Githubからの情報漏洩 Githubはソースコード管理サービスで、公開・非公開の設定ができる。非公開であれば、問題は無いはず。 公開設定をした際に、間違えて、シークレットが含まれる情報をアップしてしまうことが問題となる。 それらの情報を見つけるツール…

マルウェアの取得方法 マルウェアに感染したい人はいないと思うが、ウイルス対策ソフトの感度の測定やインシデント訓練などで、安全なマルウェアを使いたいことがある。 こちらの書籍で、取得方法が紹介されていた。 「セキュリティエンジニアのための機械学…

EC-Councilの新しい資格 久しぶりにEC-councilのホームページを見たら、新しい資格が追加されていた。 Certified Cybersecurity Technician（CCT）と呼ばれるもの。 www.eccouncil.org エントリーレベル、ということで、CEHの前提知識のような位置づけになっ…

セキュリティと機械学習 セキュリティ分野において、機械学習が使用されているであろうことは想像できる。 ウイルス対策ソフトのAIによる判定、などと目にするようになった。 その恩恵を受けているものの、機械学習の性質上、詳細はブラックボックス化されて…

OWASP Online Academyとは OWASP Online Academyがあるらしい、ということを知り、早速検索してみた。OWASP上のナレッジがe-learning形式になっていることを期待してしまいます。 プロジェクトの一覧を見ると、「Projects Needing Website Update」として扱…

OWASP Cyber Defense Matrixの図 OWASPのDocumentation ProjectにCyber Defense Matrixというのがあり、以下の図を提唱している。 横軸の５つのカテゴリ「IDENTIFY,PROTECT,DETECT,RESPOND,RECOVER」はNISTのNIST Cybersecurity Frameworkに定義されている５…

ソーシャルエンジニアリング CEHのテキストの第9章はソーシャルエンジニアリングだった。 以下の3タイプに分けて説明されていた。 Human-based Computer-based mobile-based Human-basedには、盗み見＝ショルダースニッフィング、ゴミ箱あさり＝ダンプスター…

不正アクセス 不正アクセス禁止法と呼ばれる法律を改めて確認。 elaws.e-gov.go.jp 「不正アクセス」の定義がありますが、分かりづらい。 ざっくり、 「アクセス権限がないネットワークに侵入したり、パスワードを盗み取ったりすることなどを禁止する法律で…

aircrack-ngについて Wi-Fiのハッキングのデファクトはaircrack-ngのようです。 www.aircrack-ng.org aircrack-ngを検索すると、 「Aircrack（エアクラック）は無線LANのパスワードを解析するプログラムを作成するプロジェクト。代表的なソフトウェアにAircr…

Wi-Fiのハッキング CEHのセミナー動画で、講師がaircrack-ngと別付けのWi-Fiアダプタを使用して、WEPのキーをクラッキングするデモがあった。 自分でも試してみたいと思い、実施してみた。 前提条件 ・Wi-Fiアダプタについてはモニターモード/インジェクショ…

CEH資格の維持 CEHの資格を持っています、というためには、 ・80ドル/年 支払い ・ECE120ポイント/3年 獲得 という条件がある。 今回初めて年会費80ドルを納める。 6月までに納めれば良いのだが、忘れてしまいそうだし、円安だし、ということで手続きを検討…

コンテナアーキテクチャ KubernetesやOpenshiftなどのコンテナ技術に普及は進んでいるようで、それに伴い、コンテナに対する攻撃もある。 xtech.nikkei.com コンテナ環境を標的にした「kinsing」というマルウェアもあるようです。 atmarkit.itmedia.co.jp 一…

やられサイトまとめ 敢えて脆弱性を持ったWebアプリケーションで、脆弱性検査（ハッキング）のスキルを向上させる、やられサイト。 OWASPだと、 OWASP JUICE SHOP ソースコード版からDocker版まである。 Juice Shop - Insecure Web Application for Training…

ライブラリのスキャン Log4Shellの通称で有名になっている脆弱性。 Apacheプロジェクトの Log4jというオープンソースライブラリで、致命的な欠陥が見つかったと大騒ぎ。 脆弱性の深刻度を評価するCVSSのスコアでは、最大値となる10.0（緊急レベル）を記録。 …

CEHの復習 Webアプリケーションの脆弱性検査をするため、久々にCEHのテキストを見直す。 14章が「Hacking Web Applications」で300ページほどあり、20章のうちで、特にボリュームが多かったと記憶している。 改めて見直すと、基本的な理論からツールの紹介ま…

スキャンの詳細について OWASP ZAPをセットアップして、スキャンの実行までは出来た。 chikuwamarux.hatenablog.com 実際、どんなスキャンが実施されているのか。 スキャンの結果から、以下のようなアラートが上がる。 アラートが上がれば、そのリクエストの…

OWASP ZAPを使う Burp Suiteを使って、アプリケーションの脆弱性診断を、と思っていたのですが、 Scanに関しては、有料版でないとできない。 chikuwamarux.hatenablog.com Burp SuiteのUIは、日本語化出来るらしいのですが、OWASP ZAPはデフォルトで日本語表…

セキュリティの原則とは？ 改めて、「セキュリティの原則」とは何だろう？と考えた。 セキュリティとは、C（Confidentiality:機密性）・I（Integrity:完全性）・A（Availability:可用性）の維持、と簡単に説明する事が多い。これは、ISO/IEC 27000に記載され…

Portswigger Academy 以前、Portswigger Academy卒業、と浮かれていたら、全然、終わってなかった。 chikuwamarux.hatenablog.com chikuwamarux.hatenablog.com chikuwamarux.hatenablog.com 久々に、Burp Suiteで遊ぼうとおもって、ログインしてみると、ク…

CVE、CWE、CVSS log4jの脆弱性はCVSSが10です、なんてワードを見る。 改めて、その辺の整理をする。 こちらで、さっぱりとまとめてくれています。 qiita.com CVE：脆弱性を識別するための共通ID（CVE識別番号(CVE-ID)） CWE：脆弱性のカテゴリ分けするための…

MITREって？ みとれ、とか読んでしまいますが、まいたー、が正しい発音らしいです。 マサチューセッツ州ベッドフォードとバージニア州マクリーンに本社を置くアメリカの非営利団体です。連邦政府が資金提供する研究開発センター（FFRDC）を管理し、航空、防…

脅威モデリングについて OWASP SAMMの中で、脅威モデリング（Threat modeling）という言葉がある。 chikuwamarux.hatenablog.com ビジネス機能:Designセキュリティ対策：Threat Assessmentの中で、 StreamとしてThreat modelingが定義されている。 その内容…

OWASP ASVSとは？ Application Security Verification Standard=ASVSで、OWASPのプロジェクトで、日本語の訳では「アプリケーションセキュリティ検証標準」が当てられている。 ASVS は現代の Web アプリケーションおよび Web サービスを設計、開発、テストす…