クラウドセキュア株式会社(所在地:大阪市北区、代表取締役:小林 尚希)は2023年9月11日、『CloudSecure WP Security』の無償提供を開始しました。 『CloudSecure WP Security』は、ブログやWebサイトを作成するCMS「WordPress」のプラグイン(機能の拡張ツール)です。 「WordPress」の管理画面とログインURLをサイバー攻撃から守り、サイトのセキュリティを向上させます。 公式サイトからファイルをダウンロードして「WordPress」にインストールすると、利用していただけます。 追って「WordPress」公式プラグインとしてリリースする予定で、リリース後は「WordPress」の管理画面から直接インストールしていただけます。 ■「WordPress」について ブログやホームページをかんたんに作成できる、世界中で大人気のオープンソー
Security-JAWS 第24回レポート #サイバーセキュリティは全員参加 #secjaws #secjaws24 #jawsug | DevelopersIO
こんにちは、臼田です。 Security JAWS 第24回が開催されましたのでレポート致します。 Security-JAWS【第24回】 勉強会 2022年2月28日(月) - Security-JAWS | Doorkeeper 動画 レポート Session1: 2022年サイバーセキュリティ月間 ~#サイバーセキュリティは全員参加~ 内閣サイバーセキュリティセンター( NISC )基本戦略第 1 グループ 浦川 隆志さん サイバーセキュリティ月間の宣伝 今年はマクロスとコラボ なんで? 今年で40周年 幅広い世代に知名度がある 男性も女性も、いろんな星の種族の人がいてコンセプトに合っている 2022年サイバーセキュリティ月間 - NISC 特設ページでいろいろな発信をしている 「基本的なセキュリティ対策」や「東京2020大会の対策を振り返る」が新しいコンテンツ 基本的なセキュリティ
Urgent security alert for Fedora 41 and Fedora Rawhide users
No versions of Red Hat Enterprise Linux (RHEL) are affected by this CVE. Updated March 30, 2024: We have determined that Fedora Linux 40 beta does contain two affected versions of xz libraries - xz-libs-5.6.0-1.fc40.x86_64.rpm and xz-libs-5.6.0-2.fc40.x86_64.rpm. At this time, Fedora 40 Linux does not appear to be affected by the actual malware exploit, but we encourage all Fedora 40 Linux beta us
GitHub - rudderlabs/rudder-server: Privacy and Security focused Segment-alternative, in Golang and React
📖 Just launched Data Learning Center - Resources on data engineering and data infrastructure The Customer Data Platform for Developers Website · Documentation · Changelog · Blog · Slack · Twitter As the leading open source Customer Data Platform (CDP), RudderStack provides data pipelines that make it easy to collect data from every application, website and SaaS platform, then activate it in your
PwnKit: Local Privilege Escalation Vulnerability Discovered in polkit’s pkexec (CVE-2021-4034) | Qualys Security Blog
The Qualys Research Team has discovered a memory corruption vulnerability in polkit’s pkexec, a SUID-root program that is installed by default on every major Linux distribution. This easily exploited vulnerability allows any unprivileged user to gain full root privileges on a vulnerable host by exploiting this vulnerability in its default configuration. About Polkit pkexec for Linux Polkit (former
GraphQL Vulnerabilities | Application Security Cheat Sheet
GraphQL is a query language designed to build client applications by providing an intuitive and flexible syntax and system for describing their data requirements and interactions. GraphQL uses a declarative approach to fetching data, clients can specify exactly what data they need from the API. As a result, GraphQL provides a single endpoint, which allows clients to get the necessary data, instead
