- 1. 2022/4/9主にITとかセキュリティの記事
- 2. CXL (Compute Express Link) その16 – CXL.ioコマンド: セキュリティ関連
- 3. 2022/4/8主にITとかセキュリティの記事
- 4. 2022/4/7主にITとかセキュリティの記事
- 5. Dependency-Trackによるソフトウェア構成分析
- 6. 2022/4/6主にITとかセキュリティの記事
- 7. 2022/4/5主にITとかセキュリティの記事
- 8. セキュアなトークンの保持方法について
- 9. 2022/4/4主にITとかセキュリティの記事
- 10. X-Frame-Options ヘッダー メモ
- 11. REST API(更新系)に対するCSRFにどう対処すべきか
- 12. 2022/4/3主にITとかセキュリティの記事
- 13. PicoCtfのトレーニングをいくつか解いてみた(Web問題) ~自分用~
- 14. 2022/4/2主にITとかセキュリティの記事
- 15. HTTP Strict Transport Security ヘッダー メモ
- 16. Spring4Shell:JavaのSpringフレームワークのゼロデイRCE脆弱性について解説します
- 17. 2022/4/1主にITとかセキュリティの記事
- 18. セキュリティに関するトピックや事例まとめ
- 19. RCE ってなに?
- 20. Spring4Shell: このJavaのRCE脆弱性について分かったこと
2022/4/9主にITとかセキュリティの記事
重要インフラ事業者に情報共有求める、鍵となる10要素も – CISA
https://www.security-next.com/135577月桂冠がランサム被害、子会社にも影響 – 生産には影響なし
https://www.security-next.com/135612攻撃で制作停止していた新作TVアニメ作品を供給再開 – 東映アニメ
https://www.security-next.com/135605「Chrome」や「Microsoft Edge」にセキュリティアップデート
https://www.security-next.com/135583Linux向けに提供されている「VMware Horizon Client」に複数脆弱性
https://www.security-next.com/135580子会社リモート接続機器脆弱性が標的に、横展開からランサム – 小島プレス工業
https://www.security-next.com/135504セキュキャン全国大会、週明け11日より募集開始
https://www.security-next.
CXL (Compute Express Link) その16 – CXL.ioコマンド: セキュリティ関連
私はメモリデバイスの不揮発性メモリ制御やホストIFなどを扱うソフト屋をやっております。
仕事でCXL(Compute Express Link)まわりの技術に関わっています。
CXL技術に関連するメモ書きを残していこうと思います。
ホストのCPUとOS/Applicationまわりの経験・知識共に乏しいので、親切な方は教えて下さると幸いです。
また、間違い、アドバイス、その他、ご意見やご要望ありましたらお気軽にどうぞ。—
今回の記事で凡そCXL.ioのMailboxコマンドの詳細については書き終わってしまうので、CXL.ioコマンド関連する記事は今回で最後となると思います。次回はCLX関連で何を書くか決めていません。今回はセキュリティ機能に関連するCXL.ioコマンドについて書きます。
CXL IFの通信路の暗号化と完全性チェック機能であるCXL IDEについては、今回は触れません。# 1. セキュリティ
CXLの仕様として定められているセキュリティに関連のCXL.ioのコマンドセットは、以下の2つのコマンドセットです。
– Sanitizeコマンドセット
CXLメモリ
2022/4/8主にITとかセキュリティの記事
VMwareのIDアクセス管理製品に複数の深刻な脆弱性
https://www.security-next.com/135534IPA、内部不正防止ガイドラインを改訂 – テレワーク増加も反映
https://www.security-next.com/135547プロモーション情報サイトで顧客情報流出の可能性 – 電通グループ会社
https://www.security-next.com/135549園芸情報サイトが改ざん – 不正コードにより外部サイトへ誘導
https://www.security-next.com/135545国家が関与するサイバー攻撃、企業は懸念も対策に課題(4/6)
https://japan.zdnet.com/article/35185841/海外子会社への不正アクセスについて(4/4)
https://www.konicaminolta.com/jp-ja/newsroom/topics/2022/0404-02-01.htmlハッカー集団「Anonymous」によるロシアのデータ流出続く(4/4)
https://news.
2022/4/7主にITとかセキュリティの記事
「GitLab」にアカウント奪取が可能となる脆弱性 – 早急に更新を
https://www.security-next.com/135490フィッシングURLやブランド悪用が過去最多 – 報告は8万件超に
https://www.security-next.com/135498Fortinet、「OpenSSL」脆弱性判明受けてアップデート – 「Spring4Shell」の影響は調査中
https://www.security-next.com/135479「CODE BLUE 2022」、10月にハイブリッド開催 – 今年で10回目
https://www.security-next.com/135512「ウイルスバスター for Mac」に権限昇格の脆弱性
https://www.security-next.com/135524不正アクセスでメアド流出の可能性 – 岡山県医師会
https://www.security-next.com/135415サイバー攻撃 企業は脅威への備え急ぎたい(4/4)
https://www.yomiuri.co.jp/e
Dependency-Trackによるソフトウェア構成分析
# 1. ソフトウェア構成分析とは?
ソフトウェア構成分析(Software Composition Analysis, SCA)は、**コードベース内のサードパーティコンポーネントを特定し、それらの脆弱性やライセンス情報を検出・追跡する自動化されたプロセス**を指します。
自社で開発するソフトウェア/調達するソフトウェアに既知の脆弱性があるコンポーネントが存在していないかや、ソースコードの公開に繋がるようなライセンス形態のコンポーネントが存在していないかなどを検査するために使用されます。最近の例だと、Log4ShellやSpring4Shellの脆弱性が存在するライブラリを使用してないかどうかを調査するのに役立ちます。
# 2. ソフトウェア構成分析のツール
NISTの[Recommended Minimum Standards for Vendor or Developer Verification (Testing) of Software Under Executive Order (EO) 14028](https://doi.org/10.6028/NIST.IR.
