今さら聞けないセキュリティ　2021年01月19日

Webアプリのセキュリティに関する基本のキ

# 前書き

Webアプリケーションに脆弱性（セキュリティバグ）を埋め込まないための、基本中の基本的な知識についてまとめました。
この記事の内容だけでセキュリティを担保できるものでは全くありませんが、学習のファーストステップになれば幸いです。

HTTPやHTMLの基本的な知識があることを前提にしていますので、それが不足されている方には、以下の書籍をお勧めします。
[Webを支える技術](https://gihyo.jp/book/2010/978-4-7741-4204-3)

記事の内容に誤りがありましたらコメント等で教えていただけると幸いです（掘り下げ不足は多々あると思いますが…）。

# 基礎知識

## セッション管理

>WWWサービスで使用されるHTTPプロトコルでは、クライアントからWebサーバーへのリクエストがあるたび、クライアントとサーバー間でコネクションが成立し、リクエストに対するレスポンスが行われ、コネクションは切断される。
>そのため、Webサーバーに対する複数リクエストが同一クライアントから送信されたものであるかどうかを判断することは不可能である。

>一般

カッコウは人工衛星に卵を産むか〜人工衛星のセキュリティ脅威概況〜

この記事は趣味で宇宙開発をしている団体「[リーマンサット・プロジェクト](https://www.rymansat.com)」がお送りする[新春アドベントカレンダー](https://qiita.com/rsp-dgkz/items/a6ff573c07dbe2c6166f)です。

#Who am I?
* リーマンサットでは、映像制作やその他諸々のデザイン等をきまぐれでやっています
* 趣味で、旅行関連メディア「[EAT PRAY CARP](https://eat-pray-carp.com/) 」を運営しています
* 普段はサラリーマンとして色々やっています
* [Youtubeのチャンネル](https://www.youtube.com/channel/UChanzZGExWUyj-WOBNz42Rw)登録者を募集中

#イントロ
近年サイバーセキュリティは、企業、個人、国家にとって重要なアジェンダであり、さまざまな分野で重要性が議論され、対応策が検討されています。また、様々な機器の複雑化に伴い、サイバーリスクに晒される機器も対象とすべき機器もPCやサーバに限らず、オフィス

パスワードを破るための攻撃

– ブルートフォース攻撃
– 概要：1人のユーザーに対して、様々な文字列を組み合わせて力任せにログイン試行を繰り返す攻撃。

– リバースブルートフォース攻撃
– 概要：1つのPWを、様々なユーザーに対してログイン試行をする攻撃。例えば「1234」や、「password」「qwerty」などがある。（つまりブルートフォース攻撃の逆）

– 辞書攻撃
– 概要：辞書に出てくる言葉を順に使用してログインを試みる攻撃。
– 対策：例えば「dog」「chair」などは使用しないことが求められる。

– スニッフィング
– 概要：盗聴する（キーロガーなど）でパスワードを知る攻撃の総称。

– リプレイ攻撃
– 概要：パスワードを送信しているIPパケットを取得し、まったく同じものを再度送信することでそのユーザーになりすます攻撃。これはパスワードが暗号化されていても使用できてしまう。
– 対策：1セッションごとにランダムなセッショントークンを送付し、同一のものか確

マルウェアの種類・攻撃

マルウェアの種類、攻撃方法がぱっと出てこないので一覧にしました。

# マルウェアの種類
– スパイウェア

参考：https://cybersecurity-jp.com/security-measures/22807
– 概要：パソコン内でユーザーの個人情報や行動を収集し、別の場所に送ることができる。
– 予防方法：セキュリティ対策ソフトの導入

セキュリティ対策ソフトのアップデート

OSのアップデート

不審なメールを開封しない（メール自体を開かない）

不審なリンクを踏まない

不審なプログラムをインストールしない
– 攻撃方法：ユーザーがなんらかの形でスパイウェアをインストールすることでPCに侵入する。主なものでは、有用なプログラムの一部に仕込んだり、メールの添付ファイルとして送付されたりする。また、OSの脆弱性をつくものもある。
深刻なものでは、キーボードの入力を監視してそれを記録するキーロガーや、ユーザーに無断でソフトウェアをダウンロードするダウンローダな

