今さら聞けないセキュリティ　2020年11月25日

Webサイトに来た攻撃をまとめてみた

# はじめに
自宅にインターネットに公開しているWebサイト(自宅サーバー)があります。Webサイトでは日夜、世界中から脆弱性を悪用しようと攻撃を受けているのですが、今回は実際にWebサイトに来た攻撃の一部を紹介してみようと思います。

# 環境
* Laravel(PHP)を用いた動的なWebサイトなどを自宅で公開
* インターネットとの境界線にFW(Fortigate)を設置。UTMライセンスあり
* インターネット->自宅サーバーNWへの通信に対してFWの`アンチウイルス`、`IPS`、`WAF`を有効
– `IPS`とは: 不正な通信を検知、ブロックする機能。主にOS、機器などの脆弱性を狙った攻撃
– `アンチウイルス`とは:パケットに含まれるウイルスを検知、ブロックする機能
– `WAF`とは：Webアプリケーションレベルの攻撃を検知、ブロックする機能
* 期間は11月のある一週間

# 結論
自宅であろうが、AWSであろうが、レンタルサーバーであろうが、Webサイトをインターネットに公開すると攻撃を必ず受けます。Webサイトを公開する場合は、OS、ミドルウェア、

ESP32のセキュアなプロトタイピング環境を作成した(概要編)

#はじめに#
独学しているIoTセキュリティについて、集大成の意味合いを込めて現在理想と考えるセキュアなプロトタイピング環境を構築しました。
デバイス、サーバー、クライアントアプリの要素技術の勉強を含めて備忘録として分散して記していきます。

#なぜESP32、きっかけ#
Wifi,Bluetoothを使える安価なチップというのが大きい。
数多くの作例、Arduinoのサポートによる多くのコード資産、情報量の多さ、メーカードキュメントのわかりやすさ、M5StackなどをはじめとするESP32関連キットの人気もあり、趣味と実用を兼ねて選択した。
多くの個人事例がある中で、ESP32を使ったセキュアな通信を検証してGithubにアップしていくと、世界各国から、製品として採用を検討しており、ネットワークセキュリティについて取り組んでいる開発者から相談を受けることがしばしばあった。

そういう開発者がセキュリティについてゼロから考えて実装していくのは本当にやりたいことから時間を削ることになり、理想的ではないなと思うようになった。
また、デバイスが安全に通信できると適用できる現場がもっと増やせて

BIOSロックの方法(DELL XPS13)

対象が限定的な話ですが、DELL XPS13のBIOSロック設定をする機会があったので記録します。
写真が斜めっているのは、ご愛敬ください！！

##手順と説明

1．PCを起動または再起動し、DELLのロゴが表示されたら「F2」キーを連打します

2．BIOSセットアップ画面が表示されるので、「Password」をクリックします。

　①**強力なパスワードを有効にする(Enable Strong Password)**
　　こちらの設定を有効化にすると、**最低8文字、1つ以上の大文字、1つ以上の小文字**を含めたパスワードにしないとパスワードの登録、変更ができない設定です。

　②**パスワードの設定(Password Configuration)**
　　Adomin PasswordとSystem Passwordの入力最低数と最大数を決めることができます。

　③**権限者パスワード(Admin Password）**
　　BIOS設定を変更した際に、パスワードを入力しないと変更できなくする設定です。
枠に登録するパスワードを入力　＞　「Enter」を入力　＞　もう一度パス

BlueTeamを勉強したいんじゃ！~Covenantハンティング編~

# 第三弾：BlueTeamを勉強したいんじゃ！シリーズ
[前回](https://qiita.com/ninja400/items/a95c6a1725201f12869d)の記事でLABを作りました。今回はCovenantを使ってWin10に侵入してコマンドを実行するまでを行い、SecurityOnionでどの様にしてハンティングさせるかまでをやっていきます。

