2016å¹´10月20æ—¥ CODE BLUE 2016 Track1 機械å¦ç¿’ã§Webアプリケーションã®è„†å¼±æ€§ã‚’見ã¤ã‘る方法Read less
CODE BLUE 2016 - 機械å¦ç¿’ã§Webアプリケーションã®è„†å¼±æ€§ã‚’見ã¤ã‘る方法
2016å¹´10月20æ—¥ CODE BLUE 2016 Track1 機械å¦ç¿’ã§Webアプリケーションã®è„†å¼±æ€§ã‚’見ã¤ã‘る方法Read less
VirtualBoxã§ã‚ã–ã¨è„†å¼±æ€§ã‚’æŒãŸã›ãŸã‚µãƒ¼ãƒã®ä½œã‚Šæ–¹ã€€ï½žã‚„られサイト構築~ - 高田純次ã«ãªã‚ŠãŸã„エンジニア ã®hatena
OWASP BWA (Broken Web Applications Project) ã„ã‚ゆる「やられサイトã€ã¯ã„ã‚ã„ã‚ã‚ã‚‹(Badstore,BodgeIt Store,moth,Gruyereãªã©ãªã©)ãŒã€ã„ã‚ã„ã‚ãªã‚ªãƒ¼ãƒ—ンソースã®ã‚¢ãƒ—リケーションãŒå«ã¾ã‚Œã¦ã„ã‚‹OWASPã®ã“ã®ãƒ—ãƒã‚¸ã‚§ã‚¯ãƒˆã«ã‚ã‚‹ã‚‚ã®ã‚’é¸ã¶ã®ãŒãƒ™ã‚¿ãƒ¼ã‹ã¨ã€‚ UserGuide - owaspbwa - User Guide for the OWASP BWA VM. - OWASP Broken Web Applications Project - Google Project Hosting VirtualBoxã«ã‚¤ãƒ³ã‚¹ãƒˆãƒ¼ãƒ« ファイルダウンãƒãƒ¼ãƒ‰ 以下ã®ã‚µã‚¤ãƒˆã‹ã‚‰ã€æœ€æ–°ãƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚’ダウンãƒãƒ¼ãƒ‰ OWASP Broken Web Applications Project - Browse Files at Sourc
フリーã§ã‚„ã‚ã†ãœï¼ã‚»ã‚ュリティãƒã‚§ãƒƒã‚¯ï¼
July Tech Festa 2015ã«ã¦ç™»å£‡ã—ãŸéš›ã®è³‡æ–™ã§ã™ã€‚ ãªãŠå¾Œæ—¥ã€å°æ²³ã•ã‚“ãŒOpen VASã®CLIæ“作ã®è§£èª¬ã«ã¤ã„ã¦ä»¥ä¸‹ã®ã‚¹ãƒ©ã‚¤ãƒ‰ã‚’è¿½åŠ æŠ•ç¨¿ã—ã¦ãã‚Œã¾ã—ãŸï¼ 「フリーã§ã§ãã‚‹ã‚»ã‚ュリティãƒã‚§ãƒƒã‚¯ OpenVAS CLI編〠http://www.slideshare.net/abend_cve_9999_0001/openvas-cli-51048313Read less
FREAK ã«ã¤ã„ã¦ã¾ã¨ã‚ã¦ã¿ãŸ - piyolog
