- 1. Amazon Elasticsearch Serviceで特定のIPからのみアクセスを許可する2つの方法
- 2. [Laravel] XSS,CSRF,SQLインジェクションまとめ
- 3. 3分で読める最新脆弱性~TLS~アルパカ攻撃
- 4. PCくんは闇落ちしない
- 5. Cookieを永続化して、どこまでも個人を特定するEvercookie
- 6. 格子暗号で新ブレイクスルー!! プログラマブルブートストラップを解説!!
- 7. cpawCTF Level1に挑戦!!
- 8. Darksideについて調べた過程で知ったこと
- 9. Format String Attack〜printfの脆弱性への攻撃〜
- 10. RDP公開は危ない?~オリンピック・パラリンピック中のテレワーク要請を受けて~
- 11. 「テレワーク時代に求められるゼロトラスト・セキュリティーとは? ID・アクセス管理を徹底解説 」を視聴して
- 12. CISMになるとどんな良いことがあるのか或いは単なる合格体験記
- 13. 3分で読める最新脆弱性~Wi-Fi~(FragAttacks)
- 14. ホワイトハッカー勉強会資料 初級編まとめ
- 15. 3分で読める脆弱性~Please~
- 16. セキュリティ初心者用の学習ツールとか【忘備録】
- 17. 「依存関係かく乱」(Dependency Confusion):Alex Birsanは何をしてApple、Microsoft 、その他数十テクノロジー会社に依存関係かく乱を用いたコードベースを乱入させのか?
- 18. KMSを用いて機密情報をプログラム実行時に復元する
- 19. SOCといっても色々
- 20. ログインしている自分or自OS(Windows資格情報)でのみ暗号化・復号できる・・・ProtectedDataクラス(.NET標準提供)
Amazon Elasticsearch Serviceで特定のIPからのみアクセスを許可する2つの方法
## はじめに
Amazon Elasticsearch Serviceで特定のIPからのみアクセスを許可する方法を紹介します。
調べた限り、大きく以下の2つの方法があるようです。1. VPCに配置してセキュリティグループを設定する
2. IAMポリシーで設定する## VPC配置してセキュリティグループを設定する
#### 設定方法
Elasticsearchドメイン作成のStep3でネットワーク構成を選択することが出来ます。
ここで、「VPCアクセス」にすると、VPC、サブネット、セキュリティグループの設定が行えます。
セキュリティグループにIPアドレスを登録することで、アクセスを制限することが出来ます。
#### メリット
通信がVPC内で完結するので、パブリックで使うよりも安全です
[Laravel] XSS,CSRF,SQLインジェクションまとめ
#はじめに
初学者が学ぶべきセキュリティ攻撃である、XSS,CSRF,SQLインジェクションについて、Laravelではどのように対策がされているのか、今一度おさらいしてみた。#検証環境
– macOS Catalina ver 10.15.7
– Docker ver 20.10.5
– docker-compose ver 1.29.0
– Laravel ver 7.30.4
– MySQL ver 8.20.3#XSS(クロスサイトスクリプティング)
## XSSとは何か
[3分でわかるXSSとCSRFの違い](https://qiita.com/wanko5296/items/142b5b82485b0196a2da “3分でわかるXSSとCSRFの違い”)に書いてあるように**「ユーザーがWebページにアクセスすることで不正なスクリプトが実行されてしまう脆弱性または攻撃手法」**です。こちらの記事は大変わかりやすいので、ぜひ一読してください。
XSS対策のポイントは**「特殊文字(< や > や ” など)をエスケープする」**ことです。そうすることでスクリプトでは
3分で読める最新脆弱性~TLS~アルパカ攻撃
#はじめに
TLS上で動作する攻撃**ALPACA Attack**について解説する記事です。
詳細は記事内のリンクをご参照ください。#目次
1.概要
2.原理
3.攻撃例
4.対策#概要
「ALPACA」は本脆弱性を発表した論文「Application Layer Protocol Confusion – Analyzing and mitigating Cracks in tls Authentication」の頭文字です。**ALPACA attack**はTLSの認証における脆弱性を利用して、特定のTLSサーバ(複数のプロトコルに対応し、マルチドメイン/ワイルドカード証明書などを使用するTLSサーバ)に対して、認証の混乱を引き起こし、別プロトコルのサービスを利用して機密情報の窃取を行う攻撃です。
こうした
PCくんは闇落ちしない
私のセキュリティに関するお恥ずかしい認識違いを忘れない為の忘備録。
# 想像
悪いやつが青人間くんのPCを攻撃して自分のPCを乗っ取って闇落ちさせる!
