サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
大そうじへの備え
securesky-plus.com
立ち上げ背景 近年、企業や組織を取り巻くセキュリティ環境は急速に変化しており、従来の画一的な対策では、深刻化・複雑化するサイバー攻撃やインターネットの脅威に十分対応することが難しくなっています。加えて、セキュリティ人材の不足や予算の制約、デジタル技術の急速な進展といった課題もあり、単独の組織による対策には限界が見えています。このような状況下では、多様な視点を取り入れた柔軟なセキュリティ体制の構築が求められています。そこで、SSTはあらゆる立場や視点でセキュリティについて議論し、より強固なセキュリティ体制を構築するためのコミュニティイベント「SST What’s Up」を立ち上げました。 『SST What’s Up』 〜仲間とセキュリティを学び合う場〜 「SST What’s Up」は、セキュリティ担当者やセキュアな組織づくりに関心のある方々が集まり、リラックスした雰囲気の中で最新の脅威や
GW中に風邪で寝込んでしまい、家で古銭プッシャー2を一人でプレイしていたらGWが終わってやる気がでない岩間です。みなさんは、GW満喫できたでしょうか。 先日社内の情報共有で知ったのですが、2月12日頃からNISTのNVDが更新する脆弱性情報のエンリッチメントデータが大幅に減っているようです。 関連のツイート: NISTがCVEデータをNVDに登録するときのenrichmentを1か月前に突然停止した、なんてことが起こってたんですね。 Risky Biz News: NIST NVD stopped enriching CVEs a month ago https://t.co/fDK7dYdbki — todkm IT系 (@todkm) March 15, 2024 NIST¹が、NVD²における脆弱性への情報付加を2/12から停止している。CVSSやCWE等が付与されていない状態。2/
ゼルダの伝説新作が待ち遠しくて仕事のやる気が起きない岩間です。 AWSの侵入テストのドキュメントを見ていたら、色々と変更されているではありませんか。 https://aws.amazon.com/jp/security/penetration-testing/ 調べてみたところ、2023/1/8 ~ 2023/1/15の間で更新があったようです。 変更箇所をそれぞれ確認したいと思います。 AWS上でセキュリティ評価ツールのホストすることが許可された セキュリティ評価ツールをホストする際の内容が記載されています。 さらに、AWS は、お客様がオンプレミス、AWS、またはサードパーティーと契約したテストのために、AWS IP スペースまたは他のクラウドプロバイダー内でセキュリティ評価ツールをホストすることを許可します。 これまでAWSリソースを攻撃対象とした場合のポリシーは存在していましたが、
無限に広がる青い空!セキュアスカイ!CTOはせがわです! 最近ようやくオンサイトでの登壇も増えてきたのですが、この数年すっかりオンライン慣れしすぎてしまって、いざオンサイトで登壇となると色々勘所が鈍ってしまったと感じることも少なくありません。特に、Zoom等を使う場合には常に目の前に投影する画面があるのが当たり前すぎて、オンサイトの講演でデモを実演しようという段階になって演台からスクリーンが見えにくい配置なのでうまく操作ができないということに気づき、焦ってしどろもどろになってしまうという失態もありました*1。 そこで、オンサイトでの登壇で少しでもそのような状況を改善するためのツールを作ってみました! 任意のアプリケーションのウィンドウを複製表示、拡大表示するツール 作ったツールは、「任意のアプリケーションウィンドウ(またはデスクトップ全体)を複製表示し、その表示サイズを自由に変えられる」と
ホーム エンジニアブログ 2022年のAndroidにおけるProxy設定と NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED の回避方法 こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 本記事では Android で burp などMITM型*1 のProxyを設定する方法と、Android版 Chrome 99 以上で発生する NET::ERR_CERTIFICATE_TRANSPARENCY_REQUIRED の回避方法を紹介します。 弊社では診断対象となるWebアプリのHTTP(S)通信を MITM型Proxy で取得し、検査用に編集してサーバに送っています。 「Proxyを挟めること」が診断を進める上での必須要件であり、Proxyを挟めないと診断はもとより、アプリの挙動
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 Fetch API*1 や XMLHttpRequest*2 を使ってクロスサイトのCookieを送る・送らないの実験をする機会がありました。 そこで自分の勘違いが複数発見され、改めて「今のクロスサイト Cookie って難しいな」と感じました。 セキュリティエンジニアのみならず、開発者の方にも参考になるかと思いましたので、自分の勘違いを紹介していきたいと思います。 なお本記事では「サイト」という単語を Cookie における Same-Site の定義に沿って扱います。 Understanding “same-site” and “same-origin” 使用したWebブラウザ: Chrome(burp 同梱のChromium) 106.0.5249.62