Security-JAWS DAYSで登壇したAmazon Verified Permissionsについての補足 - カミナシ エンジニアブログ
こんにちは、普段ほとんど家で冷房を使わないので、時々都会に行くと建物の中が寒すぎてびっくりするセキュリティエンジニアリングの西川です。 先日Security-JAWS DAYS(https://s-jaws.doorkeeper.jp/events/155024)に登壇させていただきました。30回記念という節目に登壇できたことがただただありがたかったです。運営のみなさま本当にありがとうございました。 登壇資料はこちら https://speakerdeck.com/kaminashi/advantages-and-disadvantages-of-separation-of-responsibilities-using-amazon-verified-permissions 今日は登壇資料をふまえつつ、時間の関係で話せなかったことなどについて書いていきたいと思います。 おさらいも踏まえてご
AWS Security Reference Architecture (AWS SRA) を利用したマルチアカウントのセキュリティ対策 - Qiita
AWS Security Reference Architecture (AWS SRA) を利用したマルチアカウントのセキュリティ対策AWSSecurityIAMOrganizations はじめに AWSによって 「AWS Security Reference Architecture (AWS SRA)」 と呼ばれるセキュリティリファレンスアーキテクチャが公開されています。 SRAは、AWSのセキュリティ対策をどう実装すべきかを指し示すガイドとしての位置付けであり、SRAを参考にすることで、AWSの数多くのセキュリティサービスをマルチアカウントの環境に最適化する形でデプロイする方法が分かります。 本記事では、このSRAの中身を紐解き、SRAを活用してAWSアカウントのセキュリティ対策がどう実装できるのかを記します。 企業の課題 オンプレミスからAWSにサーバ環境を移行し始めたばかりか
Security HubとSplunkの連携でセキュリティアラートを一元管理する | DevelopersIO
先日、AWS Security HubがGA(一般公開)となり、DevelopersIOでも記事になってます! 【祝リリース】Security HubがGAになったので特徴と使い方まとめてみた | DevelopersIO AWS Security Hubは、セキュリティアラートを一元的に表示して管理し、コンプライアンスチェックを自動化する超便利なものですが、さらに特徴として、サードパーティ製品との連携も可能です。 統合されているサードパーティ製品の一覧はこちら(Product Integrations in AWS Security Hub)にまとめられていますが、その中になんと我らがSplunkが! Securtiy Hubで統合されたセキュリティインシデントをSplunkに転送することで、手間を省力化しつつ、Splunk上での統合管理が実現できます。Security HubとSplu
GitHub - a13xp0p0v/kernel-hardening-checker: A tool for checking the security hardening options of the Linux kernel
$ ./bin/kernel-hardening-checker -c kernel_hardening_checker/config_files/distros/ubuntu-22.04.config -l /proc/cmdline -s kernel_hardening_checker/config_files/distros/example_sysctls.txt [+] Kconfig file to check: kernel_hardening_checker/config_files/distros/ubuntu-22.04.config [+] Kernel cmdline file to check: /proc/cmdline [+] Sysctl output file to check: kernel_hardening_checker/config_files/
【セキュリティ ニュース】Linuxなどに含まれる「pppd」に脆弱性 - root権限でコード実行のおそれ(1ページ目 / 全2ページ):Security NEXT
モデム接続やPPPoE接続、VPN接続の「PPTP」など、ノード間の接続に用いる「Point-to-Point Protocol(PPP)」の接続セッションを管理する「pppd」に、深刻な脆弱性が含まれていることがわかった。 Linuxなどで広く採用されているPaul's PPP Packageの「pppd」に脆弱性「CVE-2020-8597」が明らかとなったもの。 「同2.4.8」から「同2.4.2」までが影響を受ける。 認証プロトコル「EAP(Extensible Authentication Protocol)」のパケットを処理する際、データサイズの検証処理に問題があり、バッファオーバーフローが生じるという。 脆弱性を悪用されると、任意のコードを実行されたり、サービス拒否に陥るおそれがある。認証に「EAP」を用いていない環境でもパケットを受け付け、脆弱性の影響を受ける可能性があるた
【セキュリティ ニュース】WordPress向けに人気SEOプラグインに複数の脆弱性(1ページ目 / 全1ページ):Security NEXT