# 注意事項
– 自分環境以外には絶対に攻撃しないでください(本記事はハンティングが目的なので・・・)

# 全体の流れ(ざっくりレベル)
1. マリシャスなWordを作成
2. powershell起動&C2に接続
3. SecurityOnionでハンティング

# 見つけたいもの
親プロセスがWordで子プロセスがpowershellの怪しい挙動をしているものをハンティングしたいと思います。
![Blueteam.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/509755/5b814056-7744-5279-49c2-797fcb0

一時ファイルを作る上で気をつけたいこと

プログラムを書く上で、一時ファイルを作る必要のある場面もあるかと思いますが、作り方に気をつけないと、セキュリティ上などの懸念が生じてしまうことにもなります。

## この記事のスコープ

この記事では、「（子プロセスなどで使う場合も含め）自分のプロセスで値を使い終える」一時ファイルについてのみ考慮します。「プロセス終了後に残しておいて、別なプロセスがあとから読み取る」ような一時ファイルについては、作成時にできることにも限りがあります。

また、セキュリティ面については、主に「同じマシンにいる、別な非rootユーザーからの攻撃」を考えていきます。root権限を持ったユーザーに対してや、同じユーザーで動く別プロセスなどに対しては、できることにも限界があります。

そして、Unix系のパーミッション環境を前提としますので、Windowsではそのまま適用できるとは限りません。

## 作成場所

まずは、作成する場所を考える必要があります。

### 専用の一時ディレクトリ

パーミッションを`700`に設定したディレクトリを用意しておけば、この中にはrootでない他人がアクセスすることはでき

セキュリティ超初心者がCpawCTFを始める

#はじめに
前回、CTF初心者はまず何から始めれば良いかを整理した。
「セキュリティ超初心者だけどCTFやってみたい」
https://qiita.com/s-hirano/items/87cb834b10bb7490bf50
気持ちが乗ってる間にどんどん進めよう。

#CpawCTFに登録してみよう
CpawCTFのサイトはここ→https://ctf.cpaw.site
トップページに「スコアサーバへの攻撃はおやめください」と注意書きがある。ワクワク！
右上のSignUpから爆速で登録出来ました。

「初めての方はこちら」ページも一応チェック。
ジャンル一覧が載ってる。見慣れた名前もあれば初めて見る名前もあり…。
1. Crypto
2. web
3. Reversing
4. Pwn
5. Forensic
6. Network
7. PPC
8. Steganography
9. Recon
10. Trivia
11. Misc
どうも問題を解くためには様々なツールを駆使しないといけない模様。
ツールですら聞いたことない名前ばかりーーーーW(‘ O’ )W

登録が完了すると

情報セキュリティマネジメント試験１か月前に勉強を始める

###情報セキュリティマネジメント試験を受ける過程を簡潔に記す。
試験実施日が１か月を切っているが、（さらに２か月後は基本情報技術者試験も受ける）
なぜこんなにもハードなのか…それはコロナという３文字で察してほしい。

[IPAのHP。試験実施日のスケジュールだ](https://www.jitec.ipa.go.jp/1_00topic/topic_20200918_2.html “IPA”)
>「我是我」 byアユ二・Ｄ

###本題に入る
僕の知識量は基本情報技術者試験に受かるかどう

翻訳：脅威インテリジェンスによる中国の情報操作の分析（CODE BLUE 2020）

以下は CODE BLUE 2020 で発表された「[Dissecting China’s Information Operations with Threat Intelligence](https://www.youtube.com/watch?v=5PgEeDwc828)」を試訳したものです。

発表者：Che Chang, Silvia Yeh
発表日：2020年10月29日

# 目的

CODE BLUE を聴講後、復習をかねて以下の手順で翻訳しました。

1. [Otter](https://otter.ai/jp) で [YouTube](https://www.youtube.com/watch?v=5PgEeDwc828) の動画（英語版）を音声から文字へ変換
2. YouTube の動画の字幕と比較して単語の誤変換を修正
3. [DeepL](https://www.deepl.com/ja/translator) と [Google Translate](https://translate.google.co.jp/?hl=ja) で英語から日本語へ翻訳
4.

