以下ã®è¬›æ¼”資料ã§ã™ã€‚ https://axies.secretari.jp/conf2024/program/organizations#_11AM2A
Password-less Journey - パスã‚ーã¸ã®ç§»è¡Œã‚’見æ®ãˆãŸãƒ¦ãƒ¼ã‚¶ãƒ¼ã®æº–å‚™ @ AXIES 2024
以下ã®è¬›æ¼”資料ã§ã™ã€‚ https://axies.secretari.jp/conf2024/program/organizations#_11AM2A
2038å¹´å•é¡Œã‹ã‚™æ€ã£ãŸã‚ˆã‚Šãƒ¤ãƒã‚™ã„。検出ツールを作ã£ã¦è„…å¨æ€§è©•ä¾¡ã—ã¦ã¿ãŸè«–æ–‡ | Kansai Open Forum 2024
2038å¹´å•é¡Œã‹ã‚™æ€ã£ãŸã‚ˆã‚Šãƒ¤ãƒã‚™ã„。検出ツールを作ã£ã¦è„…å¨æ€§è©•ä¾¡ã—ã¦ã¿ãŸè«–æ–‡ | Kansai Open Forum 2024
SSHã§ã‚‚二è¦ç´ èªè¨¼ã‚’使ã„ãŸã„ | IIJ Engineers Blog
社会人生活ã®åŠåˆ†ã‚’フリーランスã€åŠåˆ†ã‚’IIJã§éŽã”ã™ã‚¨ãƒ³ã‚¸ãƒ‹ã‚¢ã€‚元々ã¯ã‚¢ãƒ—リケーション屋ã ã£ãŸã¯ãšãŒã€ã‚¯ãƒ©ã‚¦ãƒ‰ã¨å‡ºä¼šã£ãŸã°ã‹ã‚Šã«åŠèº«ã‚’インフラ屋ã«å£²ã‚Šæ¸¡ã™ç¾½ç›®ã«ã€‚ç¾åœ¨ã¯ã‚³ãƒ³ãƒ†ãƒŠæŠ€è¡“ã«å‚¾å€’ä¸ã ãŒèªžã‚Šã ã™ã¨é•·ã„ã®ã§å‰²æ„›ã€‚ã‚¿ã‚°ã‚’ã¤ã‘ã‚‹ãªã‚‰ã‚³ãƒ³ãƒ†ãƒŠã€ã‚¯ãƒ©ã‚¦ãƒ‰ã€ãƒãƒ¼ãƒ‰ãƒã‚¤ã‚¯ã€ã†ã©ã‚“。 ã€IIJ 2024 TECHアドベントカレンダー 12/6ã®è¨˜äº‹ã§ã™ã€‘ 今年ã®IIJアドベントカレンダーã¯ã€Œé‹ç”¨ã€ãŒãƒ†ãƒ¼ãƒžã¨ã„ã†ã“ã¨ãªã®ã§ã€é‹ç”¨ã«æ¬ ã‹ã›ãªã„å¿…æºãƒ„ールç†é ã§ã‚ã‚‹SSHã‚’å–り上ã’ã€SSHã®ç§˜å¯†éµã‚’安全ã«ç®¡ç†ã™ã‚‹æ–¹æ³•ã«ã¤ã„ã¦è€ƒãˆãŸã„ã¨æ€ã„ã¾ã™ã€‚ ãŸã¨ãˆSSH秘密éµãŒæ¼æ´©ã—ã¦ã‚‚ã€å®‰å…¨ã‚’確ä¿ã™ã‚‹æ–¹æ³• è¸ã¿å°ã‚µãƒ¼ãƒã«SSH秘密éµã‚’ç½®ã‹ãšã«åˆ©ç”¨ã™ã‚‹æ–¹æ³• SSH秘密éµã®å®‰å…¨ãªç½®ãå ´æ‰€ã‚’è€ƒãˆã‚‹ SSH秘密éµã¯ä¸€èˆ¬çš„ã« ~/.sshã«ãƒ•ã‚¡ã‚¤ãƒ«ã¨ã—ã¦ç®¡ç†ã•ã‚Œã¦ã„ã‚‹ã¨æ€ã„ã¾ã™ãŒã€ä¸å®‰ã«æ„Ÿã˜ã‚‹ã“ã¨ã¯ã‚ã‚Šã¾ã›ã‚“ã‹ï¼Ÿ ノートPCã«
SELinuxã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ã‚‹3(動作検証編)
ã¯ã˜ã‚ã« éŽåŽ»ï¼’回ã®SELinuxã®è¨˜äº‹ã¯ã€ãªã‚“ã ã‹ã‚“ã 座å¦çš„ãªå†…容ã«ãªã£ã¦ã—ã¾ã„ã¾ã—ãŸãŒã€ä»Šå›žã¯å®Ÿéš›ã®SELinuxã®å‹•ä½œï¼ˆã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ï¼‰ã«ã¤ã„ã¦æ¤œè¨¼ã—ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ã€‚ 検証内容 