はじめに こんにちは。久々に寝坊やらかして凹んでる、SST研究開発部の小野里です。今年入ってきた新人さんたちは、私のようにならないでほしいと祈るばかりです。 さて、新年度には入ってしまいましたが、つい先日まで2021年度新卒研修最後の延長戦として、以前話題になったLog4Shell脆弱性のPoCを作るという課題に取り組んでいました。やっと動作するところまでいったものの、ここまでの道のりは非常に果てしなく複雑で長く険しいものでした。 セキュリティ業界において、多くの場合脆弱性の詳細な再現手順は伏せられる傾向にあります。それは主に悪用を防ぐためなのですが、セキュリティの初学者には実際の所何をどうするとどう危ないのか、分かりづらい場合も多いのが現状です。 Log4Shell脆弱性は非常に大きな騒ぎになったため、各所の対応も早かったかと思います。そこで、比較的Log4Shellの影響が落ち着いてき
はじめに こんにちは!CTOのはせがわです。 先日公開された、Flatt Securityさんのブログ「開発者が知っておきたい「XSSの発生原理以外」の話」、おもしろいですね。このXSSの記事に限らず、Flatt Securityさんのブログは役に立つ記事が多い*1ので、個人的には記事が公開されるのを毎回楽しみにしています!*2 たしかに、XSSの脅威についてはなかなか理解してもらうことが難しく、また一般的にはSQLインジェクション等と比べても脅威が低く見られることも多いため、XSSの脅威について少し掘り下げて考察したいと思います。 なお、この記事は「XSSの発生原因くらいは知ってるよ」という人を対象にしています。「XSSって何だっけ」という方は クロスサイトスクリプティング対策 ホンキのキホン (1/3):CodeZine(コードジン) などの記事を参照してください。 技術的な面からの解
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャンツールで WebAuthnを使ったログイン処理をどうやって再現するかが悩ましく感じました。 もちろん、2022年2月時点でほとんどの(筆者の知る限りではすべての)Webサイトで WebAuthn を始めとする多要素認証はオプション扱いです。 多要素認証のフローそのものの診断を要望されない限りは、従来のID/パスワード認証によるログイン処理でスキャンや手動診断が可能です。 とはいえ転ばぬ先の杖と言いますし、診断ツールを開発している筆者として
はじめに こんにちは。SST研究開発部の小野里です。最近はキーボードを自作しようと思って色々パーツを買いそろえており、キーボードのことばかり考えています。今回の話はキーボードとは全く関係ありません。 さて、先日以下の記事で社内向けの蔵書管理サービスを作ったことを書きました。 新卒研修記~Webアプリの開発~ その後、私の新卒研修ではこのサービスについて弊社の主な業務である脆弱性診断を行っていたのですが、そこでSSRFという中々面白い脆弱性が見つかりました。この記事ではSSRFがなぜ引き起こされてしまったのかと、その対策について書いていこうと思います。 SSRFとは SSRF (Server Side Request Forgery)とは、公開サーバの設定不備により、非公開サーバに対して不正にアクセスされる脆弱性です。 通常、直接のアクセスが禁止されているサーバに対して、公開サーバを経由して
はじめに こんにちは。ご無沙汰しております。脆弱性診断員の百田です。 今回は、実際に脆弱性診断をしていたときに考えていた、そこまで重要でもないと思われることをここに吐き出します。 その内容は、題名にもあるとおりレスポンスヘッダの「Access-Control-Allow-Origin」に設定される値についてです。 注意点として「Access-Control-Allow-Origin」に設定される値自体はどうでも良くないです。重要です。 理由がよくわからない場合は以下の記事をご覧いただければと思います。 https://developer.mozilla.org/ja/docs/Web/HTTP/CORS では、そこまで重要でもないと思ったのは何なのか……。それは「Access-Control-Allow-Origin」に以下の値が設定されていた場合、どちらがセキュリティ的にマシなのか?とい
はじめに セキュアスカイ・テクノロジー(以下、SST)、システム&セキュリティチームの西村です。 今回は前置きなくいきなり本題に入りますが、JPCERT/CCより注意喚起も出ているApache Log4jの脆弱性対応について、SST社内(いわゆる情シスの視点)で実施している対応の一部を可能な範囲でご紹介します。 https://www.jpcert.or.jp/at/2021/at210050.html SSTでは、お客さま向けにWAFサービスや脆弱性診断サービスを提供しており、本脆弱性への対応という意味では社外向けに提供している自社サービスの対応もとても重要なポイントです。が、本ブログでは、一企業としてその中のセキュリティ担当(や情報システム担当)が自社でどのような対応を実施しているか(執筆時点でも継続対応中のため、途中経過として)をご紹介することで、同様の立場で本脆弱性の対応をしている
