- 1. SQLインジェクションについて
- 2. Quiztime 30th July 2021: What’s animal puzzle?
- 3. Background表示をマスキングする
- 4. 機密性 とは? 情報セキュリティ3要素について
- 5. セキュリティ検証をやってみよう!!~IoT機器のセキュリティ事例~
- 6. 【侵入防御ルール@解説】1010564 – Joomla Arbitrary File Upload Vulnerability (CVE-2020-23972)【CVE-2020-23972】
- 7. IAMでIPアドレス制限をかける
- 8. IoTセキュリティについて
- 9. セキュリティ情報のリンクまとめ
- 10. 勇者と王様と企業のセキュリティ
- 11. PHPで連続アクセスの制限(同一のIPアドレスから等)総当り対策、F5アタック対策、DoS攻撃対策?
- 12. 自動車鍵の無線を遮断する
- 13. CSRFについて
- 14. セッションハイジャックについて
- 15. ADFSサーバーでX-XSS-Protectionヘッターの設定
- 16. 最近のCTFのRev問を解いてデコンパイルの練習をしてみた
- 17. ADFS Windowsトランスポートエンドポイントの無効化方法
- 18. ADFSサーバーでのHSTSヘッタの設定
- 19. ADFSサーバーでCSPヘッターの設定
- 20. localStorage
SQLインジェクションについて
# 目的
SQLインジェクションについて理解を深める。# 目次
1. [SQLインジェクションとは](#sqlインジェクションとは)
1. [SQLインジェクションの対策](#sqlインジェクションの対策)
1. [特殊文字の変換](#特殊文字の変換)
1. [より厳格なSQL文の生成](#より厳格なsql文の生成)
1. [プレースホルダー](#プレースホルダー)# SQLインジェクションとは
`SQLインジェクション`とは、「Webページのテキスト入力欄」や「URL」などにSQL文の断片を埋め込むことで、データベースを改ざんしたり不正に情報を入手する手法のことです。
# SQLインジェクションの対策
`SQLインジェクション`の対策としては以下の2つが挙げられます。
– 特殊文字の変換
– より厳格なSQL文の生成# 特殊文字の変換
基本的な対策としてあげられるものが、SQLにおいて意味を持つ特殊文字のエスケープです。
SQL文中では`「’」`が文字列の終端を意味していることがポイントです。たとえば、データベース内に格納された「user_id」と「pas
Quiztime 30th July 2021: What’s animal puzzle?
#概要
皆さん、こんにちは。
ニャンダウと申します♪今回ご紹介する記事、というより問題なのですが、毎日Twitterで開催されているOsint(#Quiztime)の問題が解けたのでCTFのWriteup風に書いてみました!
クイズタイムの問題はやり方自体は非常にシンプルで、簡単ですが、検索に全く引っかからないので大変な時間、根気が必要となります。
以下にて、私の解き方をご紹介しますが、一度ご自身にて実際に向き合ってみてください。
かなりメンタルをやられるので、時々休憩することをおすすめします。#問題
2021年7月31日、Twitterの#Thursdayquizにて、以下の問題が投稿されました。
Time for the #Thursdayquiz or should I s
Background表示をマスキングする
こんなマスキングがしたい。
非表示にしたいActivity内で下記を追加する。
“`kotlin
activity.window.addFlags(WindowManager.LayoutParams.FLAG_SECURE)
“`全画面で対応したい場合は`Application.ActivityLifecycleCallbacks`を実装したActivity内でこうする。
“`kotlin
override fun onActivityCreated(activity: Activity, savedInstanceState: Bundle?) {
super.onActivityCreated(activity, savedInstanceS