ハッシュ値を出力する湯婆婆をC#で実装してみる（PBKDF2他対応）

##はじめに
先日、.NET 5.0がリリースされました。業務でがっつりC#を使うわけではありませんが、でも、せっかくなので触ってみたいと思ったのと、加えて、私が情報処理安全確保支援士（SC）の学習をしているのもあり、このような記事になりました。

でも、他の記事と同じように、これも**ネタ記事**です。
（勉強も兼ねていますので、指摘は歓迎です）

なお、本記事では.NET 5.0（C# 9.0）で実装していますが、基本的なコードの部分に関しては、以下の記事を参考にさせて頂きました（ありがとうございます）。

– [C# で湯婆婆を実装してみる（?田さんにも対応）](https://qiita.com/okazuki/items/03049da368222b562da9)

**更新履歴**
2020/11/14 記事公開
2020/11/15 パスワード保存に適したハッシュ関数（PBKDF2）を追記
2020/11/16 BCrypt、Argon2を追記

##基本的なコード
最低限のコードは以下のような感じでしょうか。
C# 9.0から可能になったトップレベルステートメントで記述

【Linux】Permission(アクセス権限)について

注意：この記事ではセキュリティに関する変更を加える記事になっております。この記事を元に発生した問題や損害に対しては、当方一切の責任を負いませんので、コマンドなどを実行する場合は必ず自己の責任が及ぶ範囲内でお願いいたします。

###この記事で出てくる用語
`file_put_contents()` → PHPを実行した際に、指定されたパスのファイルに内容を加える。
`file_get_contents()` → PHPを実行した際に、指定されたパスのファイルの内容を呼び出す。
`Permission` → ディレクトリやファイルを操作する時の権限。(日本語で再帰的)

—

先日、PHPの学習をしている時に、`file_put_contents()`と`file_get_contents()`を使用する場面があったのですが、そこでハマってしまったので解決方法を残しておきます。

結論から言うと`Permission`の問題でした。

##Permissionの確認方法
筆者が使っているのは

知って得する！？ AWSのセキュリティ関連サービスをご紹介！

# はじめに
今回はAWSのセキュリティ周りのサービスを紹介します！

# YouTube動画
[【YouTube動画】 知って得する！？ AWSのセキュリティ関連サービスをご紹介！](https://youtu.be/B2lJ7SCSK9E)
[](https://youtu.be/B2lJ7SCSK9E)

# 認証・認可周りのセキュリティ
## IAM
IAMはIdentity and Access Managementの略で、AWSサービスやリソースへ安全にアクセスするための管理サービスです。

IAMではグループ、ユーザー、ロール、ポリシー、IDプロバイダーの権限設定ができます。

AWS

tips

セキュリティ

YouTube

やっすん

元記事を表示

HTTP X-Content-Type-Options ヘッダー概要

## 概要

* `Content-Type` ヘッダー(レスポンスのファイル形式を明示する)で示された MIME タイプに基づいてファイルタイプを判断すべきことを示すためにサーバー側で付与するヘッダー。
* ファイル**内容**から、ファイルタイプを判断させない。

* MIME タイプのスニッフィングを抑止するために使用する。

* MIME タイプが欠落している、あるいは MIME タイプが誤って設定されているとクライアントが判断した場合に、リソースを確認しMIME タイプを推測する処理。

## 構文

“`http
X-Content-Type-Options: nosniff
“`

## 指定しない場合に起こり得る脅威:クロスサイトスクリプティング(XSS)


## 参考情報

* [X-Cont

EC2 Instance Connectはパブリック IPアドレスを優先する？

# やってみていること
EC2が3つあります。
1. 踏み台サーバとして起動。パブリックIPあり。
2. Webサーバとして起動。パブリックIPあり。
3. Webサーバとして起動。パブリックIPなし。

なんで、3.はパブリックIPなしかと言うと、元々ELB経由で接続する予定なので、パブリックIPアドレスは不要なのですが、2.のときにうっかり付けて起動してしまった、というわけです。しかも、後からは外せない:frowning2:

