脆弱性診断の検索結果1 - 40 件 / 126件

• あとで読む

  サーバサイドレンダリングの導入から生じるSSRF | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 273 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2021/03/22

  オフェンシブセキュリティ部の山崎です。サーバサイドレンダリング（SSR）の導入によってSSRFが発生する問題を見つける機会があったため、本記事では実例を交えながら紹介したいと思います。 サーバサイドレンダリング（SSR）とは？ 本記事で扱うSSRとは「サーバ上でHTMLを出力すること」を指しています。ただしerbやjspのようなテンプレートからHTMLを出力するのとは異なり、一般的には以下のようにクライアントサイドレンダリング（CSR）の文脈で使われることが主です。 近年のVue.jsやReactを代表するようなWebフロントエンドフレームワークはブラウザ上で動的にDOMツリーを構築して画面を描画（CSR）するのが主流となっています。これによってページ遷移を挟まずユーザ体験のよいシングルページアプリケーション（SPA）が作ることができるというメリットがあります。 ただ、単純なSPAにはデメ

  • セキュリティ
  • あとで読む
  • ssr
  • ssrf
  • security
  • next.js
  • graphql
  • javascript
  • サーバ
  • node.js

  
• あとで読む

  政府情報システムにおける 脆弱性診断導入ガイドライン

  • 233 users
  • www.digital.go.jp
  • テクノロジー
  • 2022/06/30

  政府情報システムにおける 脆弱性診断導入ガイドライン 2022（令和 4）年 6 月 30 日 デジタル庁 〔標準ガイドライン群ＩＤ〕 DS-221 〔キーワード〕 セキュリティ、脆弱性、脆弱性診断 〔概要〕 政府情報システムの関係者が脆弱性診断を効果的に導入するための基準及 びガイダンスを提供する。 改定履歴 改定年月日 改定箇所 改定内容 2022年6月30日 - 初版決定 1 目次 １ はじめに ......................................................... 2 １.１ 目的とスコープ .............................................. 2 １.２ 適用対象 .................................................... 3 １.３ 位置づけ ...

  • security
  • セキュリティ
  • あとで読む
  • デジタル庁
  • 脆弱性
  • owasp
  • システム
  • ガイドライン
  • guideline
  • web
• あとで読む

  WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が

  • 206 users
  • mond.how
  • テクノロジー
  • 2024/05/01

  WEBアプリケーション開発者です。 特別セキュリティのスペシャリストになりたいというわけでないですが、アプリケーション開発者として徳丸本に記載されている内容レベルのセキュリティ知識はあります。 システムのセキュリティに関してはベンダーの脆弱性診断を通して運用しており、個人的にはセキュリティに関して何か困ったことがいままでありません。 ただ、ふと考えてみると「情報漏洩やサイバー攻撃が発生した際などの有事にどのような行動をとるべきか」という観点ではあまり自信がないなと感じました。社内でもそのような場合の指針が整っているわけではないです。 徳丸先生は、一般的な開発者には最低限どのレベルのセキュリティ知識を求められていますか？ 回答の難しい質問ですが、ここは本音をさらけ出したいと思います。 私が「安全なWebアプリケーションの作り方（通称徳丸本）」を出したのが2011年3月でして、それから13年以

  • セキュリティ
  • あとで読む
  • security
  • 開発
  • 運用
  • SQL
  • システム
  • programming

  
• あとで読む

  Docker版OWASP ZAPを使用してWebアプリの簡易的な脆弱性診断をしてみた | DevelopersIO

  • 196 users
  • dev.classmethod.jp
  • テクノロジー
  • 2020/09/10

  こんにちは、CX事業本部の若槻です。 最近Webアプリケーション向けのセキュリティ診断ツールについて調べてみたところ、OWASP ZAPというオープンソースツールが定番としてよく使われているそうです。 https://owasp.org/www-project-zap 今回は、Docker版OWASP ZAPを使用してWebアプリのログインページの簡易的な脆弱性診断を行ってみました。 なぜDocker版を使ったのか OWASP ZAPにはWindows、Mac、Linuxで使えるインストーラー版およびパッケージ版と、Docker版があります。 https://www.zaproxy.org/download/ 当初はMac向けインストーラー版を使おうとしましたが、Macのセキュリティによりインストールできなかったため断念しました。 よってインストールを要しないDocker版を使うこととしま

  • docker
  • owasp
  • セキュリティ
  • あとで読む
  • security
  • aws

  