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日の記事では Linux のネットワークインターフェイス名を出発点として systemd や udev について調査しました。 どうやって調査したかというと、 検索キーワードをあれこれ試してみて、見つかった記事から気になるコマンドや設定ファイルがあれば、実際の内容を確認し、 そこからmanページを辿ってパッケージ情報にさかのぼり、パッケージがインストールした他のコマンドや設定ファイルの一覧から構成を把握し、 さらに関連するコマンドや設定ファイルをmanページで辿って・・・ というサイクルを繰り返しました。 時には同じmanページを数度に渡って辿り直し、読み直したりして自分の中の情報を整理しました。 読者の皆様は、そのような時どうされますか? 初めて触るLinuxディ
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 前回の記事では Raspberry Pi 4 Model B Starter Kit (以下「ラズパイ」) をセットアップしました。 本記事では WiFi AP 化した上で、HTTP(S) アクセスを PC 上の Burp の Invisible (透過型) Proxy に転送し、スマホからのHTTP(S)通信をキャプチャできる環境を構築します。 検証環境: Burp Suite Community Edition v2021.5.1 Raspberry Pi 4 Model B, OS: Raspbian (32bit) iPad (iOS 12.5.4)*1 なぜ WiFi AP を経由して Invisible(透過型) Proxy を通すのか? そもそも iOS
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 iOSやAndroidで Burp のProxy設定をすると、いくつかのアプリで通信エラーになってしまうことがあります。 例として以下のような操作があります。 アプリのインストール (AppStore や Google Play の操作) 課金処理 Burp では TLS Pass Through を設定することでこれらの通信エラーを回避できることがあります。 今回はこの機能について PortSwigger 社のブログ記事を参考に解説します。 SSL pass through in Burp | Blog – PortSwigger https://portswigger.net/blog/ssl-pass-through-in-burp ※このブログ記事では “SS
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 先日、Proxy によりHTTPリクエストがどのように変わるかの解説記事を書きました。 また iOS のHTTP通信ライブラリの Proxy 対応状況についても調べています。 こうしたライブラリを使ったアプリであれば、WiFi接続からProxy設定をすれば自動でそれを参照し、BurpなどでHTTP(S)通信を見ることができます。 そうではなく、WiFi の Proxy 設定を参照しなかったり、そもそも Proxy に未対応の場合はどうすれば良いでしょうか? Burp の場合 Invisible Proxy (別名: 透過型Proxy) 機能があり、これを使うと Proxy 未対応の通信でもBurpを通すことが可能になります。 本記事では PortSwigger 社の
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 社内で診断ツールやプロキシを開発していることもあり、通信関連のトラブル相談を受けることがあります。 その中で「そもそも HTTP(S) Proxyを設定するとはどういうことか?」を解説する機会が何度かありましたので、これを機にエンジニアブログで紹介したいと思います。 当ブログの読者としてはWebエンジニアや情報セキュリティ関係者が多いと思います。 そうした方であれば「Proxyを設定する」経験がある方もいらっしゃるでしょう。 では「Proxyを設定する」とはどういうことか、ご存知でしょうか? 本記事ではその疑問について、Wiresharkを用いたパケットレベルの観察を元に解説します。 パケット観察1: HTTP Proxy ON/OFF curlコマンドでHTTPリク
こんにちは!CTOのはせがわです。 今年1月に発売された書籍「Webブラウザセキュリティ」の著者の米内貴志(つばめ)さん、レビュアーにしむねあさん、キヌガワマサトさん、私の4名でわいわいと本を振り返る対談記事、後編です(前編はこちらからどうぞ)。
昨秋、著者の米内貴志(つばめ)さんにお願いされてこの本のレビューを行ったこともあり、出版記念ということで同じくレビュアーだったにしむねあさん、キヌガワマサトさんもお招きして4人でこの本やWeb技術周辺についてワイワイと話をしましたので、2回に分けてその模様をお届けします! レビュー楽しかったですね!