機密性 とは? 情報セキュリティ3要素について
## 勉強前イメージ
あまり他の人に知られてはいけないデータって意味だと思ってる
## 調査
### 機密性(Confidentiality)
英語でConfidentialityと書き、
決められた人だけが対象のデータにアクセスできるようにすることを指し、情報漏えいがないように管理することを意味しています。
情報セキュリティの3大要素の一つで、他には完全性・可用性があります。### 完全性(integrity)
情報が正確で、最新の状態で利用でき、情報の欠如がないこと を意味しています。
また、物理的完全性と論理的完全性に2種類に分けられ、それぞれ下記になります。– 物理的完全性 : 自然災害時等に物理的なデータの損失があれば完全性が損なわれる
– 論理的完全性 : (詳細には色々ありますが)重複するデータの入力を排除したり、正確なデータのみ入力する等### 可用性(availability)
情報を必要な際にいつでも使える状態に保持しておくことで
必要な際にデータ取得がいつでもできる状態であれば可用性が高いシステムになります。### 情報セキュリティの3
セキュリティ検証をやってみよう!!~IoT機器のセキュリティ事例~
#はじめに
はじめまして、サイエンスパーク バグダス検証課のkkiiです。
バグダス検証課ではセキュリティ検証業務をメインに行っています。セキュリティと聞くとPCについては、みなさんよく気を付けていらっしゃると思います。
しかし、IoT機器やスマートデバイスについてはどうでしょうか?
近年、それらの機器をターゲットした攻撃が頻繫に行われています。**今回の連載では、Arduinoを使った指紋認証デバイスを作り、ちょっとしたセキュリティ検証(ファームウェアの解析)をやってみたいと思います!!**
#IoT機器とは
ローカルのネットワーク、またはインターネットで接続し、情報や制御のやりとりをする機器のことです。スマートフォンやパソコン、タブレットのように直接クラウドに接続する情報端末のほかそれら情報端末に対して無線接続するスピーカや照明、空調機器のような家電製品、スマートウォッチのようなウェアラブル機器なども含まれます。
製造業などの産業においては、工場のFA機器に設置されたセンサや高精度カメラ、変位計など、やりとりするデータの容量や多彩さから、データを処理する中継機器(Io
【侵入防御ルール@解説】1010564 – Joomla Arbitrary File Upload Vulnerability (CVE-2020-23972)【CVE-2020-23972】
機能種別:侵入防御機能
ルール種別:侵入防御ルール、DPIルール■ルール名
1010564 – Joomla Arbitrary File Upload Vulnerability (CVE-2020-23972)■ルールの説明
攻撃者はアプリケーションに認証せずにアプリケーションのアップロード機能にアクセスし、ファイルも起因してアップロードできる また 2倍の拡張 内部形式と名前ファイルを変更することによってバイパスされうる無制限のファイルアップロードの問題 。
翻訳微妙なんで原文記載
An attacker can access the upload function of the application without authenticating to the application and also can upload files due the issues of unrestricted file uploads which can be bypassed by changing the content-type and name file too do
IAMでIPアドレス制限をかける
先輩からある日こんなことを言われました。
『IPアドレス制限(※)というセキュリティ対策があるということを知ったので、MFAではなくIAMにその設定を入れ込んでほしいです。
(※)AWSアカウントにアクセスする際のグローバルIPを制限し、その指定IP以外はアクセス出来なくする手法調べれば出てくると思いますのでやってみてください。』
先月からAWSをいじり始めたひよっこにはよくわからん話すぎたがとりあえず調べてやってみることに。:relaxed:
いろいろ調べていくうちにやらなきゃいけないことは大体つかめた。
