You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert

最近はMBSDでWebアプリケーションスキャナの開発をしている寺田です。 Webアプリケーションを開発していると、セキュリティの観点でURLをチェックしなければならないことがしばしばあります。本日の記事では、そのようなURLのチェックを如何に行うか、正規表現を使う場合の注意点や、バイパス方法などについて書きたいと思います。 本記事で想定するのは、ブラウザからパラメータとして来るURLをチェックしてリダイレクトやリンクのURL等として使ったり、ブラウザから来たOriginヘッダ等のURLをチェックしてアクセス制御をするケースです。その中でも、以下のようにサブドメイン部分（★の部分）を可変にする状況を主に想定します。 https://★.example.jp/… よく使われてそうなチェック用の正規表現と、そのバイパスは以下のとおりです。 正規表現: ^https://.+\.example\.

先週に引き続き、今回もufwを使いこなすためのレシピを紹介します。今回は実践編となりますので、先週の基礎操作編とあわせて利用してください。 特定のIPアドレスからの接続を許可する ネットワークの構成上、「⁠このIPアドレスからの接続は安全であると仮定してもいい」（⁠そこには自分が普段使うマシンしかない）といったこともあるでしょう。このような場合は、次の構文を用います。 $ sudo ufw allow from 192.168.254.0/24 この設定は、「⁠192.168.254.*に属するホストからのすべての通信を許す」というものです。個別のホスト単位にしたい場合は、次のようにIPアドレスを指定してください。以下では、192.168.254.10からのすべての通信を受け付けるように設定しています。 $ sudo ufw allow from 192.168.254.10 さらに、以下

この記事は、 NTT Communications Advent Calendar 2022 7日目の記事です。 はじめに こんにちは、イノベーションセンター所属の志村と申します。 「Metemcyber」プロジェクトで脅威インテリジェンスに関する内製開発や、「NA4Sec」プロジェクトで攻撃インフラの解明・撲滅に関する技術開発を担当しています。 今回は「開発に使える脆弱性スキャンツール」をテーマに、GitHub Dependabot, Trivy, Grypeといったツールの紹介をさせていただきます。 脆弱性の原因とSCAによるスキャン 現在のソフトウェア開発は、多くのOSSを含む外部のソフトウェアに依存しています。Python、Go、npm など多くの言語は、様々なソフトウェアをパッケージとして利用できるエコシステムを提供しており、この仕組みを利用してOSSなどのコンポーネントをソフト

概要 元サイトの許諾を得て翻訳・公開いたします。 英語記事: Security Best Practices for Your Rails Application | AppSignal Blog 原文公開日: 2022/10/05 原著者: Paweł Dąbrowski サイト: AppSignal Blog 参考: 週刊Railsウォッチ20221011 Railsのセキュリティベストプラクティス 日本語タイトルは内容に即したものにしました。原文の章インデントは訳文で一部を変更しています。 以下のRailsセキュリティガイドも合わせてお読みください。 参考: Rails セキュリティガイド - Railsガイド Webアプリケーションを構築するときは、パフォーマンスや使い勝手を重視するのはもちろんですが、セキュリティにも注目する必要があります。ハッキング手法は、技術の進化と変わらない

Quickly and easily assess the security of your HTTP response headers

「Bunsin（ブンシン）」は、あなたの「身代わり」となるブンシンを作って、あなたの情報、プライバシーを守ることができるアプリです。

ユーザに対して、そのユーザ名のサブドメインやメールアドレスを払い出すWebサービスがあります。 しかし、特定のサブドメインやメールアドレスは特別な用途で使われているものもあります。そのようなサブドメインやメールアドレスを一般ユーザに払い出してしまうと危険です。 現在、IETFでは仕様上利用用途が決められている、それらのラベルをとりまとめる「Dangerous Labels in DNS and E-mail」というdraftが提出されています。 今回はそれを眺めていきます。 （あくまでIETFの取り組みであり、仕様上定義されているものをとりまとめています。クラウドサービスや特定ベンダーで特別利用しているものは現在含まれていません。） サブドメイン ここでとりあげるサブドメインは、利用用途が決まってるため一般ユーザに払い出すべきではありません。(例: mta-sts.example.com)