脆弱性診断の関連エントリー

• 

  出社方針変更への拒否反応 - Konifar's ZATSU

  167 users
• 

  全てのエンジニアが必ず見るべき9のYouTube動画

  293 users
• 

  エンジニアな転職に役立った書籍と考え方そして実際やったこと. - Lean Baseball

  170 users
• 

  技術者教育について | さにあらず

  530 users
• 

  2024年11月29日｜福島良典 | LayerX

  55 users
• 

  うちのアシスタントのしらせ君がすごいので自慢させてください。 - Qiita

  54 users
• 

  LINEヤフーがフルリモート縮小　事業部門は原則週1回、それ以外は月1回出社に

  108 users
• 

  LINEヤフー、「LINEヤフー Working Style」をアップデート｜LINEヤフー株式会社

  154 users
• 

  【開発効率爆上がり】すべてのエンジニアが必ず見るべき16のウェブサイト - Qiita

  435 users
• 

  Twitter共同創業者のウィリアムズ氏、プライベートなソーシャルアプリ「Mozi」立ち上げ

  43 users
• あとで読む

  am I infected? - マルウェア感染・脆弱性診断サービス

  • 147 users
  • amii.ynu.codes
  • テクノロジー
  • 2022/02/24

  am I infected? は、横浜国立大学 情報・物理セキュリティ研究拠点が運営する マルウェア感染・脆弱性診断サービスです。 近年、家のルーターやウェブカメラなどのIoT機器を狙ったサイバー攻撃が急 増しており、あなたのご自宅のルーターも感染している危険性があります。 本サービスでセキュリティリスクについて、検査することが可能です。 まずは、感染状況を調べてみませんか？ ＊診断の精度は完璧ではなく、見逃しや誤検知が発生することがあります。

  • セキュリティ
  • security
  • IoT
  • webservice
  • detect
  • 脆弱性
  • webサービス
  • malware
  • vulnerability
  • あとで読む

  
• あとで読む

  スマホアプリの脆弱性診断って何するの？（iOS編） - STORES Product Blog

  • 121 users
  • product.st.inc
  • テクノロジー
  • 2023/11/17

  *本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ

  • security
  • iOS
  • セキュリティ
  • あとで読む
  • アプリ
  • mobile
  • Android
  • iphone

  
• あとで読む

  メタップス、クレカ情報最大46万件漏洩事件で脆弱性診断の改ざんまでバレた子会社に業務改善命令 : 市況かぶ全力２階建

  • 114 users
  • kabumatome.doorblog.jp
  • 世の中
  • 2022/06/30

  詐欺広告シェア4割のMeta(旧Facebook)、被害対策として実質ゼロ回答のお気持ちを仰々しく表明 読売テレビ、自称化学者の村木風海さんをテレビ出演させて「大学教授5人から研究成果を持っていかれそうになった」との主張をそのまま垂れ流してしまう

  • セキュリティ
  • あとで読む
  • システム
  • 事件
  • security
  • privacy
  • business

  
• あとで読む

  元Webデザイナーのセキュリティエンジニアが警告する、CSSインジェクションの脅威 | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 102 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2020/05/13

  ※この座談会は緊急事態宣言以前に実施しました。 イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第11回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました（川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティのペネトレーション課に所属する馬場将次。Webデザイナーとしての経験から、Webに関するセキュリティへの鋭い視点を持つ馬場。

  • css
  • セキュリティ
  • techfeed
  • あとで読む
  • security
  • html+css
  • エンジニア

  
• あとで読む

  脆弱性診断につかえる実践的なテクニックを列挙してみた - shikata ga nai

  • 87 users
  • cysec148.hatenablog.com
  • テクノロジー
  • 2022/03/10

  Hello there, ('ω')ノ これまで、実例をもとに学んだ脆弱性診断につかえる実践的なテクニックは以下のとおりで。 ・サブドメインの1つに403を返すエンドポイントがある場合は、通常のバイパスは機能しないので、Refererヘッダを変更すると200 OKが取得できる場合があります。 ・エンドポイントのディレクトリとリクエストボディを削除して、メソッドを「PUT」から「GET」に変更すると隠されたエンドポイントに関する情報を取得できる場合があります。 ・見つけたエンドポイントに通常アカウントで403エラーが発生した際、管理者アカウントのjsonリクエストの本文と比較して差分のパラメータを追加するとアクセスできる場合があります。 ・Linux環境でコマンドを実行する際、スペース文字をバイパスするためのペイロードは以下のとおりです。 cat</etc/passwd {cat,/etc/

  • security
  • あとで読む
  • xss
  • セキュリティ
  • web
  • test

  
• あとで読む

  AWS EC2 のHDD解析（フォレンジック） | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 64 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2020/05/07