2022/4/6主にITとかセキュリティの記事
「Spring4Shell」、一部Cisco製品に影響 – 調査中の製品も
https://www.security-next.com/1354432021年4Qのクレカ不正利用被害は約93億円 – 前四半期から14.6%増
https://www.security-next.com/135453ドローン向けにサイバーセキュリティガイドライン – 経産省
https://www.security-next.com/135458仮想通貨ウォレットのトレザー、情報漏えいの可能性を調査 ユーザーがフィッシング攻撃を指摘(4/4)
https://jp.cointelegraph.com/news/trezor-investigates-potential-data-breach-as-users-cite-phishing-attacks経営者やセキュリティ担当者の「悩み」から参考事例を探せる「プラクティス・ナビ」、IPAが公開(4/4)
https://internet.watch.impress.co.jp/docs/news/1399896.html病院狙われ地域医
2022/4/5主にITとかセキュリティの記事
「Apache Tomcat」のアップデートが公開 – 「Spring4Shell」対策も
https://www.security-next.com/135438中小企業の3分の1、直近3年間のセキュ投資ゼロ – 「必要性を感じない」
https://www.security-next.com/135364WindowsやDell、Trend Micro製品のサイバー攻撃での活発な悪用を確認、更新を(4/1)
https://news.mynavi.jp/techplus/article/20220401-2309288/Google、3月後半に東欧で行われたサイバー攻撃報告、中国やロシアの攻撃者が暗躍(4/3)
https://news.mynavi.jp/techplus/article/20220403-2309856/サイバー警察局発足 「深刻化するサイバー犯罪」に重点、対処業務を追加(4/1)
https://www.itmedia.co.jp/news/spv/2204/01/news093.html備忘録、、、File1 エクセルが開かなくなった(4
セキュアなトークンの保持方法について
# トークンの保持方法について
セキュアなトークンの保持方法について、検証と調査を行なって、実際に実装してみました。
## トークンを保持する際に考えなければならない脆弱性について
### XSS(クロスサイトスクリプティング)
– ユーザー(被害者)の Web ブラウザで任意の JavaScript を実行させることを許す脆弱性または攻撃手法
1. 攻撃者が脆弱性のある Web アプリケーションを見つける。
2. 不正なスクリプトを含んだ罠を用意する。
3. 罠に誘導するための URL をユーザー(被害者)に SNS / メールなどで配る。
4. 罠にかかったユーザーが URL にアクセスし、脆弱性のある Web アプリケーションにアクセスする。
5. Web アプリケーションから不正なスクリプトを含んだ Web ページが返される。
6. ユーザーの Web ブラウザで不正なスクリプトが実行される### CSRF(クロスサイトリクエストフォージェリ)
– 悪意を持つ攻撃者が作成したページなどにアクセスすると、知らない間に情報が送信されてしまう攻撃手法
1. ユーザー
2022/4/4主にITとかセキュリティの記事
GoogleのCEOがやってる、スマホを使わない「月曜朝の習慣」(4/4)
https://www.google.com/amp/s/www.lifehacker.jp/amp/2204googles-ceo-sundar-pichai-has-a-remarkably-simple-monday-morning-rule-that-explains-why-hes-so-productive/防衛省 契約企業により厳しいセキュリティー基準を義務づけ(4/1)
https://www3.nhk.or.jp/news/html/20220401/k10013562841000.htmlポルノサイト訪れた日本人を標的とした詐欺を確認、要注意(4/1)
https://news.mynavi.jp/techplus/article/20220401-2309311/米Verizonのユーザー、自分の携帯電話番号からスパムSMSが届く(4/2)
https://www.zaikei.co.jp/article/20220402/666873.htmlGoogle Playの「お
X-Frame-Options ヘッダー メモ
## X-Frame-Optionsとは
* HTTPのセキュリティ対策レスポンスヘッダーの一つ
* ブラウザーがページをフレームなどの中に表示することを許可するかどうかを示すために使用する
* Webサイト側はコンテンツが他サイトに埋め込まれないよう保証する## 設定目的:クリックジャッキングの防止
* **クリックジャッキングによって発生しうる脅威**
* ログイン後のユーザーのみが利用可能なサービスの悪用
* 意図しない情報発信、意図しない退会処理 など
* ログイン後のユーザーのみが編集可能な設定の変更
* ユーザー情報の公開範囲の意図しない変更 など## 設定値
* `DENY`
* ページをフレーム内に表示することを許可しない
* `SAMEORIGIN`
* ページ自体と同じオリジン
REST API(更新系)に対するCSRFにどう対処すべきか
# 結論
* 攻撃者サイトが用意したページにおける`