AWS EC2 nginx SSHポート番号変更の方法

AWS EC2 nginxサーバーのSSHポート変更してみた
—

やること
①AWSセキュリティグループ(インバウンドルール変更)
②/etc/ssh/sshd_configのport変更
③sshd再起動
④configファイルのポート変更

①AWSセキュリティグループ(インバウンドルール変更)
—
EC2→セキュリティグループ→任意のセキュリティグループを選択→インバウンドルールの変更
▷青枠のところに任意のSSHポートを記入
▷真ん中の枠にはIPアドレス関連の情報を記入
▷右の枠には説明を記入

②/etc/ssh/sshd_configのport変更
—
①で設定した任意のSSHポートを記入

“`
#Port 22
Port 任意のもの
“`

③sshd再起動
—

知ってるようで知らないRefererとReferrer-Policyのお話

# 概要

この記事は主に以下の内容に触れていきます！

1. Refererというものはそもそもなんなのか
2. Refererはどのように動いているのか
3. セキュリティを意識したReferrer-Policyを設定するにはどうすればいいのか
4. 番外編: target=_blankでの脆弱性

つい半年ほど前にGoogleがChromeのデフォルトのReferrer-Policyを変更して話題になりましたね。
この記事を読んでいただければGoogleがReferrer-Policyを変更した背景も分かってくるかと思います！

参考記事： [Entry is not found – paiza開発日誌](https://paiza.hatenablog.com/entry/2020/10/02/referrer_policy)

# Referer is 何？

> HTTPリファラ（英: HTTP referer）あるいは単にリファラは、HTTPヘッダの1つで、インターネット上の1つのウェブページまたはリソースから見て、それにリンクしているウェブページやリソースのアドレス

駆け出しエンジニアでも絶対に知っておきたい技術用語7選

#はじめに
最近[イラスト図解式 この一冊で全部わかるWeb技術の基本](https://www.amazon.co.jp/イラスト図解式-この一冊で全部わかるWeb技術の基本-小林-恭平/dp/4797388811)を呼んだのですが、現役エンジニアにとってはあたりまえでも、駆け出しの方は見落としてしまいがちな技術用語が網羅されていたのでまとめていきたいと思います。
#HTTPリクエスト／レスポンス
私たちがPCやスマホでWEBページを閲覧しようとする際にはHTTP通信が行われています。
この通信方式は非常にシンプルで、クライアントであるWEBブラウザが要求を送り、サーバーであるWEBサーバーがその要求に対して応答を返すという単純なやりとりになります。
クラインアントがサーバーに対して行う要求を**HTTPリクエスト**、サーバーがクライアントの

個人情報”過剰”防衛術

こんにちは、c477usです。
パソコンの普及に伴い、重要書類等をパソコン上に保存せざるを得ない状況は必ず発生します。しかし、それらの防衛に対する理解はまだ浸透しきれていないように感じます。
Torを個人的な理由で使いたい、という方なら尚更でしょう。そこで今回は機密情報をどのように取り扱い、破棄する際はどうすれば良いかまでを紹介します。目標が**”捜査機関であっても奪取・復元が困難である”**ことのためかなり大げさ(被害妄想的)なものもありますが、そこは読者の皆様に取捨選択をしていただきたいと思います。

**警告:これから紹介する手法はあくまで個人情報や重要なデータを守るために紹介しています。また、具体的な方法は個人での機密情報保護・個人間でのやり取りを想定しています。**

#データの取り扱い
この章では、そもそも機密情報を扱う際の留意点を記述します。パソコンに侵入検知ツールやセキュリティソフトを設置するよりも前の、取り扱いでの心構えのようなものです。
これらを守るようにすれば一般では十分な防衛を行うことができますが、当然完全ではありません。