  (この記事は2020年5月7日に公開されました。) こんにちは、フォレンジック課の traoka です。 よく「フォレンジックってなんやねん」と、あまり馴染みがない言葉ということで、この度AWSの名前の力を借りて技術面も交えながら少しご紹介したいと思います。 フォレンジックとは フォレンジックは法科学の一種で、事故・事件の痕跡や証拠を調査して原因究明を行うことを指します。調査の対象（事故現場）がコンピュータなどの場合、デジタル・フォレンジックと呼ぶ方が正しいのですが省略されることもしばしばあります。 デジタル・フォレンジックでは主にコンピュータ、ネットワークなどのセキュリティ事故（インシデント）や内部不正行為などを調査解析して事故原因や裁判で取り扱う証拠の特定などを行います。 分かりにくいので、ピンとこない場合は名探偵コナンにでてくる鑑識のトメさんみたいなイメージをもっていただければと思い

  • aws
  • forensics
  • HDD
  • security
  • あとで読む
  • Amazon Web Services
  • techfeed
  • 調査
  • データ

  
• あとで読む

  脆弱性診断の内製化と外注

  • 56 users
  • speakerdeck.com/tsukushi
  • テクノロジー
  • 2023/09/09

  2023/09/07 Cyber-sec+ MeetUp vol.1 で発表した内容です。

  • slide
  • あとで読む
  • SRE
  • DevOps
  • security
  • セキュリティ

  
• あとで読む

  サーバーレスやられアプリを使った脆弱性診断ハンズオン - Qiita

  • 56 users
  • qiita.com/yuuhu04
  • テクノロジー
  • 2020/01/01

  セキュリティ診断のハンズオンなどの目的で、敢えて脆弱性を残しているいわゆる”やられアプリ”。 元旦から何やってんだという感じはありますが、折角時間があるので兼ねてから攻略したかった OWASP Serverless Goat をやっつけていきます。 OWASP Serverless Goat とは OWASP Serverless Goat はイスラエルのセキュリティスタートアップ PureSec が作成した The Ten Most Critical Risks for Serverless Applications v1.0 に基づいた、サーバーレスアプリケーション固有の脆弱性をわざと埋め込んだ Web アプリケーションです。 以下の教育目的で作成されたものであり、それ以外の目的で利用することは望ましくありません。 開発者とセキュリティ担当者に一般的なサーバーレスアプリケーションレイヤ

  • セキュリティ
  • あとで読む
  • Amazon Web Services
  • lambda
  • security
  • Node.js
  • qiita
  • techfeed
  • aws

  
• あとで読む

  危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 53 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2024/07/08

  高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が

  • Rails
  • cookie
  • セキュリティ
  • CVE
  • Security
  • あとで読む
  • HTTP

  
• あとで読む

  Webアプリ脆弱性診断ツール「Vex」7年連続市場シェア1位 | ScanNetSecurity

  • 49 users
  • scan.netsecurity.ne.jp
  • テクノロジー
  • 2022/12/27

  • ツール
  • あとで読む
  • セキュリティ
  • it
  • web
  • -
  • アプリ
  • 開発
  • security

  
• あとで読む

  細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント

  • 43 users
  • webapppentestguidelines.github.io
  • テクノロジー
  • 2023/04/02

  細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント #始めに #本書は、ISOG-J WG1の新技術に対する診断手法分科会によってまとめられたさまざまな技術に関する脆弱性診断手法ドキュメントです。 クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性は診断手法や対策なども浸透し、日本語で読める良質なドキュメントが複数あります。 本ドキュメントでは、これらの脆弱性ではなく、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性についてターゲットを絞って記載しています。 脆弱性診断員はもとより開発者の方々も、本ドキュメントを参考に、自身のアプリケーションに脆弱性が紛れ込んでいないか確認していただければ幸いです。 執筆者一覧 (敬称略、順不同) #三井物産セキュアディレクション株式会社　廣田 一貴三井物産セキュアディレクション株式会社　山本 健太三井物産セキュ

  • ドキュメント
  • Security
  • あとで読む
  • セキュリティ
• あとで読む

  ウェブサーバーのセキュリティ対策はどうすればいい？　さくらインターネットらが解説　セミナーを実施、最新のセキュリティ動向と脆弱性診断など

  • 42 users
  • internet.watch.impress.co.jp
  • テクノロジー
  • 2023/12/28

  • security
  • あとで読む
  • interview
  • セキュリティ
  • cloud
  • クラウド
  • internet

  
• あとで読む

  am I infected? - マルウェア感染・脆弱性診断サービス

  • 38 users
  • amii.ynu.codes
  • テクノロジー
  • 2022/02/26

  am I infected? は、横浜国立大学 情報・物理セキュリティ研究拠点が運営するマルウェア感染・脆弱性診断サービスです

  • security
  • あとで読む
  • セキュリティ
  • webサービス
  • gender
  • net
  • network
  • サービス
  • webservice

