ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
サマリ DNSリバインディングが最近注目されている。Google Chromeは最近になってローカルネットワークへのアクセス制限機能を追加しており、その目的の一つがDNSリバインディング対策になっている。Googleが提供するWiFiルータGoogle Nest WiFiはデフォルトでDNSリバインディング対策機能が有効になっている。 DNSリバインディング対策は、攻撃対象アプリケーションで行うべきものであるが、ブラウザ、PROXYサーバー、リゾルバ等でも保護機能が組み込まれている。本稿ではそれら対策機能の状況と対策の考え方について説明する。 DNSリバインディング(DNS Rebinding)とは DNSリバインディングはDNS問い合わせの時間差を利用した攻撃です。DNSのTTL(キャッシュ有効期間)を極めて短くした上で、1回目と2回目の問い合わせ結果を変えることにより、IPアドレスのチ
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
VALUE-DOMAIN に存在していた2種類のドメインハイジャック脆弱性について - debiruはてなメモ
2022年3月2日に確認した VALUE-DOMAIN でのサブドメインハイジャックが可能な脆弱性について経緯を説明します。 ついでに2016年の記事「VALUE-DOMAIN に存在していたアカウント乗っ取り可能な CSRF 脆弱性について」の続報も含めて、この記事で2022年現在の VALUE-DOMAIN の状況についてお伝えします。 脆弱性を2つ発見しました 第一:子ゾーン作成によるサブドメインハイジャック 第一の脆弱性の攻撃の原理 VALUE-DOMAIN のネームサーバについて 第一の脆弱性 発見後の経緯 サブドメインハイジャック攻撃を受けた場合の影響 第二:CSRF 攻撃によるドメインハイジャック ドメインハイジャック攻撃を受けた場合の影響 CSRF 攻撃によるドメインハイジャックの対策状況 VALUE-DOMAIN ユーザの方へ 脆弱性を2つ発見しました (第一)子ゾーン作
巷では、少し前からアフィブログを WordPress で作るのが流行っているようですが、主に PHP 開発者&サーバー管理者の観点から、WordPress のダメだと思うところを、思うままに書いてみました。 WordPress をディスるつもりはありませんので、注意喚起:解決法:ポエム = 4:1:5 ぐらいの感覚でご覧いただければ幸いです。 ⇒ 【WordPress】WordPressのここがイイ 1.設計が古すぎる 先日書いた記事で、気になって admin-ajax.php のコードを眺めてみましたが、Oh... これは酷い…。 require_once が連呼され、global 空間に define() とコンフィグ用の配列が入り乱れ、$_GET $_POST $_REQUEST が舞い踊り、ファイルはクラスどころか関数にすらなっていない…200 行に満たないコードはネタの宝庫で、1
Twitterでフォローすべきサイバーセキュリティの専門家リストを日本で選ぶなら? - YAMDAS現更新履歴
securityboulevard.com Schneier on Security で知ったページだが、2021年に Twitter でフォロー必須なサイバーセキュリティの専門家を21人選出している。 見てみると、当のブルース・シュナイアー先生をはじめとして、ケビン・ミトニックのような古株、Krebs on Security でおなじみブライアン・クレブス、ユージン・カスペルスキーなどよく知られた人も入っているが、恥ずかしながらワタシが知らない人も何人もいる。 「Twitterでフォローすべきサイバーセキュリティの専門家リスト」を日本語圏で選ぶならどういうリストになるだろうか。パッと思い浮かぶのでは以下の感じになる(以下、五十音順、敬称略)。 一田和樹(@K_Ichida、Kazuki Ichida 一田和樹 公式サイト) 上野宣(@sen_u) 杉浦隆幸(@lumin) 園田道夫(@s
[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! | DevelopersIO
[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! EC2のメタデータサービスv2がリリースされました。これまでSSRF等の脆弱性と組み合わせることによりクレデンシャルの流出が多発していましたが、v2を利用することにより簡単にセキュリティを向上することができるようになりました。 こんにちは、臼田です。 皆さんセキュリティ対策してますか?(挨拶 今回はEC2インスタンスメタデータサービスv2がリリースされたのでこの機能について解説していきます。 Add defense in depth against open firewalls, reverse proxies, and SSRF vulnerabilities with enhancements to the EC2 Instance Metadata
![[待望のアプデ]EC2インスタンスメタデータサービスv2がリリースされてSSRF脆弱性等への攻撃に対するセキュリティが強化されました! | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/e03678dab7b09cb34c564b7250c4c7eac8677103/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2019%2F05%2Famazon-ec2.png)