# 実際は闇落ちしない
青人間くんのPCは闇落ちしたわけじゃなくて、愚直に指示を実行していただけ。
罠サイトの処理も、正常な処理も指示された内容を間違えずにこなしていただけで、PCくんは悪いとか悪くないとか設定しないと分かんない。罠サイトや攻撃は「こういう攻撃は通しちゃだめだよ~」と明記されていれば、サイトが
Cookieを永続化して、どこまでも個人を特定するEvercookie
なんか面白そうなリポジトリがあったので紹介してみます。
以下は[Evercookie](https://github.com/samyk/evercookie)というライブラリの紹介です。# Evercookie
Evercookieは、ブラウザに究極的に永続的なCookieを生成するJavaScript APIです。
その目的は、標準的なCookie、Flash Cookieなどを削除した後でもクライアントを識別し続けることです。これは、可能なかぎり多くのストレージにCookieデータを保存することで達成します。
いずれかのストレージからCookieが削除されたとしても、ひとつでも残っている限り、Evercookieは残ったデータからCookieデータを復旧します。Flash LSO、SilverlightもしくはJavaが有効な場合、Evercookieはブラウザを超えて同じクライアント上の別のブラウザにCookieを伝播することすら可能です。
本リポジトリは、[Samy Kamkar](https://samy.pl/)および[多くのコントリビュータ](https
格子暗号で新ブレイクスルー!! プログラマブルブートストラップを解説!!
**kenmaro**です。
**秘密計算、準同型暗号などの記事について投稿しています**。
秘密計算に関連するまとめの記事に関しては以下をご覧ください。> – [秘密計算エンジニアを始めて1年が経った。](https://qiita.com/kenmaro/items/416657efca2ff296169b)
– [秘密計算エンジニアを始めて2年半が経った。](https://qiita.com/kenmaro/items/48059dd60f79e80f5ef8)また、最近準同型暗号の中の格子暗号、という次世代高機能暗号が、
3年以内にISO標準となる可能性が高まった、
という記事を書きましたのでそちらもご覧ください、> – [ついに来るか?主要格子暗号スキームのISO標準化](https://qiita.com/kenmaro/items/341a2d7438c858d6d60e)
## 格子暗号で新ブレイクスルー!! プログラマブルブートストラップを解説!!
**プログラマブルブートストラップ**という長いパワーワードですが、
**「プログラマブル」・「ブ
cpawCTF Level1に挑戦!!
#CTFにチャレンジ
どうも初めましての方は初めまして。Hekunです。
学部二年の夏、「青春したーい!!」と思い立って目をつけたのがこの面白そうなゲーム、**CTF**なのです。~~メロスには青春がわからぬ。メロスはヲタクの陰キャである。2chを覗き、ネトゲに入り浸って暮らしてきた。~~##そもそもCTFとは?