##機密情報はOSの入ったディスク上

Anonsurf ~TorをProxyとして扱う

こんにちは、c477usです。
Torを用いた匿名化ソフトウェアには様々なものがありますが、今回はその中でも有名な**Anonsurf**について取り上げます。
Kali Linux、Ubuntu、Windowsと様々な環境に合わせて開発が進められているツールでもあるので、知っておいて損はないでしょう。

**警告: この記事はTorネットワークの活用例として紹介しています。匿名性を悪用した犯罪を教唆するものではありません。**

#Anonsurfとは
Anonsurfは、TorをProxyのような形で扱えるようにしたツールです。 –>[Proxyについて](https://qiita.com/c477us/items/651807f5e50aeb528655#proxy%E3%81%A8%E3%81%AF)

以前紹介したものではAndroidのOrBotと同じような仕組みです。 –>[OrBotの記事](https://qiita.com/c477us/items/be89e64ec792bc9a7991#orbot)

#TorをProxy化する
Proxyに関しては上に記

Torへの勘違い: Onionサイトの接続方式

こんにちは、c477usです。
ニュースなどでTorが取り上げられる際、**「Torとは、いくつものサーバーを経由することで発信元の特定を困難にするソフトである」**と言った説明がなされます。そして、皆様の中にもそのような認識を持たれた方がいらっしゃるかと思います。

しかし、この説明は不完全です。上の説明は、あくまで「Torを用いて表層サイト(例:example.com)に接続する際の接続方式」で、「Torを用いてOnionサイトに接続する際」は異なる方式を使用するからです。

今回は、Torを用いてOnionサイトを閲覧する際どのように接続が行われるかを解説します。

**注意:この記事はTor Projectドキュメント、[“Tor: Onion Service Protocol”](https://2019.www.torproject.org/docs/onion-services)を基に作成しています。できれば公式のドキュメントを閲覧してください。**

#普通のサイトとOnionサイトの違い
はじめに普通のサイトとOnionサイトの違いについて簡潔に述べましょう。それは、

Dockerでハニーポット(Dionaea)を運用する

#Dionaeaとは
マルウェアの収集を目的とした低対話型ハニーポット。
[DinoTools/dionaea](https://github.com/DinoTools/dionaea)
#ハニーポット構築
###Dockerfile作成

“`dockerfile:Dockerfile
FROM ubuntu:18.04

ENV DEBIAN_FRONTEND=noninteractive

RUN apt update && \
apt install -y –no-install-recommends \
build-essential \
cmake \
check \
cython3 \
git \
libcurl4-openssl-dev \
libemu-dev \
libev-dev \
libglib2.0-dev \
libloudmouth1-dev \
libnetfilter-queue-dev \
libnl-3-dev \
libpcap

Kali LinuxをWindowsでGUIありで動かす(without VirtualBox)

こんにちは、c477usです。
さて、皆さんはKali Linuxを運用したい時、どのような方法を使いますか？多くの方は、Virtual BoxやVMwareといった仮想環境を利用なさるのではないでしょうか。実際、仮想環境内でペネトレーションテストをしたいならばそれが最適です。
しかし、HackTheBox等外部のサーバーでペネトレーションテストをする時など仮想環境を構築する必要性があまりない場合もあるでしょう。
そう言った際はWindowsに**直接**Kali Linuxを導入する方法があります。今回はその詳しい手順を紹介します。

#Kaliを導入する
それでは、実際に導入します。まずはWSL(Windows Subsystem for Linux)を導入しますが、その前にWSLについて少し解説します。

##WSL(Windows Subsystem for Linux)とは
KaliをはじめとしたLinuxでは、ファイルのフォーマット形式に**ELF(Executable and Linkable Format)**が使用されています。しかしながら、Windowsはデフォルト