今のところはプロト環境として構築中なので、本番のときは付けないで起動せねば！と心に固く誓うだけじゃなく、しっかりメモしたところです。

# EC2 Instance Connectってのがあるらしいじゃない！？
保守作業に当たってのアクセス制限とか操作記録とか、どうしようかといろいろ考え中にEC2 Instance Connectというのがあるのを知って試してみています。

## 環境構築
元々、踏み台サーバからsshでアクセスできるようにしてあったので、そこは割愛します。
実は、踏み台サーバへのログインもどうしようかと、まだ考え中で。。。AWSコンソール使

セキュリティ超初心者だけどCTFやってみたい

#はじめに
CTF、1年前くらいから気になっていたけど全然手を出せていなかった。
不正アクセスのニュースがあると情報セキュリティ界隈の人たちがガヤガヤしているのを見て楽しそうだな、と思ったり。※不謹慎ですみません
単純にハッキングってかっこいいじゃんと言う憧れもあり。
最近少し時間や心身に余裕が出てきたので、まずCTFの概要や何をすれば良いかをまとめる。やってやるぞ！

#CTFとは何か
「Capture The Flag」の略で「旗取りゲーム」の事。
情報セキュリティでのCTFとは、クイズ形式でセキュリティスキルを用いて隠された答え＝旗を探し出していく技術競技。
大会はいくつもあって界隈の学生・社会人が参加している。
参加すると順位や点数が付けられる。
いつでも挑戦できる常設タイプと日時を決められたイベントタイプがある。

#初見、まず初心者には敷居が高い！
一番有名なCTFと言えば「Security Contest（SECCON）」。
試しにSECCON参加者のwriteupをいくつか見てみたところ。
**全く何も分からない(´Oﾉ`o)**
全部呪文か異国の言葉に見える。
でもみ

セッション管理の安全対策について

# 注意
僕は少しセキュリティ についてかじり出した初心者です。
間違った情報を書いている可能性があるので、コメントで教えていただけると幸いです。
ちなみに徳丸本を参考にしています。

# はじめに
当たり前のことなのですが勉強も兼ねてアウトプットします。
本題の前にクッキーとセッション変数についてそれぞれ簡単に説明します。

# クッキー
クッキーの中にはデータを保存しておくことができる。しかし値の個数や文字列の長さに制限がある。さらに利用者本人から参照、変更可能ということもあり、クッキーは秘密情報の格納に向かない。

# セッション変数
上記で説明した通りクッキーは秘密情報の格納に向いていません。
そこでwebサーバー上でセッションidを生成し、セッション変数に保存します。
そのセッション変数をクッキーに保管するという形でweb ブラウザに状態を持たせます。

# セッション管理安全でないところ
それは漏洩してしまう可能性があるという事です。
その原因は主に5つあります。

– クッキー発行の際の属性に不備
– セッションidの盗聴
– クロスサイト・スクリプティングなどアプリ

【JavaScript】Webセキュリティについて

■　CSRFとは
クロスサイトリクエストフォージェリ（CSRF）とは、Webアプリケーションに存在する脆弱性、もしくはその脆弱性を利用した攻撃方法のことです。
掲示板や問い合わせフォームなどを処理するWebアプリケーションが、本来拒否すべき他サイトからのリクエストを受信し処理してしまいます。

→参考
https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/csrf.html

■　CSRFについて参考にしたサイト

https://html-coding.co.jp/knowhow/security/csrf/

https://qiita.com/wanko5296/items/142b5b82485b0196a2da

https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/threat-solution/csrf.html#counter-tm-anchor

https:

Permitted Cross Domain Policies

#はじめに
Permitted Cross Domain Policies
について書いていきたいと思います。
備忘録程度ですが….