今回ã¯SELinuxを利用ã—ã¦ã€httpdプãƒã‚»ã‚¹ãŒã‚¢ã‚¯ã‚»ã‚¹ã§ãるファイルã®åˆ¶å¾¡ã‚’ã‹ã‘ã¦ã¿ãŸã„ã¨æ€ã„ã¾ã™ï¼ˆå®Ÿç”¨çš„ã§ã¯ãªã„ã§ã™ãŒã€SELinuxã®å‹•ä½œã‚’ç†è§£ã™ã‚‹ã«ã¯ã„ã„ã‹ãªã¨æ€ã£ã¦ã¾ã™ï¼‰ã€‚ 具体的ã«ã¯ã€ä½œæˆã—ãŸindex.htmlã«å¯¾ã—ã¦SELinuxã§ã‚¢ã‚¯ã‚»ã‚¹åˆ¶é™ã‚’ã‹ã‘ã¦é–²è¦§ã§ããªãã—ã€ãã®åŽŸå› 特定ã¨ä¿®æ£æ–¹æ³•ã‚’通ã—ã¦SELinuxã®åˆ¶å¾¡ã®ä»•æ–¹ã‚’å¦ã¹ã‚Œã°ãªã¨æ€ã„ã¾ã™ã€‚ 事å‰æº–å‚™ httpdサービスをインストールã—ã¾ã™ã€‚
SELinuxã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ã‚‹2(少ã—実践編)
ã¯ã˜ã‚ã« å‰å›žã€SELinuxã®ãã‚‚ãã®ã‚‚è¨å®šã®è©±ã«ã¤ã„ã¦ã€ã‚³ãƒžãƒ³ãƒ‰ã‚’確èªã—ãªãŒã‚‰ç´¹ä»‹ã—ã¾ã—ãŸã€‚ SELinuxã¨ã¯ãªã‚“ãžã‚„ã¨ã„ã†åº§å¦ã‹ã‚‰ã¾ã¨ã‚ã‚‹ã“ã¨ã‚‚考ãˆã¾ã—ãŸãŒã€è‡ªåˆ†è‡ªèº«ã®ç†è§£ãŒæµ…ã„ã®ã¨ã€ 実際ã®è¨å®šã‚’コマンドã§ç¢ºèªã—ãªãŒã‚‰ã®æ–¹ãŒç†è§£ã—ã‚„ã™ã„ã‹ãªã¨æ€ã„ã€ã‚³ãƒžãƒ³ãƒ‰ã‚’主軸ã«ãŠã„㦠SELinuxã¨ã¯ä½•ãªã®ã‹ç¢ºèªã—ã¦ã„ããŸã„ã¨æ€ã„ã¾ã™ã€‚ ãªãŠã€æœ¬è¨˜äº‹ã‚’èªã‚“ã ã ã‘ã§ã¯ã€SELinuxãŒã©ã®ã‚ˆã†ã«å‹•ä½œã—ã¦ã„ã‚‹ã®ã‹ã¾ã§ã¯ã‚ã‹ã‚Šã¾ã›ã‚“。 動作ã®ã‚¤ãƒ¡ãƒ¼ã‚¸ã«é–¢ã—ã¦ã¯ã€æ¬¡å›žä»¥é™ã®è¨˜äº‹ã§æ›¸ããŸã„ã¨æ€ã„ã¾ã™ã€‚ ã¾ãŸã€æœ¬æ¥SELinuxã¯ãƒ—ãƒã‚»ã‚¹ã¨ãƒ•ã‚¡ã‚¤ãƒ«ï¼ˆãƒ‡ã‚£ãƒ¬ã‚¯ãƒˆãƒªï¼‰ã«å¯¾ã—ã¦æœ‰åŠ¹ãªã‚‚ã®ã§ã™ãŒã€ã“ã‚Œã‹ã‚‰æ›¸ã内容ã¯ã€ãƒ•ã‚¡ã‚¤ãƒ« ã«é™å®šã—ãŸå†…容ã«ãªã‚Šã¾ã™ã€‚ SELinuxã§ã‚ˆã使ã†ã‚³ãƒžãƒ³ãƒ‰ コマンド 説明
SELinuxã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ã‚‹1(超åˆç´šç·¨ï¼‰
ã¯ã˜ã‚ã« æ¥å‹™ã§ã‚µãƒ¼ãƒã‚’è¨è¨ˆãƒ»æ§‹ç¯‰ã™ã‚‹éš›ã€SELinuxを有効ã«ã—ã¦ã„ã‚‹ã¨æƒ³å®šã—ã¦ã„ãªã„動作をã™ã‚‹ã“ã¨ãŒå¤šã‹ã£ãŸã®ã§ã€è¨å®šã¯å¿…ãšç„¡åŠ¹ã«ã—ã¦ã„ã¾ã—ãŸã€‚ ãŸã ã€RHEL9.0以é™ã§ã¯ã€SELINUX=disabledã«ã™ã‚‹ã“ã¨ã‚‚ã§ããªããªã£ã¦[1]ã€å…¬å¼ãƒ›ãƒ¼ãƒ ページã«ã¯ä»¥ä¸‹ã®ã‚ˆã†ãªè¨˜è¿°ã‚‚ã‚ã‚‹ã“ã¨ã‹ã‚‰ã€ä»Šå¾Œã¯ãã¡ã‚“ã¨SELinuxã«ã¤ã„ã¦ç†è§£ã—ã¦ãŠã‹ãªã„ã¨ã„ã‘ãªã„ãªã¨æ€ã„ã€ã¨ã‚Šã‚ãˆãšã‚³ãƒžãƒ³ãƒ‰ã¨ã‹è¦šãˆã‚‹æ„味ã§è¨˜äº‹ã‚’書ã„ã¦ã¿ã‚ˆã†ã¨æ€ã„ã¾ã—ãŸã€‚ Red Hat ã¯ã€SELinux を永続的ã«ç„¡åŠ¹ã«ã™ã‚‹ä»£ã‚ã‚Šã«ã€Permissive モードを使用ã™ã‚‹ã“ã¨ã‚’å¼·ã推奨ã—ã¾ã™ã€‚Permissive モードã®è©³ç´°ã¯ Permissive モードã¸ã®å¤‰æ›´ ã‚’å‚ç…§ã—ã¦ãã ã•ã„。 