輸出グレードã®RSAæš—å·ã‚’サãƒãƒ¼ãƒˆã—ã¦ã„ãŸã“ã¨ã«èµ·å› ã™ã‚‹è„†å¼±æ€§FREAKã«é–¢ã™ã‚‹æƒ…å ±ã«ã¤ã„ã¦é–¢é€£æƒ…å ±ã‚’ã¾ã¨ã‚ã¾ã™ã€‚ è„†å¼±æ€§æ¦‚è¦ è„†å¼±æ€§ã®æ¦‚è¦æƒ…å ±ã¯æ¬¡ã®é€šã‚Šã€‚ 愛称 FREAK (Factoring attack on RSA-EXPORT Keysã®ç•¥) 輸出グレード暗å·ã®å¼·åˆ¶ä½¿ç”¨ã«é–¢ã™ã‚‹å‘¼ç§° アイコン ç„¡ã— CVE OpenSSL:CVE-2015-0204 Apple:CVE-2015-1067 Microsoft:CVE-2015-1637 発見者å miTLS Inria(ãƒ•ãƒ©ãƒ³ã‚¹å›½ç«‹æƒ…å ±å¦è‡ªå‹•åˆ¶å¾¡ç ”究所)ã¨Microsoft Researchã®åˆåŒãƒãƒ¼ãƒ FREAK Attackã®æ¦‚è¦ ä¸é–“者攻撃ãŒè¡Œã‚れるã¾ã§ã®FREAK Attackã®æµã‚Œã¯æ¬¡ã®é€šã‚Šã€‚(3月6日更新) MITMã®æ”»æ’ƒæˆç«‹æ¡ä»¶ 以下ã®æ¡ä»¶ãŒæˆç«‹ã™ã‚‹å ´åˆã€é€šä¿¡å†…容ã®ç›—è´ã‚„改ã–ã‚“ã®å½±éŸ¿ã‚’å—ã‘ã‚‹å¯èƒ½æ€§ãŒã‚る。 接続元・
glibcã®gethostbyname関数ã«å˜åœ¨ã™ã‚‹CVE-2015-0235(GHOST)脆弱性ã«ã¤ã„㦠- ブãƒã‚° - ãƒ¯ãƒ«ãƒ–ãƒªãƒƒã‚¯ã‚¹æ ªå¼ä¼šç¤¾
glibcã®gethostbyname系関数ã«è„†å¼±æ€§ã®åŽŸå› ã¨ãªã‚‹ãƒã‚°ãŒç™ºè¦‹ã•ã‚ŒCVE-2015-0235(GHOST)ã¨å‘½åã•ã‚ŒãŸã‚ˆã†ã§ã™ã€‚放置ã—ãŸå ´åˆã¯ç›¸å½“多ãã®ã‚¢ãƒ—リケーションãŒã“ã®è„†å¼±æ€§ã®å½±éŸ¿ã‚’å—ã‘ã‚‹ã“ã¨ãŒäºˆæƒ³ã•ã‚Œã¾ã™ã€‚ glibc㯠libcã®GNUãƒãƒ¼ã‚¸ãƒ§ãƒ³ã§ã™ã€‚libcã¯ã‚¢ãƒ—リケーションã§ã¯ãªãã€äº‹å®Ÿä¸Šå…¨ã¦ã®ã‚¢ãƒ—リケーションãŒåˆ©ç”¨ã—ã¦ã„るライブラリã§ã™ã€‚OSã®ä¸ã§ã¯ã‚«ãƒ¼ãƒãƒ«ã«æ¬¡ã„ã§é‡è¦ãªéƒ¨åˆ†ã¨è¨€ãˆã¾ã™ã€‚Linuxシステムã§ã¯(ã“ã¨ã‚µãƒ¼ãƒãƒ¼ç”¨é€”ã«ãŠã„ã¦ã¯)例外ãªã glibcãŒä½¿ã‚ã‚Œã¦ã„ã¾ã™ã€‚ ã“ã® glibcã«å«ã¾ã‚Œã‚‹ gethostbyname系関数ã®å®Ÿè£…ã« 2000å¹´é ƒã‹ã‚‰å˜åœ¨ã—ãŸãƒã‚°ãŒä»Šã«ãªã£ã¦ç™ºè¦‹ã•ã‚Œã€CVE-2015-0235 通称 GHOSTã¨å‘½åã•ã‚Œã¾ã—ãŸã€‚ãƒãƒƒãƒˆãƒ¯ãƒ¼ã‚¯ã§ä½•ã‚‰ã‹ã®é€šä¿¡ã‚’è¡Œã†ã‚¢ãƒ—リケーションã¯å¿…ãšâ€»ã“ã®é–¢æ•°ã‚’使用ã—ã¾ã™ã€‚ ※追記: åå‰è§£æ±ºã‚’サãƒãƒ¼ãƒˆ
OpenSSL #ccsinjection Vulnerability