スティッキーセッションを使っていなければApplication Load Balancer障害に耐えれたかも??? Amazon EC2をステートレスにする為にやるべきこと | DevelopersIO
スティッキーセッションを使っていなければApplication Load Balancer障害に耐えれたかも??? Amazon EC2をステートレスにする為にやるべきこと セッション管理が必要なWebアプリケーションを使う場合でも、スティッキーセッションを利用しない方法を説明します。また、ログをインスタンス内に保持しない方法やAuto Scaling化についても触れています。 はじめに おはようございます、加藤です。煽り気味なタイトルで申し訳ございません、念の為より詳細に記載しますが、スティッキーセッションを使っていなければApplication Load Balancer障害の影響を受けるのを防げたかもしれないという内容です。 今後同様の障害への対処として、このブログの対応は行う価値がありますが、これだけやっておけばOKという事では無い事をご理解ください。 2019年8月23日にAWS
週刊Railsウォッチ: 2022年のRails振り返り記事、RailsにDocker関連ファイルが追加ほか(20230125前編)|TechRacho by BPS株式会社
週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日に公開しています。TechRacho記事をいち早くお読みになりたい方はTwitterにて@techrachoのフォローをお願いします。また、タグやカテゴリごとにRSSフィードを購読することもできます(例:週刊Railsウォッチタグ) 🔗Rails: 先週の改修(Rails公式ニュースより) だいぶ間が空いてしまいましたので、昨年末の改修から追いかけていきます。 公式更新情報: Ruby
皆さん今日は! 今年の夏は日本にいるので、TLに流れてくるラスベガスで楽しんでいるセキュリティクラスタの友人達のつぶやきをうらやましげに眺めているとある診断員です。 色々忙しくて、めちゃくちゃ久々のブログ更新になってしまいました…。 もう随分前になっちゃいますが、今年3月に開催したJAWS DAYS 2019にて、仲の良いPentesterの有志にて、AWSの認証情報に対する攻撃手法や防御策などに関するセッション行いました。 近年日本でもAWSを利用している環境は非常に多く、個人的にも診断対象としてAWSを相手にする機会が多かったため、ちょっと前から有志と一緒にAWSのセキュリティや攻撃手法などについて調査をしていました。 調査して色々学んだことをまとめて発表したのがこちらのスライドになりますので、宜しければ是非ご覧ください。 PenTesterが知っている危ないAWS環境の共通点 さて、
週刊Railsウォッチ(20201124)strict loading violationの振る舞いを変更可能に、Railsモデルのアンチパターン、quine-relayとさまざまなクワインほか|TechRacho by BPS株式会社
2020.11.24 週刊Railsウォッチ(20201124)strict loading violationの振る舞いを変更可能に、Railsモデルのアンチパターン、quine-relayとさまざまなクワインほか こんにちは、hachi8833です。今回は短縮版でお送りいたします。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙇 ⚓Rails: 先週の改修(Rails公式ニュースより) 公式の更新情報から見繕いました。 元記事: Enhanced strict loading, multiple databases and mor
週刊Railsウォッチ(20190909-1/2前編)Rails 6のキャッシュバージョニング、Rubyのキーワード引数周りが変わる、Faker 2がリリースほか|TechRacho by BPS株式会社
2019.09.09 週刊Railsウォッチ(20190909-1/2前編)Rails 6のキャッシュバージョニング、Rubyのキーワード引数周りが変わる、Faker 2がリリースほか こんにちは、hachi8833です。消費税アップが迫ってきましたね。 PDF: 消費税の円滑かつ適正な転嫁のために -- www.jftc.go.jp つっつきボイス:「そうそう、消費税アップ来ますね😅」「皆さんの中で消費税対応されてる方は?」「経理部とやりとりしたりしてますね」「もう終わりました?」「まだまだです🤣」「食品みたいに軽減税率対応のものを扱ってると面倒そうですね」「どちらにしろ2%アップはやってくるので、商品マスターデータを更新するかどうかとか考えないといけないかも☺️」 同PDFより 「今回の場合、消費税を『還元する』とか『サービスする』的な触れ込みをしてはいけないという指示とかが上のP
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
週刊Railsウォッチ: GitLabがRailsにこだわる理由、Rails7アップグレードのハマりどころほか(20220620前編)|TechRacho by BPS株式会社
こんにちは、hachi8833です。 インボイス制度の施行のために、年商一千万円を超える全ての法人の所在地、個人事業主の屋号と氏名が、csv で全面的に公開されることになりました。 Web APIで名前の一部だけ返す仕様で良かったはずなのに、国内の全事業者リストを公開するとはね。 https://t.co/bDR77U5ZBZ — 藤井 太洋, Taiyo Fujii (@t_trace) June 14, 2022 つっつきボイス:「年商一千万円を超える全ての法人と個人事業主が対象、マジで?」「年商は売上のことですね」「あくまで登録リストが公開されるだけで額までは公開されていませんけど」「そういえば高額納税者リストは廃止されてましたね↓」「公開する理由がよくわからないな〜」「APIで個別に公開しても一気にリストを取得する人はいそうですけどね」 参考: 高額納税者公示制度 - Wikipe