ãªãŠã€ï¼‘回ã§ã¯å…¨ã¦æ›¸ããã‚Œãªã„ã®ã§ã€ç´°åˆ‡ã‚Œã§è¨˜äº‹ã«ã§ãã‚Œã°ã¨æ€ã£ã¦ã„ã¾ã™ã€‚ SELinux ã¨ã¯ 以下ã¯ã€Red Hat ã®è¨˜è¼‰å¼•ç”¨ã€‚ S
SELinux ã¨ã¯ - 仕組ã¿ã€ä½¿ã„æ–¹ã€ã‚¨ãƒ©ãƒ¼ã¸ã®å¯¾å‡¦ | Red Hat
SELinux (Security-Enhanced Linux) ã¯ã€ã‚·ã‚¹ãƒ†ãƒ ã«ã‚¢ã‚¯ã‚»ã‚¹ã§ãるユーザーを管ç†è€…ãŒã‚ˆã‚Šè©³ç´°ã«åˆ¶å¾¡ã§ãるよã†ã«ã™ã‚‹ Linux® システム用ã®ã‚»ã‚ュリティ・アーã‚テクãƒãƒ£ã§ã™ã€‚ã‚‚ã¨ã‚‚ã¨ã¯ã€Linux Security Modules (LSM) を使用ã—㟠Linux カーãƒãƒ«ã¸ã®ä¸€é€£ã®ãƒ‘ッãƒã¨ã—ã¦ã€ã‚¢ãƒ¡ãƒªã‚«å›½å®¶å®‰å…¨ä¿éšœå±€ (NSA) ã«ã‚ˆã£ã¦é–‹ç™ºã•ã‚Œã¾ã—ãŸã€‚ SELinux 㯠2000 å¹´ã«ã‚ªãƒ¼ãƒ—ンソース・コミュニティã«ãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã€2003 å¹´ã«ã‚¢ãƒƒãƒ—ストリーム㮠Linux カーãƒãƒ«ã«çµ±åˆã•ã‚Œã¾ã—ãŸã€‚ ã‚»ã‚ュリティãŠã‚ˆã³ã‚³ãƒ³ãƒ—ライアンスã«å¯¾ã™ã‚‹ Red Hat ã®ã‚¢ãƒ—ãƒãƒ¼ãƒ (å‹•ç”») SELinux ã¯ã€ã‚·ã‚¹ãƒ†ãƒ 上ã®ã‚¢ãƒ—リケーションã€ãƒ—ãƒã‚»ã‚¹ã€ãƒ•ã‚¡ã‚¤ãƒ«ã®ã‚¢ã‚¯ã‚»ã‚¹åˆ¶å¾¡ã‚’定義ã—ã¾ã™ã€‚アクセス制御ã«ã¯ã‚»ã‚ュリティãƒãƒªã‚·ãƒ¼ã‚’使用ã—ã¾ã™ã€‚ã‚»ã‚ュリティãƒãƒªã‚·ãƒ¼ã¯
GitHub - PortSwigger/oauth-scan: Burp Suite Extension useful to verify OAUTHv2 and OpenID security
OAUTHScan is a Burp Suite Extension written in Java with the aim to provide some automatic security checks, which could be useful during penetration testing on applications implementing OAUTHv2 and OpenID standards. The plugin looks for various OAUTHv2/OpenID vulnerabilities and common misconfigurations (based on official specifications of both frameworks), many of the checks have been developed a
OAuth/OIDCã®JWTã¾ã¨ã‚ - Qiita