>キャプチャー・ザ・フラッグ(CTF)は、コンピュータセキュリティ技術の競技である。CTFは通常、参加者に対しコンピュータを守る経験に加え、現実の世界で発見されたサイバー攻撃への対処を学ぶ教育手法として企画されている。「ハッカーコンテスト」「ハッキング大会」「ハッキング技術コンテスト」「ハッカー大会」などとも訳される。
>[(Wikipediaより引用)](https://ja.wikipedia.org/wiki/%E3%82%AD%E3%83%A3%E3%83%97%E3%83%81%E3%83%A3%E3%83%BC%E3%83%BB%E3%82%B6%E3%83%BB%E3%83%95%E3%83%A9%E3%83%83%E3%82%B0#%E3%82%B3%
Darksideについて調べた過程で知ったこと
###はじめに
最近、仕事の関係上サイバーセキュリティ攻撃の動向について情報収集を行うことが多く、
昨今の事例などについて調べていました。
先月、東芝テック株式会社が欧州子会社においてサイバー攻撃の被害にあったことを発表していましたが、
本攻撃はDarksideという攻撃者グループによって行われたとされています。
https://www.toshibatec.co.jp/release/20210514_01.htmlDarksideは、米国のコロニアル・パイプラインという会社を一時的な操業停止に追い込むといった事件で注目をあげていたことから注目を浴びていた攻撃者グループです。
今回、情報収集を行う過程でトレンドマイクロ社のウェビナーを受講し、その中での知ったこと、それに対して感じたことを備忘録として記載したいと思います。
https://resources.trendmicro.com/jp-webinar-form-0331-ransomware-darkside.html###ランサムウェア今昔
ランサムウェアとは、言うまでもなくコンピュータやデータの暗号化を行い、復旧
Format String Attack〜printfの脆弱性への攻撃〜
# Format String Attackとは
`printf()`,`syslog()`,`err()`などの関数の脆弱性を突いた攻撃方法。
書式文字列攻撃。# printfの脆弱性
## printfの書式
まずは基本に立ち返ってみよう。
“`C
printf(“I am %s”, name);
“`ここで`I am`が通常の文字、`s`が変換指定子、`name`が変換指定子に対応する実引数である。変換指定は`%`と変換指定子からなり、後に続く実引数を取り出す。
##printfの脆弱性の成立条件
変換指定子を使わずに下記のようにすると、攻撃者がprintf()の出力内容をコントロールすることができる。
“`C
printf(str)
“`##printfの脆弱性の原因
変換指定子に対応する引数の数をチェックする仕組みが存在ないので、引数が与えられているものとしてスタックを参照する。
# 実際にしてみる
“`C
#includeint main(void) {
char str[128];
fge
RDP公開は危ない?~オリンピック・パラリンピック中のテレワーク要請を受けて~
2021/06/12 日本政府は、オリンピック・パラリンピック中の民間企業へのテレワーク要請として、テレワーク・デイズ2021 なるものを発表しました。
https://www.watch.impress.co.jp/docs/news/1331042.htmlこれを受けて、「外部にRDPを公開するケースがまた増えちゃうのでは…?」と私は考えました。
そこで、Shodamを使って現時点でのRDP公開機器数をまず調べてみました。他人のサーバ・機器に侵入を試みることは犯罪行為ですので、絶対にやめましょう!!!!
Shodan: https://www.shodan.io/dashboard
Shodanの詳しい利用方法などはここでは割愛させてもらいますが、無料登録を行えばフィルター検索を行うことができるようになるので、
これを機にまだの方は登録してみるのも良いと思います。###1.まずは、世界全体でどれぐらいの機器でRDPが公開されているのかを確認してみます。
port:3389
で検索します。結果:36
「テレワーク時代に求められるゼロトラスト・セキュリティーとは? ID・アクセス管理を徹底解説 」を視聴して
NISTはどこでも使ってる
https://www.pwc.com/jp/ja/knowledge/column/awareness-cyber-security/zero-trust-architecture-jp.html
アクセス権限はセッションごとに動的に制御される
ゼロトラストは流行ではなく、時代の流れが主な要因
ビジネスモデルやシステムが変わったことにより必要になった
==
エンドポイントが自社で買ったのか、エンジニアが買ったものか?