GuardDutyでDNS Rebindingを検知できるようになったので試してみた | DevelopersIO
こんにちは、臼田です。 みなさん、脅威検知してますか?(挨拶 少し前になりますが、GuardDutyが新しいFindings TypeとしてUnauthorizedAccess:EC2/MetaDataDNSRebindをサポートしました。重要度が高の脅威です。 Amazon GuardDuty に 3 個の新たな脅威検出が追加 これは、DNS Rebindingという手法でEC2インスタンスのメタデータを搾取するような攻撃を検知することが可能です。この動作を行い実際検知するか確認してみました。 DNS Rebindingとは 徳丸先生のブログに下記のように書かれています。 DNS Rebindingは、DNSの返すIPアドレスを巧妙に変化させることにより、JavaScriptやJavaアプレットなどのsame origin policyを破り、インターネットからローカルネットワーク(通常
Rails 6にDNSリバインディング攻撃防止機能が追加された(翻訳)|TechRacho by BPS株式会社
概要 原著者の許諾を得て翻訳・公開いたします。 英語記事: Rails 6 adds guard against DNS rebinding attacks – Saeloun Blog 原文公開日: 2019/10/30 著者: Aditya Narsapurkar サイト: Saeloun -- Ruby on Railsのコンサルティング会社で、Rails + React開発のほかに、React Nativeによるモバイルアプリ開発も手がけています。 参考: DNS Rebinding ~今日の用語特別版~ | 徳丸浩の日記 Rails 6にはDNSリバインディング攻撃から保護する機能が#33145で追加されました。この機能はdevelopment環境ではデフォルトで有効になっており、他の環境でもオプションで有効にできます。 DNSリバインディング攻撃とは DNSリバインディング攻撃
行ってきました。 中身の濃い勉強会で非常に勉強になった。 jxckさんの発表は圧巻でした。 Response Status codes 3xx @haormauyraa 資料: https://slides.araya.dev/http-tokyo-1/#slide=1 demo: https://playground.araya.dev/http-redirections/ 3xx系のステータスコードの話 300〜308まで RFC7231, 7232, 7538 301, 302はHTTP/1.0 300 Multiple Choices 対象のリソースが複数の表現をもつ サーバーはリダイレクト先として複数の選択肢を提示し、クライアント側はその中で優先するものを1つ選ぶ サーバーが優先するべき選択を持っていたら、サーバーはその選択肢の URI 参照をLocaionヘッダーに含めるべき(
週刊Railsウォッチ(20191217後編)Ruby 2.7の変更点とパターンマッチング、依存性自動アップデートツール、Stack Overflowアンケート2019ほか|TechRacho by BPS株式会社
2019.12.17 週刊Railsウォッチ(20191217後編)Ruby 2.7の変更点とパターンマッチング、依存性自動アップデートツール、Stack Overflowアンケート2019ほか こんにちは、hachi8833です。平成Ruby会議01の余韻がまだ残っています🔔。 各記事冒頭には⚓でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 毎月第一木曜日に「公開つっつき会」を開催しています: お気軽にご応募ください 今回も前編に続き、TechRacho記事でもお馴染みのWingdoor様による福岡エンジニアカフェでのイベントに東京からリモート接続する形のつっつき会を元にお送りいたします。 イベント: 週刊Railsウォッチ公開つっつき会@福岡
Cookieのセキュリティ周りでいちばんややこしいDomain属性をしっかり理解する - Qiita
直感的でないのは、自身より下位の階層(example.comの場合のfoo.example.com)のドメインを設定できないことです。また、兄弟関係にある階層のドメインも設定できません。ただしこれらのパターンに関しては、どちらもexample.comを設定すれば送信される対象にはなります。 ということで、CookieのDomain属性は安全です……あれ? おそらく気付かれたと思うのですが、example.comから見てcomは上位の階層のドメインです。ではexample.comからcomをDomain属性に設定して、.comのすべてのドメインに向けたCookieを設定できてしまうのでしょうか。 現在の仕様(RFC 6265)では、これは制限されています。ブラウザは、comのような公共のドメイン接尾辞(public suffix)1を受け付けないように決められています。2 公共のドメイン接尾
週刊Railsウォッチ: スライド『Rails 7.1をn倍速くした話』、Rails 7.1でMessagePackをサポートほか(20230502)|TechRacho by BPS株式会社