ã¯ã˜ã‚ã« Wikipedia ã® JWT (JSON Web Token) ã«é–¢ã™ã‚‹è¨˜äº‹ãŒèª¤ã£ã¦ã„ãŸã®ã§ã€2020 å¹´ 5 月 9 æ—¥ã€è‹±èªžç‰ˆã€æ—¥æœ¬èªžç‰ˆã¨ã‚‚ã«ä¿®æ£ã‚’è¡Œã„ã¾ã—ãŸã€‚ ä¿®æ£å‰ã®è¨˜äº‹ã§ã¯ã€JWT ã®ã“ã¨ã‚’「JSON をベースã¨ã—ãŸã‚¢ã‚¯ã‚»ã‚¹ãƒˆãƒ¼ã‚¯ãƒ³ã®ãŸã‚ã®ã‚ªãƒ¼ãƒ—ン標準ã§ã‚ã‚‹ã€ã¨èª¬æ˜Žã—ã¦ã„ã¾ã—ãŸã€‚ã—ã‹ã— JWT ã¯ç”¨é€”ã‚’é™å®šã—ãªã„汎用的ãªãƒ‡ãƒ¼ã‚¿ãƒ•ã‚©ãƒ¼ãƒžãƒƒãƒˆã§ã™ã€‚アクセストークンã®ãƒ•ã‚©ãƒ¼ãƒžãƒƒãƒˆã¨ã—㦠JWT を採用ã™ã‚‹ã“ã¨ã¯ã€JWT ã®å¿œç”¨äº‹ä¾‹ã®ä¸€ã¤ã«éŽãŽã¾ã›ã‚“。ãªãŠã€ã‚¢ã‚¯ã‚»ã‚¹ãƒˆãƒ¼ã‚¯ãƒ³ã®ãƒ•ã‚©ãƒ¼ãƒžãƒƒãƒˆã¯å¿…ãšã—ã‚‚ JWT ã¨ã¯é™ã‚Šã¾ã›ã‚“。→ å‚考:『図解 JWS/JWE/JWT/IDトークン/アクセストークンã®åŒ…å«é–¢ä¿‚〠JWT を知らãªã„状態㧠OAuth 㨠OpenID Connect ã®å¦ç¿’を始ã‚ã‚‹ã¨ã€ã€ŒJWT ã¯ã‚¢ã‚¯ã‚»ã‚¹ãƒˆãƒ¼ã‚¯ãƒ³ã®ãŸã‚ã®æŠ€è¡“ã§ã‚ã‚‹ã€ã€ã€ŒJWT ã¯ãƒ¦ãƒ¼ã‚¶èªè¨¼ã®ãŸã‚ã®æŠ€
「é 金å–扱金èžæ©Ÿé–¢ã®è€é‡å計算機暗å·ã¸ã®å¯¾å¿œã«é–¢ã™ã‚‹æ¤œè¨Žä¼šã€å ±å‘Šæ›¸
「é 金å–扱金èžæ©Ÿé–¢ã®è€é‡å計算機暗å·ã¸ã®å¯¾å¿œã«é–¢ã™ã‚‹æ¤œè¨Žä¼šå ±å‘Šæ›¸ã€ã®å…¬è¡¨ã«ã¤ã„㦠é 金å–扱金èžæ©Ÿé–¢ã®è€é‡å計算機暗å·ã¸ã®å¯¾å¿œã«é–¢ã™ã‚‹æ¤œè¨Žä¼šï¼ˆåº§é•·ï¼šå¯ºäº• ç† æ ªå¼ä¼šç¤¾ã¿ãšã»ãƒ•ã‚£ãƒŠãƒ³ã‚·ãƒ£ãƒ«ã‚°ãƒ«ãƒ¼ãƒ— ã‚°ãƒ«ãƒ¼ãƒ—åŸ·è¡Œå½¹å“¡ãƒ»æƒ…å ±ã‚»ã‚ュリティ担当(グループ CISO)ã€é‡‘èž ISAC FinTech ã‚»ã‚ュリティワーã‚ンググループ座長)ã«ãŠã„ã¦ã¯ã€PQCã¸ã®ç§»è¡Œã‚’検討ã™ã‚‹éš›ã®æŽ¨å¥¨äº‹é …ã€èª²é¡ŒåŠã³ç•™æ„äº‹é …ã«ã¤ã„ã¦ã€ä»¤å’Œï¼–年7月ã‹ã‚‰10月ã«ã‹ã‘ã¦é–¢ä¿‚者ã¨å¹…広ãè°è«–ã‚’è¡Œã„ã¾ã—ãŸã€‚ 今般ã€åŒå ±å‘Šæ›¸ãŒã¨ã‚Šã¾ã¨ã¾ã‚Šã¾ã—ãŸã®ã§ã€ã€Œé 金å–扱金èžæ©Ÿé–¢ã®è€é‡å計算機暗å·ã¸ã®å¯¾å¿œã«é–¢ã™ã‚‹æ¤œè¨Žä¼šå ±å‘Šæ›¸ã€ï¼ˆåˆ¥ç´™ï¼‰ã‚’公表ã—ã¾ã™ã€‚ (別紙) é 金å–扱金èžæ©Ÿé–¢ã®è€é‡å計算機暗å·ã¸ã®å¯¾å¿œã«é–¢ã™ã‚‹æ¤œè¨Žä¼šå ±å‘Šæ›¸ï¼ˆPDF:2.6MB) 関連リンク é 金å–扱金èžæ©Ÿé–¢ã®è€é‡å計算機暗å·ã¸ã®å¯¾å¿œã«é–¢ã™ã‚‹æ¤œè¨Žä¼š ãŠå•ã„åˆã‚ã›å…ˆ 金èžåºã€€Tel 03-3
脆弱性トリアージガイドライン作æˆã®æ‰‹å¼•ã