[English] 最終更新日: Mon, 16 Jun 2014 18:21:23 +0900 CCS Injection Vulnerability æ¦‚è¦ OpenSSLã®ChangeCipherSpecメッセージã®å‡¦ç†ã«æ¬ 陥ãŒç™ºè¦‹ã•ã‚Œã¾ã—ãŸã€‚ ã“ã®è„†å¼±æ€§ã‚’悪用ã•ã‚ŒãŸå ´åˆã€æš—å·é€šä¿¡ã®æƒ…å ±ãŒæ¼ãˆã„ã™ã‚‹å¯èƒ½æ€§ãŒã‚ã‚Šã¾ã™ã€‚ サーãƒã¨ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆã®ä¸¡æ–¹ã«å½±éŸ¿ãŒã‚ã‚Šã€è¿…速ãªå¯¾å¿œãŒæ±‚ã‚られã¾ã™ã€‚ 攻撃方法ã«ã¯å……分ãªå†ç¾æ€§ãŒã‚ã‚Šã€æ¨™çš„型攻撃ç‰ã«åˆ©ç”¨ã•ã‚Œã‚‹å¯èƒ½æ€§ã¯éžå¸¸ã«é«˜ã„ã¨è€ƒãˆã¾ã™ã€‚ å¯¾ç– å„ベンダã‹ã‚‰æ›´æ–°ãŒãƒªãƒªãƒ¼ã‚¹ã•ã‚Œã‚‹ã¨æ€ã‚れるã®ã§ã€ãれをインストールã™ã‚‹ã“ã¨ã§å¯¾ç–ã§ãã¾ã™ã€‚ (éšæ™‚更新) Ubuntu Debian FreeBSD CentOS Red Hat 5 Red Hat 6 Amazon Linux AMI åŽŸå› OpenSSLã®ChangeCipherSpecメッセージã®å‡¦ç†ã«ç™ºè¦‹
CVE-2014-0160 OpenSSL Heartbleed 脆弱性ã¾ã¨ã‚ - ã‚ã‚‚ãŠãã°
å¿…è¦ãªæƒ…å ±ã¯ http://heartbleed.com/ ã«ã¾ã¨ã¾ã£ã¦ã„ã‚‹ã®ã§ã™ãŒã€è‹±èªžã ã—é•·ã„ã—ã£ã¦äººã®ãŸã‚ã«æ‰‹çŸã«ã¾ã¨ã‚ã¦ãŠãã¾ã™ã€‚ ã©ã†ã™ã‚Œã°ã„ã„ã®ã‹ OpenSSL 1.0.1〜1.0.1fを使ã£ã¦ã„ãªã‘ã‚Œã°ã‚»ãƒ¼ãƒ• ã‚ã¦ã¯ã¾ã‚‹å ´åˆã«ã¯ã€ä¸€åˆ»ã‚‚æ—©ããƒãƒ¼ã‚¸ãƒ§ãƒ³ã‚¢ãƒƒãƒ—ã—ã¦ã€ã‚µãƒ¼ãƒã”ã¨å†èµ·å‹•(ã‚ã‹ã‚‹ã²ã¨ã¯ã‚µãƒ¼ãƒ“スå˜ä½ã§ã‚‚OKã€ãŸã ã—reloadã§ã¯ã ã‚ãªã“ã¨ã‚‚) SSL証明書ã§ã‚µãƒ¼ãƒã‚’公開ã—ã¦ã„ã‚‹ãªã‚‰ã€ç§˜å¯†éµã‹ã‚‰ä½œã‚Šç›´ã—ã¦è¨¼æ˜Žæ›¸ã‚’å†ç™ºè¡Œã—ã€éŽåŽ»ã®è¨¼æ˜Žæ›¸ã‚’失効ã•ã›ã‚‹(末尾ã«é–¢é€£ãƒªãƒ³ã‚¯ã‚ã‚Š)。 サーãƒã‚’公開ã—ã¦ã„ãªã„å ´åˆã‚‚ã€å¤–部ã¸ã®SSL通信ãŒã‚ã‚Œã°å½±éŸ¿ã‚’å—ã‘ã‚‹ã®ã§ã€è©³ã—ã精査ã™ã‚‹ã€‚ PFS(perfect forward secrecy)を利用ã—ã¦ã„ãªã„å ´åˆã€éŽåŽ»ã®é€šä¿¡å†…容も復å·ã•ã‚Œã‚‹å¯èƒ½æ€§ãŒã‚ã‚‹ãŸã‚ã€è©³ã—ã精査ã™ã‚‹ã€‚ æ¼æ´©ã™ã‚‹æƒ…å ±ã®å…·ä½“例ã¯ã€OpenSSLã®è„†å¼±æ€§ã§æƒ³å®šã•ã‚Œã‚‹ãƒªã‚¹ã‚¯ã¨ã—ã¦
æ©Ÿå¯†æƒ…å ±ã‚’å«ã‚€JSONã«ã¯ X-Content-Type-Options: nosniff ã‚’ã¤ã‘ã‚‹ã¹ã - 葉ã£ã±æ—¥è¨˜