はじめに こんにちは、研究開発の宇田川です。 前回のブログでは、防御ログ(リスト)をAWSを使って自動取得する方法を公開させていただきました。 ScutumAPIリリース記念!防御ログをAWSで自動取得してみた。 第二弾は、AWSサービスを利用して詳細な防御ログの自動取得する方法を公開させていただきます。 ちなみにもっと早く公開する予定でしたが、書き始めてから構成を変更すること3回。そして、結構な長文になってしまいました… 斜め読みでもいいので目を通していただければ幸いです。 防御ログ(詳細)とは 防御ログ(詳細)について説明する前に防御ログ(リスト)で取得できる情報をおさらいします。 防御ログ(リスト)で取得できる要素を表にすると下記の通りとなります。 検知又はブロックした攻撃の集計する場合はこれで足りると思いますが、リクエストどこに攻撃が含まれているかを分析したい場合は、リクエストのメ
こんにちは!Webサイトの大穴を調査していてたまに遭遇する遺物にワクワクする、CTOのはせがわです! 今日は、オンラインでのプレゼンテーションに最適なスライド表示ソフトを自作したのでそれの紹介です。 オンラインでのスライド再生の悩み みなさん、オンラインでセミナーやプレゼンテーションをしようと思ったけど、うまくPowerPointのスライドが再生できず、軽い吐き気や頭痛を感じたことはありませんか? 例えば… PowerPointでプレゼンテーションの再生を開始したらスライドがウィンドウで最大化表示でモニターを占有してしまいZoomやGoogle MeetなどのWeb会議システムの画面が見えない 仕方ないのでモニターをもう1枚増やしたら今度は発表者ツールが最大化表示されてしまった いやいやそうじゃないと思い発表者ツールなしでスライドを再生したけど、やっぱりちょっと発表者ツールも表示させたい
はじめに こんにちは、研究開発の宇田川です。 2020年11月2日にScutumのログを取得できるAPIがリリースされました! https://www.scutum.jp/information/technical_articles/api.html ScutumのログをSIEMへの取り込みや分析で使用したいと考えていた方々には待望のリリースなのではないでしょうか。 私自身も楽しみにしていた機能追加であり、リリース前にScutumAPIを試用する機会をいただきました。 今回のブログではその時に試したAWSサービスを利用した自動取得する方法を共有させていただきます。 Scutum APIについて まず、ScutumAPIについて、簡単に説明します。 ScutumAPIの事前準備 ScutumAPIにアクセスするためには、APIキーが必要になります。 APIキーはScutumの管理画面で発行で
はじめに こんにちは!今年もこの季節がやってまいりましたね!事業開発部の清水です。 2020/10/29~10/30で開催されたCODEBLUE2020(https://codeblue.jp/2020)に参加したので、本日は10/29に実施された私的に一番興味深かったLACの鈴木悠さんによるセッションについてレポートしたいと思います。 セッション内容 公開されているセッション内容は以下です。 “本セッションでは、ソーシャルメディアにおいてdisinformation(虚偽情報)が拡散する背景について、disinformationの持つ性質と人の心理的側面から有効策を提案する。 ソーシャルメディアは、今や民主主義の脅威とされている。その理由は、ソーシャルメディアは国境を越え、人の心に直接語りかけることができるという性質を持つからである。2016年のブレグジットおよび米大統領選挙では、dis
どうも!脆弱性診断士の西尾です! 今回は今更ながらEmotetについて調べてみたので、全体的な攻撃の流れや、各フェーズでの動作についてまとめてみました。 正直この記事を書くか迷ったのですが、Emotetの全体像を分かりやすく解説されてる記事があまりないなぁと感じたので、勇気を出して書いてみます。 ※ 本記事は2020年8月24日に執筆したものを追記して更新しています。一部古い情報が含まれている可能性があります。 【2022/3/8 追記】 Emotetは2021年1月以降、活動を一時停止1していましたが、2021年11月頃から活動を再開し始めました。2 また、2022年2月頃から感染が急拡大していることが報告されています。3 攻撃方法に大きな変化はないようですが、攻撃メールにExcelファイルを直接添付するパターン4や、偽のPDF閲覧ソフトをダウンロードさせるサイトに誘導するパターン5も確
