- 1. 2022/2/18主にITとかセキュリティの記事
- 2. OSSECについて学び始めた その9
- 3. OSSECについて学び始めた その8
- 4. GIAC試験攻略法
- 5. 2022/2/17主にITとかセキュリティの記事
- 6. 2022/2/16主にITとかセキュリティの記事
- 7. CSRF攻撃対策についてNode.js Expressでアプリを構築して実例で理解する
- 8. 2022/2/15主にITとかセキュリティの記事
- 9. セキュリティ用語
- 10. 「5さいじがわかるcyber security(サイバセキュリティ)」のかんがえかた
- 11. 認可に関するチェックマトリクス
- 12. 登録情報の供与のチェックマトリクス
- 13. 2022/2/14主にITとかセキュリティの記事
- 14. picoCTF 2019 part2
- 15. SpringBootセキュリティ 10 のベストプラクティス
- 16. オレオレ証明書って何
- 17. 2022/2/13主にITとかセキュリティの記事
- 18. 公開鍵暗号使ってTwitterで恥ずかしいことをいってみる。
- 19. Apple Silicon Mac(M1 Mac)で「詳解 セキュリティコンテスト」の実習環境(もどき)を動かす
- 20. 2022/2/12主にITとかセキュリティの記事
2022/2/18主にITとかセキュリティの記事
「Emotet」に感染、従業員なりすましメールが送信される – ワコール
https://www.security-next.com/134212ROSを外部ネットワークと安全に接続する方法(2/16)
https://ascii.jp/elem/000/004/083/4083659/?rssGoogle Chrome、すぐにアップデートを – 脆弱性の悪用確認(2/16)
https://news.biglobe.ne.jp/it/0216/mnn_220216_9937322835.htmlソフトバンク、メールでのパスワード付き圧縮ファイルを運用廃止。受信すると自動削除(2/16)
https://pc.watch.impress.co.jp/docs/news/1388648.htmlGoogle Chrome、すぐにアップデートを – 脆弱性の悪用確認(2/16)
https://news.infoseek.co.jp/article/mynavi_2368934/?tpgnr=itウクライナの国防省サイトや大手銀行にサイバー攻撃(2/16)
https:
OSSECについて学び始めた その9
#はじめに
前回はosssecのディレクトリ全体のツリー構造を調べましたが、さすがに膨大でしたので、src直下のツリー構造を調べました。#以下
“`
/home/ec2-user/ossec-hids-master/src
|–addagent
| |–b64.c
| |–main.c
| |–manage_agents.c
| |–manage_agents.h
| |–manage_keys.c
| |–read_from_user.c
| |–validate.c
|–agentlessd
| |–agentlessd.c
| |–agentlessd.h
| |–main.c
| |–README
| |–scripts
| | |–main.exp
| | |–register_host.sh
| | |–ssh_asa-fwsmconfig_diff
| | |–ssh.exp
| | |–ssh_foundry_diff
| | |–ssh_generic_diff
| |
OSSECについて学び始めた その8
#はじめに
ossecのソースコードについて、とりあえずツリー構造を調べました。#以下
“`
/home/ec2-user/ossec-hids-master
|–active-response
| |–cloudflare-ban.sh
| |–disable-account.sh
| |–firewalld-drop.sh
| |–firewall-drop.sh
| |–firewalls
| | |–ipfw_mac.sh
| | |–ipfw.sh
| | |–npf.sh
| | |–pf.sh
| |–host-deny.sh
| |–ip-customblock.sh
| |–ossec-aws-waf.sh
| |–ossec-pagerduty.sh
| |–ossec-slack.sh
| |–ossec-tweeter.sh
| |–restart-ossec.sh
| |–route-null.sh
| |–win
| | |–firewall-drop.cmd
|
GIAC試験攻略法
#はじめに
この記事はGCFA、GREM、GNFAの3つのGIAC試験を突破した私が考える試験攻略法について記載したものです。
私以外のGIAC試験合格者の意見も参考にしています。#GIAC試験について
公式サイトは以下です。GIACとは資格試験の総称であり、個々の資格は、GIAC Certified Forensic Analyst (GCFA)のように、「GIAC」が冒頭にきます。
試験によって内容は違いますが、セキュリティ分野における著名な認定資格です。日本ではGPEN、GCFA、GREM、GCIHあたりを取得している人が多いように思います。https://www.giac.org/get-certified/
#GIAC試験の特徴
一般的な資格試験との大きな違いは以下の3点です。1.英語で出題される