  
• あとで読む

  社内でのプロダクト脆弱性診断の方法、継続することで見つかる脆弱性の傾向の変化

  • 36 users
  • tech.plaid.co.jp
  • テクノロジー
  • 2023/11/29

  社内で脆弱性診断を行なっている理由や、どのように診断から修正までを行なっているか、また社内で脆弱性診断をやることでどのような変化が起きたかについて紹介します。

  • Notion
  • あとで読む
  • vulnerability
  • security
  • セキュリティ

  
• あとで読む

  gRPCとは？gRPCベースのシステムの脆弱性診断とツール（前編） | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 36 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2020/11/19

  札幌オフィス在籍の岸谷です。近年gRPCの利用がだいぶ普及してきましたね。今回はgRPCを利用するシステムの脆弱性診断と、そのためのツールについて書きたいと思います。 gRPCって何？ 本稿はgRPC自体の解説を目的としたものではありませんが、本題に進む前に簡単に概要に触れます。gRPCはGoogleで開発され、その後オープンソース化されたフレームワークです。grpc.ioには下記のようにあります。 gRPC is a modern open source high performance RPC framework that can run in any environment. 「環境を問わずハイパフォーマンスなRPC開発フレームワーク」ということで、XML-RPCやJSON-RPC、REST API開発用のフレームワークなどのように、他コンピュータ上のコードの呼び出しなどシステム間通

  • gRPC
  • あとで読む
  • security
  • 開発
  • web
  • サーバ

  
• あとで読む

  WPScanによる、WordPressの脆弱性診断の始め方 | さくらのナレッジ

  • 34 users
  • knowledge.sakura.ad.jp
  • テクノロジー
  • 2021/10/26

  WordPress のセキュリティ診断ツール WPScan 近年、不正アクセスの増加により、セキュリティに対する関心も高まりつつあります。さくらインターネットでも Web改ざん検知サービス やSSLの契約数が伸びてきているようですが、それでもやはり不正アクセスは絶えないのが現状です。 狙われるのはメールパスワード、そして WordPress さくらのレンタルサーバのサポート経験上、しばしば目にする不正アクセスは、メールパスワードの漏洩による大量メール送信です。しかし、これは比較的対策が簡単です。意識してパスワードの管理を行っていれば、それでリスクの9割以上はなくなると思います。 次に多いのがWordPressの不正アクセスです。WordPressは世界の1/3のサイトで使われており、便利で人気がある反面、非常に狙われやすいアプリケーションでもあります。 さくらのレンタルサーバのコラムにも

  • wordpress
  • SecurityTool
  • あとで読む
  • security
  • セキュリティ
  • web制作

  
• あとで読む

  お知らせ | 失敗しない！脆弱性診断サービスの選び方（前編）  | 株式会社シディ（株式会社syddy）

  • 33 users
  • www.syddy.co.jp
  • テクノロジー
  • 2023/08/04

  今年「経済産業省検討会」で、全てのECサイトで脆弱性診断を義務化することが検討されていると発表され、ますます脆弱性診断の注目度が上がっています。脆弱性診断サービスは年々増加しており、診断の内容や価格は...

  • 脆弱性
  • セキュリティ
  • あとで読む
  • techfeed

  
• あとで読む

  VSCode上でCodeWhispererとCopilotを両方使うと、捗る (AIが脆弱性診断→AIが解説)

  • 33 users
  • zenn.dev/ncdc
  • テクノロジー
  • 2023/12/24

  Qiita Advent Calendar 2023 「Visual Studio Code」 24日目の記事です。 言いたいこと VSCode上でAmazon CodeWhispererに脆弱性診断をさせてGitHub Copilot Chatにその解説をさせると、とても捗るよ。 もう少し細かい説明 GitHub CopilotやAmazon CodeWhispererって何？ GitHub Copilotは、IDE上でAIがコーディングの補完をしてくれるGitHub提供のサービスです。 Amazon CodeWhispererは、IDE上でAIがコーディングの補完をしてくれるAWS提供のサービスです。 つまり競合しています。比較用に両方を使ったことがある人はいても、日常的に同時使用している人は少ないのではないでしょうか。 ですが、メイン機能であるコーディング補完は一旦おいておいて、Co

  • vscode
  • CodeWhisperer
  • Copilot
  • AI
  • あとで読む

  
• あとで読む

  インシデントが起こったら何をしておくと効果的か？ | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 30 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2020/06/18