こんにちは、hachi8833です。RubyKaigi 2023のグルメ情報も出ましたね。 はてなブログに投稿しました #はてなブログ #rubykaigi ☕️Coffeehouse スポンサー & 松本グルメ情報🍴 - ESM アジャイル事業部 開発者ブログhttps://t.co/s0t8wkX6Yi — ESM, Inc. (@rubyagile) April 28, 2023 週刊Railsウォッチについて 各記事冒頭には🔗でパーマリンクを置いてあります: 社内やTwitterでの議論などにどうぞ 「つっつきボイス」はRailsウォッチ公開前ドラフトを(鍋のように)社内有志でつっついたときの会話の再構成です👄 お気づきの点がありましたら@hachi8833までメンションをいただければ確認・対応いたします🙏 TechRachoではRubyやRailsなどの最新情報記事を平日
Server Side Request Forgery(SSRF)は、2021年版にて初めてOWASP Top 10にランクインするなど、比較的最近重要視されている脆弱性・攻撃手法です。このSSRF攻撃の代表的な事例が、2019年に発生した米金融大手Capital Oneからの1億件を超える個人情報流出です。 この動画では、Capital Oneサイトの内部で起こったと推定されるオープンPROXYにおけるSSRF攻撃の様子を再現し、攻撃方法の詳細について解説します。 ※ この動画は、参考URL末尾に紹介した動画の前半を再編集したものになります。より詳細に関心のある方はフル版をご視聴ください。 参考URL: SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記 https://blog.tokumaru.org/2018/12/introduct
EC2 roleや ECS task role の知識をUpdateする (IMDSv2とかも) - 続 カッコの付け方
まず最初に、本当にやりたかったことと、調べているうちにだいぶ脱線して得た知識を書いてます。少々規模がでかいです。 最初にやりたかったのは、 EC2 role (Instance Profile) を使っているときに awscliとかで Unable to locate credentials が稀に出るという問題の解消です。 で、いきなり(今わかっている) 答えを書くと、 AWS_METADATA_SERVICE_TIMEOUT AWS_METADATA_SERVICE_NUM_ATTEMPTS あたりの環境変数を指定しておくです。 AWS CLI Configuration Variables — AWS CLI 1.18.123 Command Reference 上記を含む、大部分が脱線した内容を掘り下げて行きますが、前提となる知識が結構多く、いちいち細かく書くと長すぎるので、AWS
【7/22(月)品川開催】Web担当者が知っておくべき 今Webサイトに求められているUXやコスト削減、セキュリティにどう向き合うべきか(徳丸浩 × プライム・ストラテジー)
Web担当者様必見!今ユーザーが求めているUXについて、お話します!! モバイルのページ速度とセキュリティ 総務省「通信利用動向調査」によると、日本におけるスマートフォンの個人保有率が右肩上がりで全体平均で約61%が保有しています。 その中でも10代~40代までの年代はその年代層で90%前後の保有率であり、まさに1人1台スマートフォンという時代です。 その中で、昨今のUXのキーワードとして重要となっているのが、モバイルページの表示速度です。 Googleが2018年3月に発表したモバイルファーストインデックス(MFI)は、PCサイトではなくモバイルサイトのページを検索ランキングの評価基準にするというもので、 大きな話題となりました。また、2019年7月1日以降、すべての新しいWebサイトでモバイルファーストインデックスがデフォルトで有効になるという発表もありました。 更に2018年7月にG
概要 パスワードを保存する際は平文で保存せずハッシュ化するのは当然です。しかし単にハッシュ化するだけでなく 暗号学的に優れたハッシュ関数を使う saltを付ける 計算コストのかかるアルゴリズムを採用する ストレッチングで計算コストを上げる といった点を考慮することで、万が一ハッシュ化されたデータが漏洩してもそこから平文が算出されないようにすべきです。 説明 暗号学的に優れたハッシュ関数を使う ハッシュ関数は チェックサム チェックディジット フィンガープリント 誤り訂正符号 暗号学的ハッシュ関数 などで使われていますが、用途によって異なった形で設計・最適化されています。 パスワードのような秘密情報をハッシュ化する場合は暗号学的ハッシュ関数を使用します。 またその中でもMD5やSHA-1といった既に破られているアルゴリズムは採用すべきでないです。 saltを付ける 仮にハッシュ関数を適切に選
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
DNSリバインディング(DNS Rebinding)対策総まとめ
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
【WordPress】WordPressのここがダメ - Qiita
flaws2.cloudのWriteupを書いたよ! - とある診断員の備忘録
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
HTTP/Tokyo #1に行ってきた - dackdive's blog
SSRF攻撃により1億件以上の情報漏洩となったCapital One事件はどうして起こったか? - YouTube
パスワードを保存するときに考慮すること - Carpe Diem