要は、自分のパソコンのIPアドレス以外からのアクセスを拒否するIAMポリシーを作る→ユーザーグループに付与しなきゃいけないんだと思う。多分。
ということで、その方向で調べてみると神みたいな記事を見つけた。もうこの記事書いた人に頭が上がらない。ありがとう:sob:
その神記事がこちら↓とりあえず『AllowAssumeRoleWithSourceIPRestriction ポリシーの編集』ま
IoTセキュリティについて
IoTシステムを安全・安心に構築・運用するためのIoTセキュリティについて記載する。
##IoTにおけるセキュリティリスク
IoTシステムは下記のハードウェアからなる。
・IoTデバイス
・IoTゲートウェイ
・IoTサーバIoTのセキュリティリスクには下記がある。
・webインタフェースの脆弱性
・パーソナルデータの保有
・データ送受信時の暗号化
・パスワードの脆弱性##セーフティとセキュリティ
誤作動や事故により人や環境に被害を与えないよう、安全性を高める配慮する設計の考え方をセーフティ設計という。
セキュリティ脅威は機器やシステムへの不正アクセス、データ改ざん等による誤作動や予期しない停止についての脅威である。
人、物、金、情報で考えた時にセーフティは人、物を対象とし、セキュリティでは情報、金を対象とする。##情報セキュリティの分類
情報セキュリティは一般に物理セキュリティと論理セキュリティに分類される。| セキュリティ種別 | 内容 |
|:—————-:|:—|
| 物理セキュリティ |防災、防犯、データバックアップ、電源供給、通
セキュリティ情報のリンクまとめ
セキュリティ情報に関するリンクについてまとめます。
##■セキュリティ情報
https://www.ipa.go.jp/security/https://www.jpcert.or.jp/
https://www.jc3.or.jp/
https://www.nisc.go.jp/
##■セキュリティ脅威
https://jvndb.jvn.jp/apis/myjvn/mjcheck3.htmlhttps://www.lac.co.jp/solution_product/jlist.html
##■セキュリティ監査・評価
https://www.sysaudit.gr.jp/https://www.ismap.go.jp/csm
##■セキュリティソフトウェア
http://www.sourcenext.com/product/security/zero-virus-security/?i=rdhttps://www.mcafee.com/ja-jp/index.html
https://www.tr
勇者と王様と企業のセキュリティ
# これはなに
企業のセキュリティをドラクエと比較して、セキュリティの立ち位置をなんとなく理解する。
(LT向けに作ったネタを文字だけにしているのでわかりにくい感じも)# ドラクエをベースに考える
###勇者の目的
勇者の目的はなにか。「魔王を倒すこと」?
「魔王を倒すこと」は手段で、きっと目的は「世界を平和にすること」。###王様の目的
「魔王を倒して平和を取り戻してくれ」
とこんぼうとたびびとのふくと 50G で勇者にアウトソースした王様の目的は、「国を繫栄させること」。###目的は国を繫栄させること
目的が満たせるなら、魔王を倒す必要もなく、– 静観する
– 魔族と手を組むということも手段の選択肢としてありなはず。(たいてい裏切られるけど)
# 企業にマッピングする
###セキュリティチームや情シスの目的
セキュリティチームや情シスの目的はなにか。「セキュリティ事故をなくすこと」?
「セキュリティ事故をなくすこと」は手段で、きっと目的は「会社を平和にすること」。###社長の目的
「セキュリティ事故をなくして、健全な会社にしてくれ」
とセキュリティチーム
PHPで連続アクセスの制限(同一のIPアドレスから等)総当り対策、F5アタック対策、DoS攻撃対策?
## 概要
* 同一の識別文字列(例:IPアドレス)から10秒間に10回あれば60秒アクセス制限をする。
* 同一の識別文字列(例:IPアドレス)から60秒間に30回あれば300秒アクセス制限をする。
* DoS攻撃対策、総当り対策、F5アタック対策としてコピペするだけで動作する。(はず。私の環境が環境がXAMPPなので?)