  (この記事は2020年6月5日に公開されました。) こんにちは、フォレンジック課WDです。 今回は川口さんとの対談の際に取り上げられた、「インシデントが起こったら何をしておくと効果的か？」という内容のチェック項目についてピックアップします。 川口洋座談会シリーズ 前回記事「 デジタルフォレンジック調査の実態と今後の抱負」 インシデントとは？ インシデント(incident)はもともと英語で「事件」や「出来事」を指し示す言葉です。この記事の中では、PCやサーバなどIT機器を利用した際に生じるセキュリティインシデントのことを取り扱います。 特にウイルス感染などのセキュリティ事故や、内部不正などによるセキュリティ事故などのことを指します。 よくあるインシデントと要望 以下はよくあるインシデントと要望の一例です。 ■サイバー系 ・サーバで意図しない挙動が確認され原因がわからないので調査したい。 ・

  • インシデント
  • セキュリティ
  • あとで読む

  
• あとで読む

  Flatt Securityの脆弱性診断において「ソースコード診断を無料付帯する」方針の解説 - Flatt Security Blog

  • 29 users
  • blog.flatt.tech
  • テクノロジー
  • 2023/07/07

  なにをするのか こんにちは。執行役員兼プロフェッショナルサービス事業 CTOの志賀です。 この度、通常のWebアプリケーション診断の料金でホワイトボックス診断のメリットの多くを享受できるようにサービスを大幅に改良します!! 具体的には、ソースコードをご提供いただける場合において、診断員が選択的に参照することで診断スピードや報告書の品質向上といったメリットを受けられるといったものです。 結論としてはそれで終わりなのですが、結論に至るにあたっての自分の考えも書いてみることにします。 なにをするのか 脆弱性診断における理想とのギャップ リスクフォーカス型診断による学び 選択的なホワイトボックス診断の適用 開発者のための脆弱性診断を提供するということ Flatt Securityだからできること 既存の脆弱性診断への影響 よくある質問 ホワイトボックス診断ってSASTのことですか？ リスクフォーカ

  • security
  • あとで読む
  • セキュリティ
  • 開発

  
• あとで読む

  小規模CSIRT向けWindowsイベントログで押さえておくこと | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 28 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2021/08/16

  (この記事は2021年8月6日に公開されました。) こんにちは、ディフェンシブセキュリティ部の岩崎です。 本記事では、ログ全般に関わることの情報、インシデントレスポンスにおいて参照されることが多いイベントログに焦点を当て、情報システム部（情シス）の方、これからログ分析や管理を始める方、初めてCSIRTに所属された（CSIRT入門レベル）の方向けに、イベントログを見るための情報であったり、学習するための素材を紹介します。 ログとは セキュリティ業界にいらっしゃる方や、別の業界の方でもCSIRTに所属し運用している方は、よく目にするものかと思います。 ログとは（今更ですが、）PCおよびサーバなどで作成され、アプリケーション、OS、サービスが処理内容、警告などの履歴を逐一記録し、障害発生時や開発時（デバッグ）などに参照できるようにするため作成するためのものです。 参考ページ（Wikipedia

  • セキュリティ
  • windows
  • security
  • 資料
  • 情報
  • イベント

  
• あとで読む

  Azure AD参加端末におけるPRT (Primary Refresh Token)悪用のリスクと対策について | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 28 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2023/08/01

  TOP > セキュリティブログ > ペネトレーションテスト > Azure AD参加端末におけるPRT (Primary Refresh Token)悪用のリスクと対策について はじめに オフェンシブセキュリティ部ペネトレーションテスト課の安里 悠矢です。 普段は組織内の社内ITインフラやクラウド環境上に構築されたインフラに対するペネトレーションテストをしています。 テレワーク環境の整備が進んだ昨今、エンドポイント端末の管理とセキュリティ対策はゼロトラストネットワークを実現するにあたって重要なポイントとなります。 ゼロトラストネットワークのよくある構成の一例としては、エンドポイント端末を Azure ADに参加させてIntuneでデバイス管理を実装している環境が挙げられます。 Azure ADに参加するエンドポイント端末は、PRT(Primary Refresh Token)と呼ばれる認証

  • Azure
  • AAD
  • security
  • セキュリティ
  • あとで読む

  
• あとで読む

  脆弱性診断はするかしないかで悩むものではない　ハードルを下げて「何もやっていない」からの脱却を

  • 27 users
  • www.itmedia.co.jp
  • テクノロジー
  • 2021/09/27

  情報システム部門の人々は日々さまざまな業務に追われている。社内の端末の管理やセキュリティ対策、クラウド導入プロジェクトなど仕事は多岐にわたる。中小企業では“兼任情シス”として、他の業務に当たりながらIT周りの管理も担当する場合もあるだろう。 そんな情シスにとって大きな負担となるのが脆弱（ぜいじゃく）性診断だ。脆弱性診断とは、Webアプリケーションなどのシステムにサイバー攻撃の原因になるような問題がないかをチェックすること。品質管理部門や情報セキュリティを専門とする情報システム部員が担当するケースも多い。 脆弱性診断というと、自社が攻撃を受けないようセキュリティーホールを探すために実施するイメージがあるかもしれないが、商品として開発したシステムに欠陥がないかを探す場合もある。情報セキュリティ事業を手掛けるビットフォレストの西野勝也取締役によると、近年ではメーカー側に脆弱性診断を求める企業が増