脆弱性トリアージガイドライン作æˆã®æ‰‹å¼•ã #Guidance on developing vulnerability triage guidelines. by 脆弱性診æ–士スã‚ルマッププãƒã‚¸ã‚§ã‚¯ãƒˆ 本ドã‚ュメントã¯ã€Œçµ„ç¹”ãŒè„†å¼±æ€§ã«é©åˆ‡ã«å¯¾å¿œã™ã‚‹ã“ã¨ã‚’目的ã¨ã—ã¦ã€è„†å¼±æ€§è¨ºæ–を実施ã—ãŸéš›ã«æä¾›ã•ã‚ŒãŸå ±å‘Šæ›¸ã«è¨˜è¼‰ã•ã‚ŒãŸè„†å¼±æ€§å¯¾å¿œã®å„ªå…ˆé †ä½ä»˜ã‘(トリアージ)を行ã†ãŸã‚ã«ã€ãã®çµ„ç¹”ã«é©ã—ãŸãƒˆãƒªã‚¢ãƒ¼ã‚¸ã‚¬ã‚¤ãƒ‰ãƒ©ã‚¤ãƒ³ã‚’作æˆã™ã‚‹ãŸã‚ã®æ‰‹å¼•ãã€ã§ã™ã€‚ 組織ã«ãŠã„ã¦ã‚»ã‚ュリティ対応を行ã†ãŸã‚ã®ãƒªã‚½ãƒ¼ã‚¹ã¯é™ã‚Šã‚ã‚‹ã‚‚ã®ã§ã™ã€‚ ãã®ãŸã‚ã€ç™ºè¦‹ã•ã‚ŒãŸã™ã¹ã¦ã®è„†å¼±æ€§ã«å¯¾å¿œã§ãã‚‹ã¨ã¯é™ã‚Šã¾ã›ã‚“。 é™ã‚Šã‚るリソースを最大効率ã§æ´»ç”¨ã™ã‚‹ãŸã‚ã«ã¯ã€é©åˆ‡ã«å„ªå…ˆé †ä½ã‚’付ã‘ã¦å¯¾å¿œã—ã¦ã„ãå¿…è¦ãŒã‚ã‚Šã¾ã™ã€‚ ç¬¬ï¼‘ç« ã§ã¯ã€å¯¾å¿œåŸºæœ¬æ–¹é‡ã®ç–定ã«ã¤ã„ã¦èª¬æ˜Žã—ã¦ã„ã¾ã™ã€‚ ã“ã®æ®µéšŽã§ã®ãƒˆãƒªã‚¢ãƒ¼ã‚¸åŸºæº–ã¯ã€é«˜ã„専門知è˜ã‚’æŒã£ã¦ã„ãªã„人ã§ã‚‚判æ–ã§ãる程
æ–°ãƒã‚°ã‚¤ãƒ³èªè¨¼ã€ŒkCAPTCHAã€KDDIãŒé–‹ç™ºã€€AIã§ç”»åƒç”Ÿæˆã€Œäººé–“ã«è§£ãã‚„ã™ãã€æ”»æ’ƒæ¤œçŸ¥ç²¾åº¦ã‚‚高ã„ã€
KDDIã¨KDDIç·åˆç ”究所ã¯11月19æ—¥ã€æ–°ãŸãªãƒã‚°ã‚¤ãƒ³èªè¨¼æŠ€è¡“「kCAPTCHAã€ï¼ˆã‚±ã‚¤ã‚ャプãƒãƒ£ï¼‰ã‚’開発ã—ãŸã¨ç™ºè¡¨ã—ãŸã€‚æ—¢ã«auãƒã‚°ã‚¤ãƒ³èªè¨¼ã«åˆ©ç”¨ã—ã¦ã„る。 çµµåˆã‚ã›ç”»åƒã‚’生æˆAIã§ç”Ÿæˆã™ã‚‹ã“ã¨ã§ã€å¾“æ¥ã®ã€ŒCAPTCHAã€ã‚ˆã‚Šè¦–èªæ€§ã®é«˜ã„èªè¨¼ç”»åƒã‚’æ示。検知プãƒã‚°ãƒ©ãƒ も高度化ã—ã€å¾“æ¥ã®ã€ŒCAPTCHAã€è£½å“ã§ã¯é›£ã—ã‹ã£ãŸã€ç”ŸæˆAIを使ã£ãŸæ©Ÿæ¢°æ”»æ’ƒã¸ã®å¯¾æŠ—ã‚‚å¯èƒ½ã«ã—ãŸã¨ã„ã†ã€‚ 従æ¥ã®ã€ŒCAPTCHAã€ã§ã¯ã€ã‚µã‚¤ãƒãƒ¼æ”»æ’ƒã¸ã®å¯¾ç–ã¨ã—ã¦ã€ãƒãƒœãƒƒãƒˆã«ã¯è§£ã‘ãªã„ãŒäººé–“ã«è§£ã‘ã‚‹å•é¡Œã‚’出ã™ã€‚「ゆãŒã‚“ã æ–‡å—ã‚’èªã¿å–ã‚‹ã€ã€Œã‚ã‚‹é¡Œæã®æã‹ã‚ŒãŸç”»åƒã‚’探ã™ã€ãªã©ã®å•é¡ŒãŒç”¨ã„られるãŒã€è¿‘å¹´ã€AIを使ã£ãŸæŠ€è¡“ã®é€²æ©ã«ã‚ˆã‚Šæ©Ÿæ¢°ã®å›žç”能力ãŒå‘上ã—ã¦ãŠã‚Šã€å分ã«ä¸æ£ãªãƒã‚°ã‚¤ãƒ³ã‚’防御ã§ããªããªã£ã¦ã„ã‚‹ã¨ã„ã†ã€‚ ã“ã®ãŸã‚ã€èªè¨¼æ™‚ã«å‡ºé¡Œã™ã‚‹å•é¡Œã‚’複雑化ã—ã€æ©Ÿæ¢°ã§ã¯åˆ¤åˆ¥ã—ã«ãã„視èªæ€§ã®ä½Žã„ç”»åƒã‚’表示ã™ã‚‹ãªã©ã®å¯¾ç–ãŒæŽ¡ã‚‰ã‚Œã¦ã„