エンジニアが買ったなら、ポリシーにもとづいてるか
===
IBMのSSO製品A2:あくまでIAMにこだわっているところ
セキュリティのルール作成が大変
トラスティアというAIでポリシーを随時書き換えていく
最初の設定をしてくれれば、あとのリスク判定はA2でやる
マウスの動作もみてくれる
パスワードコピペとかしてたらブロックできる※
IAMにフォーカスしているが、認証できることはいろいろあるので、非常に面白い機能だった
MS関連の機能とも連携できるようだし、使いやすそう
導入も簡単なら使いたい企業は多そう
気になるのは費用
セキュリティ事故
CISMになるとどんな良いことがあるのか或いは単なる合格体験記
# はじめに
以前Qiitaで以下の記事を書いていますが、こんかいはその三部作の最後として、
– [CISSPになるとどんな良いことがあるのか或いは単なる合格体験記](https://qiita.com/tt_obscurum/items/3cbd6227fda8fc2576bf)
– [CISAになるとどんな良いことがあるのか或いは単なる合格体験記](https://qiita.com/tt_obscurum/items/2d42c4d26e61b362812a)
CISM(公認情報セキュリティマネージャー Certified Information Security Manager)の合格体験記を執筆します。# 私について
上記の[Qiitaの記事](https://qiita.com/tt_obscurum/items/3cbd6227fda8fc2576bf)と同じです。ただ、2021年3月末限りでデジタル戦略部との兼務はなくなっています。# きっかけ
上記の[Qiitaの記事](https://qiita.com/tt_obscurum/items/3cbd6227f
3分で読める最新脆弱性~Wi-Fi~(FragAttacks)
#はじめに
Wi-Fiに存在する脆弱性**FragAttacks**について解説する記事です。
更なる情報は記事内のリンクをご参照ください。#目次
1.概要
2.原理
3.攻撃例
4.対策#概要
FragAttacksはWi-Fi標準「IEEE 802.11」の設計上の欠陥に起因する全12件の脆弱性群のことです。
5月12日にニューヨーク大学アブダビ校のMathy Vanhoef氏によって公開されました。
この攻撃によって、通信の傍受やホームネットワーク内のデバイスが攻撃される可能性があります。本記事では主たる3つの設計上の欠陥について説明します。
公開日:2021/5/12
影響範囲:WPA2/3の全てのWi-Fiを利用する製品脆弱性情報
CVE:[CVE-2020-24586](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-24586)(Aggregation Attack)
[CVE-2020-24587](https://cve.mitre.org/cgi-bin/cvenam
ホワイトハッカー勉強会資料 初級編まとめ
これは、[ホワイトハッカー勉強会の資料](https://www.ipa.go.jp/files/000070533.pdf)をまとめたものです。
個人的に理解するためにまとめたものですが、役立つかもと思ってQiitaに出します!
間違っていたら教えてください!# 目次
1. 脆弱性を発見する
1. 脆弱性を検証する
1. 脆弱性を報告する順番に見ていこう!
# 脆弱性を発見する
## 1.どうやって攻撃できるか発想する
例えば、家に不正に侵入したいとすると・・・
– このドア、正式な鍵じゃなくても入れそうだな?
– どこかの窓は開いていないかな?
– AIスピーカーをハックしてドアを開けるコマンドを覚えされられないかな?
– 隠し扉がどこかにないかな?などが思いつく(かも)。これを言い換えると
– 鍵が無くても侵入できる
認証回避(SQLインジェクションとか)
– 窓が開いていたから侵入した
アクセス制限不備
アクセスの制限が適切にされていない事で、本来のページではないページにアクセスし(管
3分で読める脆弱性~Please~
#はじめに
pleaseコマンドの脆弱性について解説する記事です。
詳細は記事内のリンクをご参照ください。#目次
1.概要
2.原理
3.攻撃例
4.対策#概要
pleaseの3.0以前のversionにおける脆弱性です。
pleaseコマンドを用いてumaskを実行すると、ローカルの攻撃者がroot権限を取得できます。pleaseとは
pleaseはSUDOコマンドの代替として開発されたコマンドです。
SUDOと同様に実行コマンドに特権アクセスを与える一方、不必要な特権アクセスを与えないことでセキュリティの強化を狙っています。----------------------------
公開日:2021/5/28
影響範囲:please 3.0以前
リスク指標([VULDB](https://vuldb.com))(2021/6/3現在)
CVSS:8.4
脆弱性情報
CVE:[CVE-2021-31155](
セキュリティ初心者用の学習ツールとか【忘備録】
私はポンコツでして、学習能力や知識ともに周囲より遅れているなーという気持ちがあります。
しかもセキュリティなんてまるで分からない。どうしよう・・・。と思っていましたが、
最初はみんな怖いと思っているだろうな~と思い直し、私がどうやって勉強したのかを記すことで、誰かの役に立てればいいなと思って書いている忘備録です。
私が業務で役立ちそうな部分を多く調べているので、CTFをゴリゴリやりたいという人には向かない記事かも知れません。あっ、何の経験もありません。
今も全く良く分かっていない勉強の身です。ブルブル。# 定番!徳丸本
体系的に学ぶ 安全なWebアプリケーションの作り方 第2版[固定版] 脆弱性が生まれる原理と対策の実践
めっちゃくちゃ詳しく(そして正しく)書いてあります。
脆弱性の用語や意味合いについてを詳しく書いてありますので、基礎を学ぶなら最初に見るべきかなと思いました。これについてはセキュリティに行かない人も
「依存関係かく乱」(Dependency Confusion):Alex Birsanは何をしてApple、Microsoft 、その他数十テクノロジー会社に依存関係かく乱を用いたコードベースを乱入させのか?