Noisy ~個人情報を撹乱する

こんにちは、c477usです。
筆者は個人情報を収集されることに強い嫌悪感があります。読者の方にも、やましい理由は無けれど自分について探られたくないという方は多いのではないでしょうか。
ただ、個人情報を収集するサービスを使わないことは困難で、少なからず利用しなくてはいけない場面があります。
今回紹介するNoisyはその様な場面であなたの情報収集を少しでも困難にするためのツールです。

#Noisyとは
[公式Github](https://github.com/1tayH/noisy)より意訳

>NoisyはWebサイト閲覧中にバックグラウンドでランダムなHTTP/DNSトラフィックノイズを生成するシンプルなPythonスクリプトで、あなたのウェブトラフィックデータの価値を下げます。

基本的に、あなたがどの様なサイトを閲覧したかなどのデータは収集されます。しかしながら、Noisyはそれらに”ノイズ”、つまりランダムなデータを混ぜることであなたの閲覧履歴・趣味の追跡を困難にします。次項で詳しく解説します。

##Noisyの仕組み
Noisyは[web-traffic-generat

WordPressがクラックされるとポケモン剣盾の攻略サイトが増殖する。

WordPressがクラックされた場合によくある事例だと思うのですが、実際見かけると悲しいものがあったので、「WordPressでサイト運営している人は他人事だと思わず調べてみてほしい」という願いを込めてポエムを残しておきます。

## この記事を書いたきっかけ

ポケモン剣盾の育成論をGoogleで検索していたのですが、検索結果の中に「名前だけ知っているIT企業（A社）」のドメインが出てきました。どう考えても剣盾の育成論を投稿するような企業ではないのと、抜粋箇所の内容が某有名個人サイトで見たものだったため、「フィッシングサイトに飛ぶ」という確信を持ってクリックしたところ、2021年間ビジターアンケートに飛ばされました。

ためしに「A社のドメイン 剣盾」のキーワードで検索したところ、予想の10倍くらいの量のコピーページが出てきました。

適当な

主要ブラウザのReferrer Policyについて調べてみた

# はじめに
私は最近Referrer Policyというものを知りました。
これを知っていると、「自分のブラウザは自分の行動をどの程度アクセス先にバラしてるのか？」の一部を知ることができます。
Referrer Policyを理解するために、まずは**Referer**(リファラ)という言葉について知る必要があります。
(ちなみに仕様書読めば理解できるって人は W3C Candidate Recommendation を読むとここより詳しく分かるらしいです)
[Referrer Policy W3C Candidate Recommendation, 26 January 2017][1]

# 私がこれを知って調べた動機
(Referrer Policyの理解には必要ないので読み飛ばしても大丈夫です)
　大学のセキュリティに関する講義で、講義が指定したあるサイトでGETメソッドでデータを送ったあと、そこに載ってるリンクから自分のサーバー上のウェブサイトへ飛び、ログを見てみましょうという課題がありました。
　私はそこで、「きっとRefererにはGETメソッドで送信したパラメータ

スマホにTorを導入する

こんにちは、c477usです。
Torは基本的にLinux・MacOS・Windows用に用意されたソフトウェアですが、AndroidやiOS用にも互換性があるアプリが用意されています。
今回は、それらのソフトウェアについて紹介します。

#警告
Android・iOS用のTorソフトウェアはコンピュータ用のものと違いtorrc(設定ファイル)の編集をすることが困難です。そのため、**セキュリティ性も大きく劣ってしまいます。**
Androidの場合、torrcを編集する手順としてapkファイルをコンピュータ上で展開し、もう一度apkファイルにすることで可能ですが、でしたら編集に使うコンピュータにTorを導入した方が現実的です。 –>[StackExchangeでの同様の質問](https://tor.stackexchange.com/questions/6571/editing-torrc-on-orbot)

##iOS (iPhone iPad)
iPhoneの場合は、Onion Browserが[公式から推奨](https://support.torproject.org/

EDRと市場動向

【EDRとは？】
Endpoint Detection and Responseの略称。
直訳は「エンドポイント上の検知と対応」。
端末の動きを常に監視し、サイバー攻撃を発見次第対処するセキュリティツール。