éµã®æ¥è€…を探ã™ã¨ãã¯å€«ç†è¬›ç¿’ã¨ã‹ã‚„ã£ã¦ã‚‹ã€Œæ—¥æœ¬ãƒãƒƒã‚¯ã‚»ã‚ュリティå”åŒçµ„åˆã€ã‚’å‚考ã«ã™ã‚‹ã¨ã„ã„ã€ŒåŠ ç›Ÿæ¥è€…ã«é ¼ã‚“ã らé©æ£ä¾¡æ ¼ã§ã‚„ã£ã¦ãã‚ŒãŸã‚ˆã€
ライス大盛ゆã‹ã‚Š @Q5pc0fwoAgIEUt4 ç§ã‚‚昔ã€è»Šã®éµã‚’紛失ã—ã¦éµæ¥è€…を呼ã¶äº‹ã«ãªã£ãŸã‚“ã ã‘ã©ã€‚ãƒãƒƒãƒˆæ¤œç´¢ã™ã‚‹ã¨æ€ªã—ã„æ¥è€…ã®åºƒå‘ŠãŒæ¬¡ã€…出ã¦ãã‚‹ã‹ã‚‰ã€ã¾ãšã¯çµ„織を探ã—ãŸã®ã€‚ãã—ãŸã‚‰æ—¥æœ¬ãƒãƒƒã‚¯ã‚»ã‚ュリティ共åŒçµ„åˆã¨ã„ã†ã®ã‚’見ã¤ã‘ã¦ã€‚倫ç†è¬›ç¿’ã¨ã‹ã‚„ã£ã¦ã‚‹ã‹ã‚‰ä¿¡é ¼ã§ãã‚‹ã¨æ€ã£ã¦ã€ãã“ã®åŠ 盟æ¥è€…ã«é ¼ã‚“ã らé©æ£ä¾¡æ ¼ã§ã‚„ã£ã¦ãã‚ŒãŸã‚ˆ x.com/richangjiluhk/… 2024-11-17 15:00:10 è¯å—a.k.a è’¼å @richangjiluhk éµé–‹ã‘æ¥è€…ã¦ã‚ーã よï¼ã¤ã„ã«Yahoo!ニュースã§å–り上ã’られãŸãªï¼ç§ã¯3å¹´å‰å¯’空ã®ä¸‹å®¶ã®éµç„¡ãã—ã¦è—ã«ã‚‚ã™ãŒã‚‹æ€ã„ã§ãƒãƒƒãƒˆã§æ¤œç´¢ã—ã¦3980円ã®ã¨ã“ã‚ã«é›»è©±ã—ãŸã‚‰ã€è¦‹ç©ã‚‚り出ã•ã›ãŸã‚‰40,000円ãµã£ã‹ã‘られã¦ã€ã‚¹ãƒšã‚¢ã‚ーãŒå®Ÿå®¶ã‹ã‚‰å±Šãã¾ã§ã®äºŒæ—¥é–“を大阪ã§ãƒ›ãƒ¼ãƒ レス生活ã•ã›ã‚‰ã‚ŒãŸæ¨ã¿ãŒã‚ã‚‹ã‚“ã 2024-11-16 19:52
ã€2024年版】Dockerfileã®ãƒ™ã‚¹ãƒˆãƒ—ラクティスを整ç†ã—ãªãŒã‚‰Node.jsã§å®Ÿè·µã™ã‚‹
ã¯ã˜ã‚㫠最åˆã¯ãªã‚“ã¨ãªãã§æ›¸ã„ã¦ã„㟠Dockerfile ãªã®ã§ã™ãŒã€ç¤¾å†…用ã«ãƒ™ã‚¹ãƒˆãƒ—ラクティスを整ç†ã™ã‚‹ã‚¿ã‚¤ãƒŸãƒ³ã‚°ãŒã‚ã£ãŸã®ã§ã€å®Ÿéš›ã« Node.js + TypeScript ã§ã‚¢ãƒ—リケーションを作æˆã—ãªãŒã‚‰ã¾ã¨ã‚ã‚‹ã“ã¨ã«ã—ã¾ã—ãŸã€‚ ã“ã®è¨˜äº‹ã§ãƒ•ã‚©ãƒ¼ã‚«ã‚¹ã™ã‚‹ã®ã¯ã€ Dockerfile ã®ãƒ™ã‚¹ãƒˆãƒ—ラクティスãã®ã‚‚ã®ã®è©³ç´°ã§ã¯ãªãã€ãれらを整ç†ã¨ã€Œçµå±€ã©ã†å®Ÿè£…ã™ã‚“ãん?ã€ã£ã¦ã¨ã“ã‚ã§ã™ã€‚ 主ã«ä»¥ä¸‹ã®å†…容をå‚考ã«ã—ã¦ã„ã¾ã™ã€‚ 想定èªè€… Node.js ã«ãŠã‘ã‚‹ Dockerfile ã®ãƒ™ã‚¹ãƒˆãƒ—ラクティスã®å…·ä½“を知りãŸã„æ–¹ã«ã¤ã„ã¦ã¯ãƒ”ッタリã ã¨æ€ã„ã¾ã™ãŒã€ãã®ä»–ã®è¨€èªžã§ã‚‚å‚考ã«ãªã‚‹éƒ¨åˆ†ã¯ã‚ã‚‹ã¨æ€ã„ã¾ã™ã€‚ 本記事ã§ã¯ã€å„用語やベストプラクティスã®è©³ç´°ã¯è¨˜è¼‰ã—ã¾ã›ã‚“ãŒã€è©²å½“箇所ã¸ã®ãƒªãƒ³ã‚¯ã‚’載ã›ã¦ã„ã‚‹ã®ã§å¿…è¦ã«å¿œã˜ã¦å‚ç…§ã—ã¦ä¸‹ã•ã„。 ã¾ãŸã€ã“ã®è¨˜äº‹ã«æ›¸ã„ã¦ã„ãªã„内容ã§ã€ä¸Šè¨˜3ã¤ã®è¨˜äº‹ã«æ›¸ã‹ã‚Œã¦