  • 脆弱性診断
  • あとで読む
  • セキュリティ
  • 開発
  • it
  • security
  • business

  
• あとで読む

  脆弱性診断用に非ルート化端末でも動作するCUIのメモリ改ざんツール「apk-medit」を作った話 - Akatsuki Hackers Lab | 株式会社アカツキ（Akatsuki Inc.)

  • 27 users
  • hackerslab.aktsk.jp
  • テクノロジー
  • 2020/03/30

  こんにちは、セキュリティエンジニアの小竹 泰一(aka tkmru)です。 アカツキでは、Webアプリケーション、ゲームアプリに対する脆弱性診断や社内ネットワークに対するペネトレーションテスト、ツール開発/検証などを担当しています。 メモリ改ざんによるチートとは UI上に表示されている値を端末のメモリ上から検索し、見つけた値を改ざんすることでチートを行うことができる場合があります。 これはゲームのチート方法の中で最も簡単な方法で、脆弱性診断の際にも実際にメモリ上のデータを改ざんをすることでチートできるかどうか確認しています。 対策としては、XOR等を使ってメモリ上ではエンコードされた状態で値を保持し、UI上に表示されている値を検索されても見つからないようにする方法があります。 作ったツール apk-meditという脆弱性診断のためのAndroidアプリ向けメモリ改ざんツールを作成しました。

  • Android
  • security
  • github
  • tool

  
• あとで読む

  Mac端末のフォレンジックについて　第一回「保全」 | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 26 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2020/07/14

  こんにちはフォレンジック課のWDです。 今回はMac端末のフォレンジックについて取り上げようと思います。 テーマとして長くなるので、反響に応じて複数回に分けて連載予定です。 初回は保全方法について取り上げます。 フォレンジック概要 フォレンジックの調査において必要なフェーズは主に3つのフェーズがあります。 ※実際の案件の際には保全の前段階の部分での事前調整や調査範囲の決定などが特に重要です。 今回、この記事で取り上げる保全作業は、つまるところデータのコピー作業です。ただし、データのコピーはただの複製作業という意味ではなく、データの固定化という意味があります。 例えば、PC内のデータを調査する際に、調査時のデータと調査後のデータに変化があっては調査の過程によって改変されたのではないかという疑いが発生してしまうため、証拠性がなくなってしまいます。 また、PC内でコンピュータウイルスなどが実行さ

  • mac
  • security
  • フォレンジック
  • forensic
  • forensics
  • セキュリティ

  
• あとで読む

  セキュリティ企業における開発とドッグフーディング - gRPC-web採用プロダクトの脆弱性診断を効率的に行えるようになるまで - Flatt Security Blog

  • 25 users
  • blog.flatt.tech
  • テクノロジー
  • 2022/10/11

  こんにちは、Flatt Securityでインターンをしている@smallkirbyです1。 皆さんは、「ドッグフーディング」という言葉をご存知でしょうか。開発周りでは、書いたコードを開発者側で積極的に利用し、生成されたフィードバックをまた開発に投入していくフローのことを指します。 先日のブログでは、Flatt Securityの脆弱性診断において利用されているORCAsというプラットフォームについて紹介しました。ORCAsは、この世の全てが古のスプレッドシートで管理されていた旧石器の時代を一気に文明開化まで押し上げ、Flatt Securityの脆弱性診断業務を圧倒的に効率化した事で今やFlatt Security内の必需品となっています。 ORCAsはブログ著者の@Sz4rnyさんが中心となって従来の不便を解消するために立ち上げられ、今や総コミット数5000に達しようとする中規模プロジ

  • grpc
  • security
  • セキュリティ
  • あとで読む
  • api
  • tool

  
• あとで読む

  いやいやセキュリティ ～ 上野宣がビビるほど○○だった脆弱性診断ツール「Securify（セキュリファイ）」とは？ | ScanNetSecurity

  • 23 users
  • scan.netsecurity.ne.jp
  • テクノロジー
  • 2024/11/05

  いみじくも手塚は、取材開始から 12 分 30 秒ほど経過したところで、スリーシェイクのメンバーは運用者であり、日々運用に向き合って苦しんでいるため、言い方は良くないかもしれないが「いやいやセキュリティをやっている」という言葉を残している。なんと。セキュリティ担当者がセキュリティを「いやいや」やっているとは。