##新種のサプライチェーン攻撃のストーリー
Alex Birsanより今年3月にAlex Birsan氏は **テクノロジー35社以上** を対象とした依存関係かく乱(dependency confusion)についての調査の結果を発表しました。そこで、Apple、Microsoft、Shopify、その他大手テクノロジー会社も含む30社以上は依存関係かく乱というソフトウェアサプライチェーンのハッキングが含まれるコードベースを乱用しています。今回Markdown: [DevSamurai株式会社](https://www.devsamurai.com/ja/)はAlex Birsan氏の調査をアイデアから方法と結果をこ簡単にご紹介いたします。
Pythonなど一部のプログラミング言語ではプロジェクトをインストールするための、より簡単またはあまり公式ではない手法が用意されています。それらのインストーラーは通常、パブリックコードレポジトリーに関連付けさせており、誰もがコードパッケージを他社が使用できるように、自由にアップロードできます。
例えば、Nodeには `npm `とnp
KMSを用いて機密情報をプログラム実行時に復元する
センシティブなデータを暗号化してソースコードに埋め込む。
## 手順
暗号化文字列を作成する方法
“`Python
import boto3
import base64def main():
key_id = ‘マスターキーのARN’
Plaintext = ‘暗号化対象の文字列’response = kms.encrypt(
KeyId = key_id,
Plaintext = Plaintext
)[‘CiphertextBlob’]Ciphertext = base64.b64encode(response).decode(‘utf-8’)
print(‘Ciphertext=’+Ciphertext)if __name__ == ‘__main__’:
main()
“`
上記処理で得られたCiphertextはKMSのマスターキーによって暗号化されている。プログラム中で使用する場合は以下のようになる
“`Python
key_id = ‘マスターキーのA
SOCといっても色々
# 概要
SOCといっても色々あるなと思い、メモ# Security Operation Center
ネットワークやデバイスを監視し、サイバー攻撃の検出や分析、対応策のアドバイスを行う組織
余談だが、SOCはインシデントの検知に重点が置かれているが、他にもインシデントが発生した後の対応に重点をおいたCSIRT(Computer Security Incident Response Team)というものもあるらしい# Service Organization Controls
サービス組織の統制をとること
標準化された基準に基づいた内部統制の状況を第三者からの評価を受け認定されるもの
https://dev.classmethod.jp/articles/soc2_overview/# System-on-a-chip(SOC、SoC)
集積回路の1個のチップ上に、プロセッサコアをはじめ一般的なマイクロコントローラが持つような機能の他、応用目的の機能なども集積し、連携してシステムとして機能するよう設計されている、集積回路製品
https://ja.wikipedia.org
ログインしている自分or自OS(Windows資格情報)でのみ暗号化・復号できる・・・ProtectedDataクラス(.NET標準提供)
# この記事で知れること
ログインしている Windows ユーザーまたはコンピューターの資格情報を用いて暗号化・復号する
[System.Security.Cryptography.ProtectedData](https://docs.microsoft.com/ja-jp/dotnet/api/system.security.cryptography.protecteddata) クラスという存在、および使用法がわかると思います。# 環境
.NET Framework 2.0以降 (古くからあるのですね)、.NET Core 1.0以降(Windowsのみ)
要参照設定 : System.Security.dllVisual Studio 2019 (16.9.4) で実験しました
# 説明
Microsoft Docs の説明
> このクラスは、Windows オペレーティングシステムで使用可能なデータ保護 API ( [DPAPI](https://ja.wikipedia.org/wiki/DPAPI) ) へのアクセスを提供します。 これはオペレーティング