2.紙媒体であればなんでも持ち込める(模擬試験の問題のみNG)
3.原則として1度回答を決めたら後から直せない1.は英語が苦手な人には大きな壁になると思います。ただし、試験で使用される英語は比較的わかりやすいように思います。
2.はGIAC試験の肝になるルールです
2022/2/17主にITとかセキュリティの記事
不正端末利用を防ぐ「eSIM」を開発 – NTTコムとトレンド
https://www.security-next.com/134198申込フォームでセミナー参加者の個人情報が流出 – 愛知県
https://www.security-next.com/134135「Apache Gobblin」に深刻な脆弱性 – アップデートが公開
https://www.security-next.com/134188「VMware ESXi」などに複数脆弱性 – 組み合わさると深刻な影響
https://www.security-next.com/134166EC基盤「Adobe Commerce」「Magento」にゼロデイ脆弱性 – 早急に対応を
https://www.security-next.com/134168街づくり地域セミナー参加申込者情報が閲覧可能に、委託先の一社代表理事 報酬3ヶ月辞退(2/15)
https://s.netsecurity.ne.jp/article/2022/02/15/47136.htmlFBI、ランサムウェアグループ「Black
2022/2/16主にITとかセキュリティの記事
【更新あり】Google、「Chrome 98.0.4758.102」を公開 – 一部脆弱性はすでに悪用報告も
https://www.security-next.com/134123ESETのWindows向け製品に権限昇格の脆弱性
https://www.security-next.com/134151実例をSNSで共有、被害を未然に防ぐ「#迷惑メール展」
https://www.security-next.com/134138「セキュリティ・キャンプフォーラム2022」がオンラインで開催
https://www.security-next.com/134130大和ハウスグループ会社がEmotet感染、不審メールに注意を呼びかけ(2/14)
https://s.netsecurity.ne.jp/article/2022/02/14/47124.html第17回 認知バイアス錯覚を知らなければリスク管理は始まらない(2/14)
https://www.risktaisaku.com/articles/-/64996オープンソース開発、欠陥修正に弱点 有志頼み
CSRF攻撃対策についてNode.js Expressでアプリを構築して実例で理解する
## はじめに
Node.jsのExpressでテンプレートエンジンejsを使って実装するWebアプリを実例に、CSFR攻撃を受ける脆弱性がある状態と対策を講じた場合の実装を見ていく事で、CSRF攻撃について理解を深めてみようと思う。## CSRF(クロスサイト・リクエスト・フォージェリ)攻撃とは?
悪意のある人が用意した罠により、Webアプリのユーザ(利用者)に意図しないリクエストを送信させ、利用者の意図しない処理をWebアプリに実行させることが可能な状態になっている=脆弱性がある時に、それを利用されてユーザが意図していない処理が勝手に実行されてしまうような攻撃を CSRF(クロスサイト・リクエスト・フォージェリ)攻撃という。(問題は、ユーザ本人の意図したものではない悪意のあるリクエストをWebアプリが受け入れてしまう事)。詳細は以下のサイトを参照。
https://www.ipa.go.jp/security/vuln/websecurity-HTML-1_6.html
※IPAのサイトを見ると、認証の仕組みを持つWebアプリ(ログインしているユーザ)に対する攻撃のみが
2022/2/15主にITとかセキュリティの記事
2021年のサイバー犯罪検挙数は1万2275件 – 前年比25%増
https://www.security-next.com/134090「macOS」や「iOS」にゼロデイ脆弱性 – ウェブ閲覧でコード実行のおそれ
https://www.security-next.com/134101PCR検査のデータ管理システムがランサム被害 – 愛知県
https://www.security-next.com/134098アフィリエイト広告への懸念
奔流eビジネス(アジャイルメディア・ネットワークアンバサダー 徳力基彦氏)(2/11)
https://www.nikkei.com/article/DGXZQOUC01D0J0R00C22A2000000/日本の対応“後手後手” 北京五輪のスマホ情報セキュリティー パラでは使い捨てスマホ配布も(2/12)
https://www.zakzak.co.jp/article/20220212-K36GAYVED5P25MSHB6JQ2FRLA4/【重要ニュースまとめ(2/5~2/11)】国内財閥グループ2社が暗号資産業界に本格
セキュリティ用語
## 疎通
通信が正常に通じるか
## ペネトレーションテスト
kalilinux等を用いたホストやネットワークへの侵入を行うために攻撃するテスト
## PCIDSS
クレジット会社が共同で策定したセキュリティ規格
## CSRFトークン
CSRF攻撃を防ぐために利用されるトークン文字列
## header body
httpリクエストのヘッダー部分とボディー部分
## ペイロード
通信内容のボディ部分?