インターネットに接続するだけでウイルスに感染する世の中、無防備なWindows 2000 SP4は無傷でいられるのか!?　　　　　※多くの反響ありがとうございます。この動画は皆さんにインターネットは危険であることと、クリーンインストール後のWindows Updateに注意してほしいことを改めて知っていただきたいと思って作成しました。　　　　　　　　　　　　　　　※Windows 2000のサポートは2010年7月13日に終了しました。今後、新たな脆弱性が発見されても修正されませんので、動画のようなことが起こる可能性があります。特に、インターネットに直接接続されている方は緊急に対応が必要です。

先日始まった LAWSON Wi-Fi を利用するために必要なローソンアプリの利用規約がとんでもなかった件。 アプリ利用中は誰の誕生日も電話番号も知らせてはいけないし、知ろうとしてもいけない！ Pontaカードを解約しようとしてもローソンアプリの規約で退会出来無い！詰んだ！ 【4/10 22:10】 続きを読む

ゆうちょ銀行のスクレーパーを書くに当たり、パスワードと合言葉がわからなかったので初期化をお願いした。 初期化をお願いしたのに、窓口のお姉さんに「再通知ですね！」とか言われた。きっと言い間違いだろうと思ってたら、本当にパスワードが平文で届いた。 パスワードを忘れたので郵送通知をお願いした。 前のパスワード印字した藁半紙が届いた。＼(^o^)／ おお紙よ。あなたは覚えていらっしゃった。忘れたパスワードが印字されて郵送されてきた。 マジでドン引きしたわ。 忘れたパスワードが送られてきたよ。 (パスワードが印字されて届いた。) (暗証番号も印字されて届いた。 ) さすがにこれはドン引きしたわ。 これ情報処理センタのバイトが手作業で封してるんですよね・・・ これね、紛失したパスワードが平文でそのまま届きましたよ。再発行じゃなくて、以前のものがそのまま。 郵送で送るかぁ。。。。 パスワードを平文で保持

しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの？ ペネトレーションテストの現場から検証します（編集部） ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ

ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■ＪＲ東海からID・パスワードのお知らせ■■■ あのに　増田 様 ◆あのに　増田さんのＩＤ・パスワード◆ ＩＤ：12345678 パスワード：mypassword こんにちは！ＪＲ東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって？登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに２ヶ月後。こんなメー

仕様 TwitterのURL自動リンクみたいな機能を実現する関数expandString(String):Stringを実装しなさい(言語自由) 入力: 文字列 出力: HTML断片文字列 以下の文字列をリンクに展開すること URL: http,httpsのURLを、そのURLへリンクする @: @(ユーザid)を、http://twitter.com/(ユーザid)へリンクする ハッシュタグ: #(ハッシュタグ名)を、http://twitter.com/#search&q=%23(ハッシュタグ名)へリンクする ただし、上記の仕様は曖昧である。詳細についてはセキュリティと利便性に配慮し決定すること。 サンプル入出力 expandString('hoge') => hoge expandString('リンク http://example.com/') => リンク <a href="ht

4. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを開始 – 2004年にKCCS社内ベンチャーとしてWebアプリケーションセキュリティ事業を立ち上げ • その他 – 1990年にPascalコンパイラをCabezonを開発、オープンソースで公開 「大学時代のPascal演習がCabezonでした」という方にお目にかかること

以下は、WEBプログラマー用のWEB脆弱性の基礎知識の一覧です。 WEBプログラマーの人はこれを読めばWEB脆弱性の基礎をマスターしてWEBプログラムを書くことができるようになっているかもです。 また、WEB脆弱性の簡易リファレンスとしても少し利用できるかもしれません。 WEBアプリケーションを開発するには、開発要件書やプログラム仕様書通りに開発すれば良いというわけにはいきません。 そう、WEB脆弱性を狙う悪意のユーザにも対処しないといけないのです。 今回、WEBアプリケーションを開発にあたってのWEB脆弱性を、以下の一覧にまとめてみました。 このまとめがWEBアプリケーション開発の参考になれば幸いです。 インジェクション クロスサイト・スクリプティング セッション・ハイジャック アクセス制御や認可制御の欠落 ディレクトリ・トラバーサル(Directory Traversal) CSRF（