ドメインåã®çµ‚æ´»ã«ã¤ã„㦠- JPAAWG 7th -
2024/11/11〜12 ã«è¡Œã‚れ㟠JPAAWG 7th General Meeting ã§ç™ºè¡¨ã—ãŸè³‡æ–™ã§ã™ https://meetings.jpaawg.org/
ã¿ã‚“ãªå¤§å¥½ã 🫶🼠å–引先ã¨ã®ã€Œã‚»ã‚ュリティãƒã‚§ãƒƒã‚¯ãƒªã‚¹ãƒˆã€ã¸ã®ä»˜ãåˆã„æ–¹ - pixiv inside
PIXIV DEV MEETUP 2024当日ã®å¤•æ–¹ã«Aquaステージå´ã«ãŠã‚‰ã‚ŒãŸæ–¹ã¯ã€ã€Œæž•è©žã€ã«ã¤ã„ã¦ã®èªžã‚Šã‹ã‚‰çªç„¶ãƒœãƒ«ãƒ†ãƒ¼ã‚¸é«˜ãコールアンドレスãƒãƒ³ã‚¹ãŒã¯ã˜ã¾ã‚Šã€æ—©å£ãƒˆãƒ¼ã‚¯ã®ã®ã¡ã‚³ãƒ¼ãƒ«ã‚¢ãƒ³ãƒ‰ãƒ¬ã‚¹ãƒãƒ³ã‚¹ã¨ã¨ã‚‚ã«ãƒ‰ãƒ©ãŒé³´ã‚‹ã¨ã„ã†ç™ºè¡¨ã‚’見ãŸæ–¹ã‚‚多ãã„らã£ã—ゃるã¨æ€ã„ã¾ã™ã€‚ãã£ã¨è¨€è‘‰ã§ã¯è¨€ã„表ã›ãªã„LT体験ã¿ãŸã„ãªã‚‚ã®ã‚’æ„Ÿã˜ãŸã®ã§ã¯ãªã„ã§ã—ょã†ã‹ã€‚ 申ã—é…ã‚Œã¾ã—ãŸã€‚経営ä¼ç”»æœ¬éƒ¨ 経営ä¼ç”»è£œä½ã‚’å‹™ã‚ã¦ãŠã‚Šã¾ã™*1エンジニアè·bashã¨ç”³ã—ã¾ã™ã€‚ ãœã²ã“ã¡ã‚‰ã®ã˜ã£ãã‚Šã¨ã‚¹ãƒ©ã‚¤ãƒ‰ã‚’å†èªã„ãŸã ãã€ãƒãƒƒãƒ—ãªè©±ã«éš ã•ã‚ŒãŸãƒ†ãƒƒã‚¯æ¥ç•Œã¸ã®å•é¡Œæèµ·ã¨ãã®è§£æ±ºã«ã¤ã„ã¦èªã¿å–ã£ã¦ã„ãŸã ã‘ã‚‹ã¨ã†ã‚Œã—ã„ã§ã™ã€‚ スライド ã“ã®ç™ºè¡¨ã®çµŒç·¯ 世ã®ä¸ä¸€èˆ¬ã¨ã—ã¦ã€Œã‚»ã‚ュリティãƒã‚§ãƒƒã‚¯ãƒªã‚¹ãƒˆã€ã«ã¤ã„ã¦ã¯å¤§å¤‰ã ã¨ã‹ã€è¨˜å…¥ã‚’自動化ã§ããªã„ã‹ã¨ã‹ã€ãã†ã„ã†è©±é¡ŒãŒå¤šãã‚ã‚‹ã“ã¨ã«ã²ã£ãã‚Šã¨å¿ƒã‚’ç—›ã‚ã¦ã„ã¾ã—ãŸã€‚ ãã“ã§ç§ãŒã‚»ã‚ュリティãƒã‚§ãƒƒã‚¯
Okta AD/LDAP DelAuthモジュールã«é–¢ã™ã‚‹è„†å¼±æ€§
ã“ã‚“ã«ã¡ã¯ã€å¯Œå£«æ¦®ã§ã™ã€‚ Okta社よりAD/LDAP DelAuthモジュールã«é–¢ã™ã‚‹è„†å¼±æ€§ãŒå ±å‘Šã•ã‚Œã¦ã„ã¾ã™ã。 https://trust.okta.com/security-advisories/okta-ad-ldap-delegated-authentication-username/ å ±å‘Šã•ã‚Œã¦ã„る内容ã¨ã—ã¦ã¯ã€AD/LDAP DelAuthモジュールを使ã£ã¦ã„る環境ã§ã€éŽåŽ»ã«ã‚ャッシュãƒã‚°ã‚¤ãƒ³ã«æˆåŠŸã—ãŸã“ã¨ã®ã‚ã‚‹å ´åˆã€ãƒ¦ãƒ¼ã‚¶ãƒ¼åãŒ52æ–‡å—以上ã ã¨ãƒ‘スワードãªã—(ã‚ャッシュã®ã¿ã§ï¼‰ãƒã‚°ã‚¤ãƒ³ãŒæˆåŠŸã—ã¦ã—ã¾ã†ã€ã¨ã„ã†è©±ã§ã™ã€‚ ã“ã¡ã‚‰ä¸Šè¨˜ã®ã‚µã‚¤ãƒˆã‹ã‚‰ã®å¼•ç”¨ã§ã™ã€‚ On October 30, 2024, a vulnerability was internally identified in generating the cache key for AD/LDAP DelAuth.