* 適切な関数名を募集しています。> ** NOTE **
> DoS攻撃などを防ぐには、denyhostsやfail2banなどのミドルウェアやApacheとNginx等WEBサーバーでアクセス制限をしましょう。
> 本記事はミドルウェアレベルで設定ができない場合のアプリケーションレベルでの制限を目的としています。
>
> 同一の識別文字列という事で、同じログインユーザーを使用し別々の場所(IP)から同時に過度なアクセスがあった時に、ログインユーザーに一時的な利用制限をするなどを想定しています。
> …というとユーザーマスタに項目を持たせた方が適切ですよね?という話が出てくるかもしれませんが、その通りだと思います。ただ、ユーザーコードに限定しているわけでも
自動車鍵の無線を遮断する
# 結論
リレー攻撃を防ぐために電波を遮断するきんちゃく袋を作ってもらった。
# 自動車盗難とリレー攻撃
先日、というかかなり以前に自動車窃盗団が、自動車から鍵が近辺にあるかどうかの電波をリレー(増幅)することで、不正に解除し盗難するというテレビのニュースを見た。
図式にするとこんな感じ。
大抵の人は自動車の鍵は玄関に置いてあるだろう(テレビドラマでもそうだし)。
家の庭に自動車が置いてあれば、不正行為者はそこから玄関まで電波を中継/リレーするということになる。この不正行為は、電波を中継しているだけだからデジタル暗号技術/公開鍵認証技術も無力だろう。
# 自動車盗難とリレー攻撃の対策
対策となるのは、帰宅した際には、鍵は家の真ん中(中継した電波が届かないような)に置くとか、スノーデン氏がスマートフォンを冷蔵庫に保管したように、
CSRFについて
# 目的
CSRFについて理解を深める。# 目次
1. [はじめに](#はじめに)
1. [CSRFとは](#csrfとは)
1. [CSRFの対策](#csrfの対策)
1. [パスワードの再入力](#パスワードの再入力)
1. [リクエストへのトークン埋め込み](#リクエストへのトークン埋め込み)
1. [トークン](#トークン)# はじめに
今回は、投稿やメールの送信、商品購入など、本来外部より実行されてはいけない重要な処理に対してのセキュリティ攻撃について理解を深めていきます!
# CSRFとは
`CSRF`とは、攻撃者がユーザーのログイン情報を盗み出すなど、正規利用者になりすましてリクエストを送る攻撃のこと指します。
なりすましのリクエストは不正なリクエストであり、この不正なリクエストを判別できないWebアプリケーションは、`CSRF`の脆弱性があると言えます。`CSRF`の脆弱性が存在すると、主に以下のような被害を受ける可能性があります。– 利用者アカウントが不正利用される
– 利用者のパスワードやメールアドレスが変更される
– 利用者の所持している金銭
セッションハイジャックについて
# 目的
セッションハイジャックについて理解を深める。# 目次
1. [はじめに](#はじめに)
1. [セッションハイジャック](#セッションハイジャック)
1. [セッションID](#セッションid)
1. [セッションIDの推測](#セッションidの推測)
1. [セッションIDの盗み出し](#セッションidの盗み出し)
1. [SSL](#ssl)
1. [セッションIDの固定](#セッションidの固定)# はじめに
今回は、XSSを用いた個人情報を盗み出すセキュリティ攻撃とその対策について理解を深めていきます!