  • security
  • あとで読む

  
• あとで読む

  最新のGoogleオープンソースセキュリティスキャナー「Tsunami」を使って脆弱性診断してみた - GMO Research & AI Tech Blog

  • 23 users
  • gmor-sys.com
  • テクノロジー
  • 2020/07/02

  こんにちは。GMOリサーチでインフラを担当しているオカモトです。 コロナの影響で引きこもり生活が続く中、皆様いかがお過ごしでしょうか。 今回、Googleが先日公開した「Tsunami」というオープンソースのセキュリティスキャナーを試してみたのでその内容をご紹介します。 １．Tsunamiって何？ Tsunamiは、2020年6月18日木曜日（現地時間）にGoogleがオープンソースのプロジェクトとして公開したセキュリティスキャナーです。 GoogleではGKE（Google Kubernetes Engine）を使ってインターネットからアクセスを受けているシステムの脆弱性診断にTsunamiを使っているそうです。 ・Tsunamiのリリースに関する記事は以下のURLから確認できます。 Google Open Source Blog https://opensource.googleblo

  • セキュリティ
  • google
  • あとで読む

  
• あとで読む

  セキュリティ・キャンプ全国大会2022 オンライン 当社エンジニアの講義資料を公開 | ニュース一覧 | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 23 users
  • gmo-cybersecurity.com
  • 暮らし
  • 2022/09/02

  2022年8月8日-12に開催された「セキュリティ・キャンプ全国大会2022 オンライン」で当社エンジニアが講師として講義しました講義資料を公開しました。講義資料をご希望の方は以下のURLよりダウンロードいただけます。 「マイクロサービス／分散モノリス的アーキテクチャへの攻撃手法」 オフェンシブセキュリティ部アプリケーションセキュリティ課 山崎 啓太郎 オフェンシブセキュリティ部アプリケーションセキュリティ課 西谷 完太 講義資料ダウンロード用URL：https://ma.ierae.co.jp/asset/70:seccamp-2022-b2--pdf

  • security
  • セキュリティ
  • あとで読む
  • 資料

  
• あとで読む

  Webアプリケーションに対する脆弱性診断の外注/内製化とバグバウンティの役割の違い - Flatt Security Blog

  • 22 users
  • blog.flatt.tech
  • テクノロジー
  • 2024/04/03

  初めまして、Flatt Security社のブログに寄稿させていただくことになりました、西川と申します。 普段は、SaaS企業でプロダクトセキュリティをメインの仕事としていますが、一般社団法人鹿児島県サイバーセキュリティ協議会の代表理事として活動しております。 さて、今回はプロダクトセキュリティを生業としている私が、脆弱性診断を外注することと内製化すること、それからバグバウンティについてそれぞれの役割を記していきたいと思います。 本記事の目的 脆弱性診断を外注した方が良い、あるいは、内製化した方が良い、という話ではなく、それぞれ役割が異なると考えています。つまりそれは、それぞれが補い合う形で存在しているというものです。そして、これらをさらに補う要素としてバグバウンティがあるという話を通して、みなさまの組織で脆弱性診断をどのようにセキュリティ運用に組み込んでいくのかを検討したり、バグバウンテ

  • 脆弱性
  • セキュリティ
  • gender
  • techfeed
  • サービス

  
• あとで読む

  脆弱性診断＝アタックサーフェスマネジメント？　新興キーワードを深く学ぼう

  • 20 users
  • www.itmedia.co.jp
  • テクノロジー
  • 2024/11/12

  2024年11月、日本セキュリティオペレーション事業者協議会（ISOG-J）から、「ASM導入検討を進めるためのガイダンス（基礎編）」が公開されました。多くの企業から注目を集めている「アタックサーフェスマネジメント」を知る上で、最初に目を通すべき資料になり得る、コンパクトにまとまったドキュメントです。 アタックサーフェスマネジメントは、ここ最近キーワードとして認知されるようになった考え方です。売れ筋のセキュリティソリューションにありがちな課題として、プロモーションのために周辺にある機能もいつの間にか同じ名称で呼ばれるようになり、その言葉の意味がブレるということが起きます。 アタックサーフェスマネジメントも、脆弱（ぜいじゃく）性管理や脆弱性診断、IT資産管理、そしてペネトレーションテストなど多岐にわたる内容が、同じ言葉で表現されているように見受けられます。今回は、これらの有用な資料を読み解く