## origin
同一生成元の単位?
「5さいじがわかるcyber security(サイバセキュリティ)」のかんがえかた
5さいじがわかるcyber security(サイバセキュリティ)
https://qiita.com/kaizen_nagoya/items/105173527a8e54502bb7
の本文の考え方を整理します。
# よみあげ、よみきかせ
音読という言い方もあるかもしれません。
言葉は、音にすると、伝わりやすいという言い伝えがあります。
歌にして、調子を取るとなおよいともいいます。
# あんしんする
あんしんするばしょ、あんしんするひと、あんしんするときがわかっているとよい。
# じぶんをまもる
あんしんするばしょにいく、あんしんするひととあう、あんしんするときをすごす。
じぶんをまもるひとつのほうほう。# おそれる
おそれることがあったほうがいいかどうかはわからない。
こわいことからじぶんをまもることができたらいいね。
# じぶんのあたまでかんがえる
じぶんをまもるほうほうを、じぶんのあたまでかんがえられるといいね。
ちょっとしたおもいつきでも、だれかといっしょにためしてみるといいかも。
怖いものと、守ってくれるものがわかったら、自分の頭で考
認可に関するチェックマトリクス
仮定:権限A 権限Bが存在する場合
閲覧可能: o
閲覧不可能: x||権限Aユーザ|権限Bユーザ|未認証|管理者|
|–|–|–|–|–|
|Aコンテンツ|o|x|x|o|
|Bコンテンツ|x|o|x|o|
|パブリックコンテンツ|o|o|o|o|
|管理画面|x|x|x|o|
登録情報の供与のチェックマトリクス
||パスワードo|パスワードx|
|–|–|–|
|ID o|ログインできる|メッセージA|
|ID x|メッセージA|メッセージA|メッセージAがすべて同じであること
2022/2/14主にITとかセキュリティの記事
サイバーセキュリティにとって厳しかった2021年は関連スタートアップには記録的な年に(2/11)
Windows Defender(Microsoft Defender)とは? 最大限に有効活用する方法と組み合わせるべき対策について(2/11)
https://japan.zdnet.com/release/30644375/県内ぴりぴり、ウイルスメール テレワーク浸透、セキュリティーと社員教育強化(2/12)
https://www.yamagata-np.jp/news/202202/12/kj_2022021200369.phpAWSを触らずに「AWS認定ソリューションアーキテクト アソシエイト」に合格した話(2/11)
https://qiita.com/shoshohehe/items/6862bf0363d62d5e3344【イギリスの元スパイが説く】
どんな状況の予測にも使える考え方とは
picoCTF 2019 part2
前回からの続きです。
https://qiita.com/daihi_t/items/70f0a097ed25fd2ed3c5## slippery-shell
実行画面
配布(されたと思われる)ソースコード
“`
#include
#include
#include
#include
#include#define BUFSIZE 512
#define FLAGSIZE 128void vuln(char *buf){
gets(buf);
puts(buf);
}int main(int argc, char **argv){
setvbuf(stdout, NULL, _IONBF,
SpringBootセキュリティ 10 のベストプラクティス
JavaフレームワークのSpring Boot。
Spring Bootを使用していて、セキュリティに関してどこから手をつけてよいかわからないとお悩みであれば、ぜひご一読ください。
今回は、こちらのブログ翻訳の内容をお届けいいたします。
https://snyk.io/blog/spring-boot-security-best-practices/
#SpringBootセキュリティ 10 のベストプラクティス
Simon Maple, Matt Raible
サイモン・メープル、マット・レイブル
2018年8月16日
[チートシートのダウンロード](https://res.cloudinary.com/snyk/image/upload/v1534422834/blog/Spring_Boot_Security_Cheat_Sheet.pdf)
