイン「.app」–早期登録を受付開始 – CNET Japan](https://japan.cnet.com/article/35118647/)
# 仕組み
結論: **HSTS**の**Preload List**という技術を使っている.
## HSTS
HSTS(HTTP Strict Transport Security)はHTTPでアクセスしてきたユーザ(HTTPクライアント)にHTTPSでのアクセスを強制するための技術である.対応しているWebサイトでは,HTTPレスポンスのヘッダに `Strict-Transport-Security: xxx` が付与されている.Qiitaの場合は`strict-transport-security: max-age=2592000`が設定されている.[RFC 6797](https://tools.ietf.o
SECCON Beginners CTF 2020 Writesup
SECCON Beginners CTF2020に参加したのでWritesupを記載します
スコアサーバー
https://score.beginners.seccon.jp/challenges# Welcome
問題文に記載がある通り、SECCON BeginnersのDiscord チャンネルにアクセスするとフラグがある。
FLAG:ctf4b{sorry, we lost the ownership of our irc channel so we decided to
Hack The Box[Grandpa] -Writeup-
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。
Twitter:@yukitsukai1731# Grandpa
HackTheBox公式より
Grandpa is one of the simpler machines on Hack The Box, however it covers the widely-exploited
CVE-2017-7269. This vulnerability is t
Dockerイメージのなりすましや改ざんを防ぐには?(Docker Content Trust)
Dockerのイメージへのセキュリティ対策ってどうなっているのか、気になったので、調べてみました。
# Dockerイメージのなりすましや改ざんを防ぐには?
Dockerイメージには、インフラ構成が含まれています。
なので、悪意のある第三者からの「なりすまし」や「改ざん」からイメージを保護する方が、外部からインフラ構成をみられることないため、安全です。
そこで、**Docker Content Trust**という機能を使うと、Dockerイメージの正統性を確認できます。## Docker Content Trust
### Docker Content Trustの仕組み
[公式サイト](https://docs.docker.com/engine/security/trust/content_trust/)
#### 署名
イメージ作成者がDockerレジストリにイメージをアップロードする前に、ローカル環境でイメージ作成者の秘密鍵を使ってイメージに署名します。
この秘密鍵のことをOffline Keyと呼ぶ。この鍵があると、中身をみられてしまうので、しっかり管理します。
O365にIPアドレス制限をかける
# はじめに
O365(最近Microsoft365に名称変更しましたが)の導入にあたり、セキュリティ対策を整理する中で、基本的なアクセス制限の一つを備忘と合わせてまとめました。# 目的
O365を会社で導入する際に、オフィス外からアクセスして、社内の情報を取得できてしまう状況を防ぐ。
いわゆるセキュリティ対策における「外部対策」。(外部からの悪意のあるアクセスを防ぐという意味で)# やること
O365サービスを特定のIPアドレス以外からはアクセスを不可にする。
(場合によっては特定のIPアドレス以外は2要素認証をかけるといったケースもありますが、シンプルにしました。)# 前提
## プラン
– Microsoft 365 Business Standard
トライアルで利用できる。## Azure Active Directory Premium P1もしくはP2
P2はトライアルで利用可能。## O365の管理者であること
Microsoft365管理センターへアクセスできること。# 設定手順
## Microsoft365管理センターへアクセス
管理のアイ
Hack The Box[Granny] -Writeup-
# はじめに
Hack The Boxの攻略などを自分用にまとめたものです。
主に記録用として記しています。
現在のランクはHackerです。
間違っていることも多いかと思いますが、よろしくお願いします。
Twitter:@yukitsukai1731# Granny
HackTheBox公式より
Granny, while similar to Grandpa, can be exploited using several different methods. The intended
m