#Permitted Cross Domain Policiesって？
ドキュメント
https://www.adobe.com/devnet-docs/acrobatetk/tools/AppSec/xdomain.html
Flash pLayerを使う際
他のドメインのダータファイルなどを閲覧する際に制限をかけるためのファイル
設定などはドキュメント、またはこちらを参照(http://cuaoar.jp/2008/03/-flash-player.html)

#FlashでCross Domain てどういうこと？
そもそもFlashは呼び出される側でcrossdomain.xmlのを設定してそこを制約として
クロスドメインでFlashコンテンツを呼び出せるらしい。
参考(https://gihyo.jp/dev/serial/01/web20sec/0004)
ただしCross Domainを許可した場合他のファイルまでアクセスできてしま

ContentSecurityPolicy(CSP)

#はじめに
先日、仕事でセキュリティに関する内容の仕事をしていたがそれまでクリックジャックって〜フィシングサイトって〜みたいな概念的な物しか把握してなかったので調べました。
もっと具体的に〜があって、〜が問題でだからこの設定が必要である。
というもうちょっと掘り下げた内容を備忘録として残していきたいと思います。

#ContentSecurityPolicy(CSP)って？
ドキュメントより
https://developer.mozilla.org/ja/docs/Web/HTTP/CSP
>コンテンツセキュリティポリシー (CSP) は、クロスサイトスクリプティング (XSS) やデータインジェクション攻撃などのような、特定の種類の攻撃を検知し、影響を軽減するために追加できるセキュリティレイヤーです。これらの攻撃はデータの窃取からサイトの改ざん、マルウェアの拡散に至るまで、様々な目的に用いられます。

つまりやXSSという脆弱性があると悪意のあるユーザーによって仕込まれた任意のJavaScriptが実行できてしまい、データの窃盗や改竄などができてしまう。

XSSへの内容としては

X-Frame-Optionsについて

#はじめに
先日仕事でセキュリティに関する内容の仕事をしていたがそれまでクリックジャッキングって〜フィシングサイトって〜みたいな概念的な物しか把握してなかったので調べました。
もっと具体的に〜があって〜が問題で、だからこの設定が必要である。というもうちょっと掘り下げた内容を備忘録として残していきたいと思います。

#X-Frame-Optionsって？
ドキュメントより
> HTTP のレスポンスヘッダーで、ブラウザーがページを frame, iframe, embed, object の中に表示することを許可するかどうかを示すために使用されます。サイトはコンテンツ>が他のサイトに埋め込まれないよう保証することで、クリックジャッキング攻撃を防ぐために使用することができます。

つまりは他所のページやコンテンツを自分のページに挿入することができる。(HTML５でframeタグは廃止されています)
これで何が問題かというと、HTMLの仕組み上ページやオブジェクトを透過(opacity: 0;)させて重ねる(positionやz-indexなど)ことができる。

そのためURLは違えど見

初心者の為のhack the box100本ノック～その3：Lame(easy)～

#初めに
皆さんこんにちは！
100本ノックシリーズはセキュリティ初心者でも分かる様、なるべく詳しく解説することを目指したシリーズです！
用語解説などは折り畳みで解説しているので、見てみてください。

寒くなってくると気分が落ち込みますが、今回も頑張っていきましょー

(宣伝)
$\rm\large{↓セキュリティカテゴリのAdven Calendar作りました！↓}$
[?セキュリティ Advent Calendar 2020?](https://qiita.com/advent-calendar/2020/security)
自分の学びのアウトプットとして、この機会に1個記事を書いてみませんか？

#目次
・初めに
・挑戦するマシン
・1．情報収集
・2．Exploit
・3．user.txtの取得
・4．root権限&root.txtの取得
・最後に
・おまけ
・参考にさせていただいたサイト

#挑戦するマシン
今回挑戦するマシンはLame(easy)です。
![htb_lame.PNG](https://qiita-image