「脆弱性管ç†ã®æ‰‹å¼•æ›¸ システム管ç†è€…ç·¨1.0版ã€ã‚’公開|ワーã‚ンググループã«ã¤ã„ã¦ï½œå…¬é–‹è³‡æ–™ä¸€è¦§ï½œCSIRT - 日本シーサートå”è°ä¼š
一般社団法人 日本シーサートå”è°ä¼šï¼ˆNCA)ã§ã¯ã€è„†å¼±æ€§ç®¡ç†ãƒ¯ãƒ¼ã‚ンググループãŒä½œæˆã—ãŸã€Œè„†å¼±æ€§ç®¡ç†ã®æ‰‹å¼•æ›¸ システム管ç†è€…ç·¨1.0版ã€ã‚’公開ã—ã¾ã—ãŸã€‚ サイãƒãƒ¼ã‚»ã‚ュリティã«å–り組む上ã§ã€è„†å¼±æ€§ç®¡ç†ã¯æœ€é‡è¦èª²é¡Œã®ä¸€ã¤ã§ã™ã€‚ã—ã‹ã—ãªãŒã‚‰ã€ã©ã®ã‚ˆã†ãªç®¡ç†ãŒå¿…è¦ã‹ã¯ãã®ç«‹å ´ã«ã‚ˆã£ã¦ç•°ãªã‚Šã¾ã™ã€‚ 脆弱性管ç†ãƒ¯ãƒ¼ã‚ンググループã§ã¯ã€è°è«–ã§å¾—ãŸçŸ¥è¦‹ã‚’æ•´ç†ã—ã€è„†å¼±æ€§ç®¡ç†ã«å¿…è¦ãªäº‹é …ã‚’ç«‹å ´ã”ã¨ã«ã€ãƒ¦ãƒ¼ã‚¶ï¼ˆã‚·ã‚¹ãƒ†ãƒ 管ç†è€…)ã€ITサービス/製å“ã®æ供者ã€ã‚·ã‚¹ãƒ†ãƒ インテグレータ(Sier)ã«åˆ†é¡žã—ã¦ã„ã¾ã™ã€‚ã“れらã®åˆ†é¡žã‚’å…ƒã«ã€å®Ÿæ–½ã™ã¹ã脆弱性管ç†ã®è¦ç‚¹ã‚’把æ¡ã™ã‚‹æ–‡æ›¸ç¾¤ã®ä½œæˆã‚’ã—ã¦ã„ã¾ã™ã€‚今回ã¯ç¬¬ï¼‘å¼¾ã¨ã—ã¦ã€ãƒ¦ãƒ¼ã‚¶ï¼ˆã‚·ã‚¹ãƒ†ãƒ 管ç†è€…)ã®ç«‹å ´ã§ã®è„†å¼±æ€§ç®¡ç†ã«é–¢ã™ã‚‹ãƒ‰ã‚ュメントã§ã™ã€‚ ・è¬è¾ž 本手引書作æˆã«ã‚ãŸã‚Šã€æ§˜ã€…ãªæ–¹ã«ã”å”力ã„ãŸã ãã¾ã—ãŸã€‚厚ã御礼申ã—上ã’ã¾ã™ã€‚ ãƒ»åŸ·ç† æ—¥æœ¬ã‚·ãƒ¼ã‚µãƒ¼ãƒˆå”è°ä¼š 脆弱性管ç†WG ・
ORMã¸ã®ã€Œåž‹ã€ã‚’利用ã—ãŸæ”»æ’ƒ | 技術者ブãƒã‚° | 三井物産セã‚ãƒ¥ã‚¢ãƒ‡ã‚£ãƒ¬ã‚¯ã‚·ãƒ§ãƒ³æ ªå¼ä¼šç¤¾
以下ã«3種類ã®æ”»æ’ƒã«ã¤ã„ã¦æ¦‚è¦ã‚’説明ã—ã¾ã™ã€‚概è¦ã®å¾Œã«ã€ã‚‚ã†å°‘ã—詳細ã®æƒ…å ±ã‚’æ›¸ã„ã¦ã„ã¾ã™ã€‚ 本記事ã§ã€ŒMySQLã€ã¨æ›¸ã„ã¦ã‚る箇所ã¯ã€MariaDBã‚‚å«ã‚€ã¨è€ƒãˆã¦ãã ã•ã„。 A-1 数値攻撃 [MySQL] 本攻撃ã¯ã€æ–‡å—列ã¨æ•°å€¤ã®æ¯”較ã«é–¢ã™ã‚‹ã€MySQLã«ç‰¹æœ‰ã®ä»•æ§˜ã‚’利用ã—ã¾ã™ã€‚ 以下ã¯ã€æ–‡å—列カラム(token)ã¨æ•°å€¤(0)を比較ã•ã›ãŸçµæžœã§ã™ã€‚ mysql> SELECT id, token FROM users WHERE id=1 AND token=0; +----+------------------------+ | id | token | +----+------------------------+ | 1 | M4fjL71F4e6oFw5WBCmHew | ↠ã“ã‚ŒãŒã€Œ0ã€ã¨ä¸€è‡´ +----+------------------------+ 明らã‹ã«0ã§ã¯ãªã„æ–‡
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
GitHub - making/oauth2-sso-demo: OIDC SSO Demo with Spring Boot + Spring Security + Spring Cloud Gateway
{{#tags}}- {{label}}
{{/tags}}