# セッションハイジャック
`セッションハイジャック`とは、セッションが保存されているクッキーを狙った攻撃のことを指します。
具体的には、XSSなどを用いて、正規利用者ではない者が正規利用者のセッションを取得する攻撃手法です。
クッキーはセッションをセッションIDという識別番号を用いて保存しますが、このセッションIDを盗み出されると、セッションハイジャックが成立してしまいます。# セッションID
`セッションID`とは、通信中の正規利用者へ付与さ
ADFSサーバーでX-XSS-Protectionヘッターの設定
#はじめに
Windows ServerのADFSサービスですが、セキュリティ攻撃のターゲットになることが多く、セキュリティを管理している部門から各種設定を追加するようにといった要求が来ることがあります。ここでは、X-XSS-Protectionヘッタの設定方法に関して記述しています。
X-XSS-Protection ヘッターは、IE, Chrome, Safariの機能で、反射型クロスサイトスクリプティング (XSS) 攻撃を検出したときに、ページの読み込みを停止します。 本ヘッター設定は、最近のブラウザでは、不要ですが、古いブラウザに有効なため、セキュリティ監査で設定を要求される場合があります。#事前確認
実行前に、ADFSサーバーアクセスした際にCSPヘッタが設定されていないことを確認します。
ブラウザ(chromeなど)を開き、F12キーをクリック、ネットワークのタブを選択します。続いて、ADFSのURLを開きます。https:///adfs/ls/IdpInitiatedSignon.aspx
のCTFのRev問にいくつか取り組んでみました。rev問のほとんどは、入力を受け付けるプログラムが与えられ、適切な入力を渡すと成功を出力するというものです。プログラムのどこかに入力が正しいかどうかを判定する処理が実装されています。この処理を手動でデコンパイルしていきます。CTF問題は、[CTF-archives](https://github.com/sajjadium/ctf-archives) で公開されているものを使用しました。ここにある最近のRev問を難易度を気にせず気ままに解いていきました。
# 所感
改めてRev問に取り組んでみて、何をやったら良いか分からないまま時間が過ぎていく、ということは殆どなかったのが印象的でした。出題の意図は明白で、(競技中に解答できるかはさておき)ひたすら時間をかければデコンパイルは可能で、デコンパイルさえできれば後は解を導くだけ、という感じです。デコンパイル自体は何問かチャレンジしていくうちに速くなるかなと思いましたが、これくらいの練習量だと体感としてはあまり変わりませんで
ADFS Windowsトランスポートエンドポイントの無効化方法
#はじめに
ADFSサーバーのWindowsトランスポートエンドポイントへのアクセス(Proxy)を無効化する方法に関して記載しています。ADFSサーバーのWindowsトランスポートエンドポイントですが、デフォルトインストールを行った場合、「有効」になっています。
この設定が有効となり、インターネットにADFS Proxy(WAP)などを利用して公開されている場合、インターネットから、NTLMログインを試行することができるるようになります。また、ADFSのロックアウト保護機構をバイパスすることができる可能性があります。#外部にWindowsトランスポートエンドポイントが公開されていることを確認
STSにアクセスしてエンドポイントが公開されているか確認します。公開されている場合、下記のような認証画面が表示されます。https://sts-servername/adfs/services/trust/2005/windowstransport
の設定手順に関して記載します。#HSTSヘッターとは
HSTSヘッタは、HTTPとHTTPSの両方のエンドポイントを持つサービスにアクセスする際に必ずHTTPSアクセスを行い、HTTPでのアクセスを使用してはいけないこと宣言するヘッタです。#事前確認
設定を行う前に、現在のADFSサービスのアクセスでHSTSヘッタ情報が含まれていないことを確認します。chromeなどを開きF12キークリックし、「ネットワーク」タブを開いてADFSサーバーの下記のURLにアクセスを行います。https:// ADFSサーバーのURL/adfs/ls/IdpInitiate
ADFSサーバーでCSPヘッターの設定
#はじめに
Windows ServerのADFSサービスですが、セキュリティ攻撃のターゲットになることが多く、セキュリティを管理している部門から各種設定を追加するようにといった要求が来ることがあります。
ここでは、Contents-Security-Policy(CSP)ヘッタ(以下 CSPヘッタ)の設定方法を記載します。#事前確認
実行前に、ADFSサーバーアクセスした際にCSPヘッタが設定されていないことを確認します。
ブラウザ(chromeなど)を開き、F12キーをクリック、ネットワークのタブを選択します。続いて、ADFSのURLを開きます。https://
/adfs/ls/IdpInitiatedSignon.aspx 
Response Headers に 「Contents-Security-P
localStorage
### 記事一覧
* https://qiita.com/T-Tokumori/items/b531d2c8612747dabe1e
*