  • セキュリティ
  • あとで読む
  • security

  
• あとで読む

  脆弱性診断に必要な専門性を満たす資格とは ～ 経産省「情報セキュリティサービス基準」改訂 | ScanNetSecurity

  • 16 users
  • scan.netsecurity.ne.jp
  • 政治と経済
  • 2023/04/05

  • セキュリティ
  • security
  • あとで読む
  • techfeed

  
• あとで読む

  動画教育クラウド「tebiki」が実践　脆弱性診断の内製と外部ベンダ利用の両立方法とは？ | Flatt Security

  • 16 users
  • flatt.tech
  • テクノロジー
  • 2021/11/16

  この記事についてtebikiさんはスタートアップ企業でありながら今までセキュリティに関してさまざまな取り組みを実施されているといいます。取締役／CTOの渋谷和暁さんに詳しくお話を聞きました image5 Tebiki株式会社（旧：ピナクルズ株式会社）は「現場の未来を動画技術で切り拓く」というビジョンのもと、2018年に創業されました。 Tebiki株式会社 https://tebiki.co.jp/ 2019年より、サービス業や製造業、コールセンター、飲食業など幅広い業界に向けて、クラウド型動画教育プラットフォーム「tebiki（テビキ）」を提供しています。 image1 「tebiki」は現場で教えている様子を撮影した動画をアップロードするだけで、自動認識された音声が自動で字幕になり、世界100ヶ国語以上の言語に自動翻訳されます。さらに、図形挿入や音声吹き込み、シーンの削除なども可能です

  • エンジニア
  • あとで読む
  • セキュリティ
  • security

  
• あとで読む

  攻撃者に先回りして潜んだ脆弱性を見つける「Web脆弱性診断ツール」の選び方

  • 13 users
  • kn.itmedia.co.jp
  • テクノロジー
  • 2022/07/25

  脆弱性を突いたサイバー攻撃は、事前に対応していれば防げる問題だが、被害は後を絶たない。こうした事態を未然に防ぐ上で、攻撃者に先回りして脆弱性を見つける「Web脆弱性診断ツール」が有用だ。ツールの特性や選び方、脆弱性問題に対応する上で企業として気を付けるべきことをセキュリティの専門家である上野 宣氏に聞いた。 今や連日のように、サイバー攻撃による被害が報じられるようになった。ただ、一口に「サイバー攻撃」といっても、その種類はさまざまだ。 たびたび報じられている攻撃の一つがEmotetだ。実在する人物の名前をかたり、それまでのやりとりを踏襲したメールで人をだましてマルウェアに感染させる手口で知られる。いくら注意しても、それをかいくぐって人の心理を突いてくることが特徴で、感染はある程度やむを得ない部分もあるだろう。 一方、システムを運用する上で必要な義務を果たしていれば防げたはずの被害もある。そ

  • techfeed
  • あとで読む
  • セキュリティ
  • security

  
• あとで読む

  擬似マルウェアの実行から始まる、イエラエペネトレーションテストの実践的手法を大公開！ | セキュリティブログ | 脆弱性診断（セキュリティ診断）のGMOサイバーセキュリティ byイエラエ

  • 12 users
  • gmo-cybersecurity.com
  • テクノロジー
  • 2020/07/03

  イエラエセキュリティの顧問を務める川口洋が、イエラエセキュリティを支える多彩なメンバーと共に、サイバーセキュリティやサイバーリスクの今を語り合う座談会シリーズ、第12回をお送りします。 川口洋氏は、株式会社川口設計 代表取締役として、情報セキュリティEXPO、Interop、各都道府県警のサイバーテロ対策協議会などで講演、安全なITネットワークの実現を目指してセキュリティ演習なども提供しています。 イエラエ顧問として、「川口洋の座談会シリーズ」を2019年に開始。サイバーセキュリティを巡る様々な話題を、社内外のゲスト達と共に論じ語ってきました（川口洋の座談会シリーズ)。 今回ゲストとして登場するのは、イエラエセキュリティの高度解析部 ペネトレーションテスト課の課長で、執行役員でもあるルスラン・サイフィエフと、同じくペネトレーションテスト課の「黒林檎」こと、村島正浩。 イエラエセキュリティの

  • セキュリティ
  • あとで読む

  
• あとで読む

  非エンジニアの文系ライターが挑んだSecuriST（セキュリスト）認定ネットワーク脆弱性診断士受験記 [前編] もしもう一度ゼロからやり直せるなら | ScanNetSecurity

  • 12 users
  • scan.netsecurity.ne.jp
  • テクノロジー
  • 2023/06/05

  • security
  • IT
  • エンジニア
  • テクノロジー
  • ネットワーク
  • セキュリティ
  • あとで読む