☆従来のセキュリティ対策をすり抜けて侵入してくる脅威をいち早く発見・対処し、
感染の拡大を防ぐことが目的となる（侵入を前提としたセキュリティ対策）。
未知脅威への対策としてEDRの導入を検討する企業が増えている。

■ネットワークセキュリティビジネスの市場動向
ネットワークセキュリティビジネス市場は2019年度で5,319億円を突破、
2020年度は5,792億円程度になると見込まれている。
2025年度には7,864億円規模に市場が拡大すると予測されており、
CAGR（年平均成長率）は6.7％見込み。

ネットワークセキュリティの中でも様々なカテゴリーがある中で、
EDRが含まれる端末セキュリティ市場は大きく拡大する見込み。

■端末セキュリティ市場動向
端末セキュリティ市場は2019年に1,146憶円を突破、2025年には2,397憶円程度に拡大すると見込まれている。
上記の

ProxyChains ~匿名プロキシネットワーク

こんにちは、c477usです。

Tor利用を表層サイト側に検知されないようにする方法には、VPNの他にProxyがあります。しかし、Proxyの匿名性は実はそこまで強くありません。さらに、無料のサーバーではログを取られていることがあるのでこれを単体で使うのはお勧めできません。
そこで、ProxyサーバーをTorのようにして匿名性を増そうとしたのが今回紹介するProxyChainsです。今回はこの仕組み・導入についてご紹介します。

**警告:今回紹介する方法はあくまで”Tor利用の匿名性を強化、Torで表層Webを快適にブラウジングする目的”で利用することを前提としています。この技術を悪用し犯罪行為に及んではいけません。**

#ProxyChainsとは？
ここではProxyChains、またProxyそのものの仕組みを解説します。知らなくても導入自体はできるので、急いでいる方は飛ばしてしまって結構です。

##Proxyとは
Proxyは英語で「代理」を意味し、通信を安全に保ったりある程度の匿名性を保持するために利用されます。

一般的にインターネットでサイトを閲覧する際、接続

Mullvad ~Best VPN for Tor

こんにちは、c477usです。
[こちらの記事](https://qiita.com/c477us/items/e7623c707c7136863809)にてTorを利用する際はVPNを挟んだ方が良いと記述しましたが、VPNサービスはごまんと存在しており、玉石混交です。また巷にはアフィリエイトサイトが溢れ、実際にどれを選べば良いか分からない方もいるでしょう。
そこで、とりあえず筆者がTorを利用する際におすすめするVPNであるMullvadについて紹介しようと思います。
**実は筆者はまだ実際にMullvadを使っていません**(使っているのはProtonVPNの無料版)。ただ、主要なVPNサービスで比較しTorと併用する際最も良いとの結論に達したため紹介させていただきました。**信用はあまりしないでください。**(筆者はBitcoinが下落したら使う予定です)

**この記事ではいかなるアフィリエイトを行なっておりません。**

**警告:当然ですが、犯罪行為のための利用はNGです。匿名化技術は、あくまで”国家による不当な監視・検閲から逃れ、自由な言論を行う”ためのものであることを念

Regional Scrum Gathering Tokyo 2021 Day 1 「セキュリティとアジャイル開発のいい関係について考える / Security and Agile Development」

# Regional Scrum Gathering Tokyo 2021 Day 1 「セキュリティとアジャイル開発のいい関係について考える / Security and Agile Development」

2021/01/06に開催されたRegional Scrum Gathering Tokyo 2021での発表です。
https://confengine.com/regional-scrum-gathering-tokyo-2021/proposal/14639/security-and-agile-development

# チーム参加してきました

[aslead Agile](https://aslead.nri.co.jp/solution/aslead_agile.html) のチーム「[オキザリス](https://speakerdeck.com/viva_tweet_x/huesudeyong-qi-wode-taxin-gui-timugashi-yan-wozao-rifan-sitejin-nizhi-rumadefalsewu-yu?slide=3)