Webアプリケーションã«ãŠã„ã¦JSONを用ã„ã¦ãƒ–ラウザ - サーãƒé–“ã§ãƒ‡ãƒ¼ã‚¿ã®ã‚„ã‚Šå–ã‚Šã‚’è¡Œã†ã“ã¨ã¯ã‚‚ã¯ã‚„普通ã®ã“ã¨ã§ã™ãŒã€ã“ã®ã¨ãJSON内ã«ç¬¬ä¸‰è€…ã«æ¼ã‚Œã¦ã¯å›°ã‚‹æ©Ÿå¯†æƒ…å ±ãŒå«ã¾ã‚Œã‚‹å ´åˆã¯ã€å¿…ãš X-Content-Type-Options: nosniff レスãƒãƒ³ã‚¹ãƒ˜ãƒƒãƒ€ã‚’ã¤ã‘るよã†ã«ã—ã¾ã—ょã†(ã‚€ã—ã‚æ©Ÿå¯†æƒ…å ±ã‹ã©ã†ã‹ã«é–¢ã‚らãšã€å…¨ã¦ã®ã‚³ãƒ³ãƒ†ãƒ³ãƒ„ã«ã¤ã‘ã‚‹ã»ã†ãŒã‚ˆã„。関連:X-Content-Type-Options: nosniff ã¤ã‹ã‚ãªã„ã‚„ã¤ã¯æ»ãã°ã„ã„ã®ã«! - 葉ã£ã±æ—¥è¨˜)。 例ãˆã°ã€æ©Ÿå¯†æƒ…å ±ã‚’å«ã‚€ä»¥ä¸‹ã®ã‚ˆã†ãªJSONé…列を返ã™ãƒªã‚½ãƒ¼ã‚¹(http://example.jp/target.json)ãŒã‚ã£ãŸã¨ã—ã¾ã™ã€‚ [ "secret", "data", "is", "here" ] 攻撃者ã¯ç½ ページを作æˆã—ã€ä»¥ä¸‹ã®ã‚ˆã†ã«JSONé…列をvbscriptã¨ã—ã¦èªã¿è¾¼ã¿ã¾ã™ã€‚ã‚‚ã¡ã‚
「UPnP(libupnp)ã«è„†å¼±æ€§ãƒ»WANã‹ã‚‰æ”»æ’ƒå¯èƒ½ã€ã¨ã„ã†è©±ã®ä¸èº«ã‚’調査ã—ã¦ã¿ãŸ
「UPnPã«è„†å¼±æ€§ãŒè¦‹ã¤ã‹ã‚Šã€å±é™ºã ã€ã¨ã„ã†ãƒ‹ãƒ¥ãƒ¼ã‚¹ãŒã„ã‚ã„ã‚ãªWebサイトã«æŽ²è¼‰ã•ã‚Œã¦ã„ã¾ã™ãŒã€ä¾‹ã«ã‚ˆã£ã¦ã¾ãŸä½•è¨€ã£ã¦ã‚‹ã‹ã‚ˆã分ã‹ã‚‰ãªã„部分ãŒå¤šã‹ã£ãŸã®ã§ã€èª¿ã¹ãŸã“ã¨ã‚’書ã„ã¦ãŠãã¾ã™ã€‚ 目次 1. 概è¦2. 日本語サイトã®æƒ…å ±æº3. 「libupnpã®è„†å¼±æ€§ã€ã¯ã€ŒUPnPパケットを使ã£ãŸãƒãƒƒãƒ•ã‚¡ã‚ªãƒ¼ãƒãƒ•ãƒãƒ¼ã€4. 「WANã‹ã‚‰æ”»æ’ƒå¯èƒ½ã€ã¨ã„ã†ãƒ‹ãƒ¥ãƒ¼ã‚¹ã®æ„味5. 「WANã‹ã‚‰ã®SSDPリクエストをå—ã‘付ã‘ã‚‹ã€ãƒ«ãƒ¼ã‚¿ãƒ¼ã¨ã¯ï¼Ÿ6. 「libupnpã€ã¨ã€ŒSSDPリクエストをå—ã‘付ã‘ã¦ã—ã¾ã†è„†å¼±æ€§ã€ã®é–¢ä¿‚ã«ã¤ã„ã¦7. 「WANã‹ã‚‰ã®SSDPã‚’å—ã‘å–ã‚‹ã“ã¨ã€è‡ªä½“ã®å•é¡Œ8. 何ãŒã‚ã£ãŸã‹ã‚‰ãƒ‹ãƒ¥ãƒ¼ã‚¹ã«ãªã£ãŸï¼Ÿ9. 1月29日ã«ã‚ã£ãŸã“ã¨10. 本当ã®ãƒ‹ãƒ¥ãƒ¼ã‚¹ã¯ã€ŒRapid7ã®ãƒ›ãƒ¯ã‚¤ãƒˆãƒšãƒ¼ãƒ‘ーã€ã®å…¬é–‹11. ホワイトペーパーã®ä¸èº«12. ã˜ã‚ƒãã©ã†ã—ã¦è„†å¼±æ€§æƒ…å ±ãŒå‡ºãŸã®ã‹13. çµè«–:見ã¤ã‹ã£ãŸã®ã¯ã€Œè„†
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
ãƒãƒƒã‚ング事件2.13ã®ãŠè©«ã³ã¨è§£æžçµæžœåŠã³è§£èª¬
{{#tags}}- {{label}}
{{/tags}}