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 5月のGW明けごろに、社内のエンジニア向けにJava開発のスキルアップサポートを行う機会がありました。 コロナの影響で在宅となったため、Google Meets を使ってリモートでJava開発についての細々としたノウハウを若手エンジニアに伝授しました。 「細かすぎたかな・・・」と不安になりましたが幸いにも好評だったので、ざっくりとした箇条書きになりますがこちらでも公開します。 対象読者 : 中級レベルにステップアップしたい Java ビギナー(Javaの入門書を1 – 2冊、環境構築も含めて写経したくらいを想定) なお一部には坂本個人の意見も混ざっています。参考程度にとどめ、もし所属するチームで定められたルールやレギュレーションがあったり、読者自身のこだわり/意見があ
はじめに SSTでアルバイトをしていて約一年半、仕事は勉強になることばかりで「むしろ自分がお金を払わなくて良いのか?」と思いつつある石渡です。 今回はとある理由でCSP(コンテンツセキュリティポリシー)について調べる機会を頂き、色々な記事を読みましたので、CSPについてまとめてみます。 CSPとは CSP(Content Security Policy)は、対応しているユーザーエージェント(通常はブラウザ)の挙動をWebサイト運営者が制御できるようにする宣言的なセキュリティの仕組みです。どの機能が有効になるか、どこからコンテンツをダウンロードすべきか、などを制御することで、Webサイトの攻撃対象領域を小さくできます。1 簡単に説明すると、XSS等を緩和する為、インラインスクリプトやevalなどを禁止したり、信頼できるコードなどを参照するように制限をかけたりするセキュリティの為のHTTPレス
ごにょごにょごにょごにょ… ということでここまで約8時間、快適なオンラインビデオ会議について講義を行ってきましたが、理解できましたか?もうあなた方は立派にGoogle Meeeeetが使えます! というわけで、今日はGoogle Meetを少しだけ快適に使うハックの話をします。CTOの長谷川です。 Google Meetって? Google MeetはZoomやSkype、Teamsなどと同様にインターネット経由で手軽にビデオ会議が行える、Googleによるサービスです。過去にはサービス名が「Google ハングアウト」「Google ハングアウト Meet」だったこともあり、オンラインの記事ではあちこち旧称も混ざったりと表記が揺れてますが、この記事ではGoogle Meetに統一します(Meeeeetではないです)。 Google Meetと他のサービスを比べてみると、以下のような差異が
はじめに 初めまして。2019年度入社のTです。 SSTにエンジニアとして入社して1年が経ち、私も新卒の方を迎える立場になってしまいました。 目的 今回はエンジニアブログ初執筆ということで、私が去年研修中に学んだ題材を元に、特に印象的だった脆弱性について解説していきたいと思います。 Webアプリケーション開発者の方やそれを管理・運用する方に対して脆弱性の解説をする上で特に重点を置く項目の一つに「想定される被害」が挙げられます。 しかし、Webアプリケーションのセキュリティに焦点を当てた詳細な技術書や記事でもない限り、脆弱性ごとの「想定される被害」の表現は抽象的になりがちです。例えば今回扱うXSSにありがちなのは 「攻撃者の用意した任意のJavaScriptが被害者ユーザのブラウザ上で実行される可能性があります」 「Webページが攻撃者の用意した悪意あるHTMLコンテンツにより改ざんされる可
こんにちは! イドの中でカエルちゃんサーバーが侵略された原因を探す俺の名前は名ハッカー長谷井戸…じゃなくってCTOの長谷川です! みなさんの周りでも、新型コロナウイルスへの感染予防から急激に在宅勤務が増えているかと思います。慣れないリモートからの勤務で、会社のサーバーにVPNでつないでいるつもりがつなぎ忘れてたとか、移動中なのでVPN切っておいたほうが通信が安定するのに無駄にVPNつなぎっぱなしだったとかってないですか? たいしたことはない話ですが、小さなうっかりも積もり積もってストレスが溜まりますよね。そんなわけで、今日は少しでも在宅勤務でのストレスを減らせるよう、VPNの接続に合わせて自動でWindowsの壁紙を変更する方法を紹介します。 壁紙を変更するスクリプト まずは壁紙を変更するスクリプトを準備しましょう。スクリプトはPowerShellで書いています。下記のコードを適当に vp
次のページ
このページを最初にブックマークしてみませんか?
『securesky-plus.com』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く