この
オレオレ証明書って何
よくオレオレ証明書って言葉を聞くので調べてみた。
証明書=公開鍵だが、その公開鍵を認証局の発行したものでなく、自分で発行した秘密鍵で署名したものをオレオレ証明書という
2022/2/13主にITとかセキュリティの記事
「盗んだデータを公開する」と恐喝、身代金ウイルスの被害急増…昨年146件で製造業が55件(2/11)
https://www.yomiuri.co.jp/national/20220210-OYT1T50429/サイバーセキュリティへの関心高まる–O’Reilly「2022年テクノロジートレンド」(2/11)
https://japan.zdnet.com/article/35183122/シーメンス製品に緊急の脆弱性、アップデートを(2/10)
https://news.mynavi.jp/techplus/article/20220210-2270145/JPCERT/CCの「Emotet感染有無確認ツールEmoCheck」を試した(2/10)
https://qiita.com/yasthon/items/81fcdcd43c649dd08e7eキヤノンやLGも襲ったMaze、Egregor、Sekhmetランサムウェアの復号キーが公開される(2/11)
https://jp.techcrunch.com/2022/02/11/2022-02-10-maze-e
公開鍵暗号使ってTwitterで恥ずかしいことをいってみる。
# 王様の耳はロバの耳
エライヒトの悪口とか、言ってはいけないこととか、そういうことって大っぴらにいうと気持ちよくないですか?僕は気持ちいいです。一方で、そんなことを大っぴらにいって自分の上司とかにみられるのもちょっと困ってしまいますね。
そんな欲望を一気に発散するために**ツイッターの中心で愛を叫ぶ。でも誰にも内緒で**
をやってみたいと思います。
## おことわり
技術的な方法の解説を、おもしろおかしく記事にするのが目的です。実際にこの方法で投稿を繰り返して発生する様々な問題について当方は一切の責任を追いません。## 前提事項
|No.|項目|前提|備考|
|–|–|–|–|
|1.|OS|Windows |一部Windows独自のコマンドを利用します。|
|2.|導入ソフトウェア|OpenSSL|暗号全般、すべてこのコマンドで実施します。OpenSSLの導入方法は別途説明します。|## Alice と Bobのお話
なぜか、通信するのはいつもAliceとBobなんですよね。秘密鍵を利用したメッセージのやり取りはこんな感じで行います。
を使って何とか動かすことができましたので、備忘として公開します。
なお、CTF本の手順通りに構成した場合はUbuntu Server 20.04 vagrant could imageをベースに構成したものが出来上がりますが、この記事ではcloud imageではないUbuntu Server上に同等の環境を再現するという方針で構成します。完全に同等の環境となるものではなく、動作の保証は出来かねる点は予めご留意ください。# 想定する読者
– CTF本を買って実習しようとワクテカしてたけど、Apple Silicon Macしか持ってなくてつまづいてしまった方
2022/2/12主にITとかセキュリティの記事
CrowdStrike、AQUATIC PANDAによる侵入の試みでLog4Shellエクスプロイトツールの悪用を検知(2/10)
https://s.netsecurity.ne.jp/article/2022/02/10/47108.html9カ月で37億件の違法ダウンロード‐アカマイが世界の著作権侵害状況を公表(2/9)
https://news.mynavi.jp/techplus/article/20220209-2269140/公文書の電子媒体化「急速なデジタル化に対応」と官房長官(2/9)
https://www.sankei.com/article/20220209-BFSPMU5MCVORPKANBQPN2LWFWQ/米19歳、E・マスクのジェット機追跡に成功 業界は保安面を懸念(2/10)
https://forbesjapan.com/articles/detail/45736/1/1/1多数のIntel製品に脆弱性 ~CPUやマザーボード、Wi-Fiデバイスなど身近な製品にも(2/10)
https://forest.watch.impress.