コンテンツマネジメントシステム(CMS)の「WordPress」向けに提供されている人気プラグイン「All In One SEO(AIOSEO)」に複数の脆弱性が明らかとなった。 同プラグインは、検索エンジン向けにウェブサイトを最適化する機能などを提供するプラグイン。300万件以上のサイトに導入されている。 一部要素に対してスクリプトを挿入することが可能となるクロスサイトスクリプティング(XSS)の脆弱性2件が明らかとなったもの。DEFIANTが脆弱性を発見し、1月26日に開発者へ報告した。 「CVE-2023-0585」について管理者権限が必要。一方「CVE-2023-0586」については寄稿者以上の権限で悪用できるため、投稿を編集者などがチェックした際などに悪用されるシナリオなどが想定されるとしている。 共通脆弱性評価システム「CVSSv3」における脆弱性のベーススコアは、「CVE-2
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) | Articles | web.dev
Mitigate cross-site scripting (XSS) with a strict Content Security Policy (CSP) Stay organized with collections Save and categorize content based on your preferences. Cross-site scripting (XSS), the ability to inject malicious scripts into a web app, has been one of the biggest web security vulnerabilities for over a decade. Content Security Policy (CSP) is an added layer of security that helps to
セキュリティに全ての開発者が向き合えるようにする ― Flatt Security がセキュリティプロダクト事業を通して目指すこと - Flatt Security Blog
株式会社 Flatt Security 執行役員 CTO の米内です。弊社は「セキュリティの力で信頼をつなげ、クリエイティブな社会を実現する」というミッションの実現に向けてさらなる挑戦をするために、約2億円の資金調達を実施しました(プレスリリースはこちら)。 そうした資金調達の背景には「セキュリティベンダとそのユーザ企業との分断を解消する」という弊社のプロフェッショナルサービス事業における挑戦と、セキュリティプロダクト事業における「組織内のプロダクト開発・運用業務とセキュリティ業務との分断を解消する」ための挑戦 --- いわば 「セキュリティという仕事を誰か一人の仕事ではなく、全員が向き合える仕事に変えていく」ための挑戦 があります。本稿ではこの 2 つの挑戦のうち、後者のセキュリティプロダクト事業における「セキュリティという仕事を誰か一人の仕事ではなく、全員が向き合える仕事に変えていく」
Read it now on the O’Reilly learning platform with a 10-day free trial. O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers. In the first edition of this critically acclaimed book, Andrew Hoffman defined the three pillars of application security: reconnaissance, offense, and defense. In this revised and upda
こんにちは、セキュリティチームのwonda-tea-coffeeです。 最近さらば青春の光が好きすぎて五反田への引っ越しを検討しています。 さて、本稿では私が先日取得した資格である、Offensive Security Web Expert(以下、OSWE)について紹介します。 これからチャレンジしようと考えている方、もしくは既に試験に向けて頑張っている方に向けて少しでも有益な情報になれば嬉しい限りです。 また、前回紹介したBurp Suite Certified Practitionerについても良ければご覧ください。 OSWEとは OSWEはOffensive Security社が提供する、ペネトレーションテストの認定試験です。以下、簡単に特徴を記します。 標的のWebアプリケーションとほぼ同一のデバッグ環境を使って、ホワイトボックステストを実施し、目標の証明ファイルを入手する 試験時
CompanyEngineeringSecurityGit security vulnerability announcedUpgrade your local installation of Git, especially if you are using Git for Windows, or you use Git on a multi-user machine. Today, the Git project released new versions which address a pair of security vulnerabilities. GitHub is unaffected by these vulnerabilities1. However, you should be aware of them and upgrade your local installati
トップエンジニアが語るセキュアな開発組織の作り方【LayerX 名村卓×Ms.Engineer 齋藤匠×Flatt Security 米内貴志 鼎談(前編)】 - #FlattSecurityMagazine
昨今、ITベンダーだけでなくユーザー企業にもシステム内製化の動きが広がりつつあり、「セキュアな開発をいかに実現するか」は多くの開発組織における悩みの1つとなっています。 「セキュアな開発組織」をどう作っていくべきか。また、セキュアな開発を組織に浸透させるにはどうすれば良いのかーー。株式会社Flatt Securityでセキュアな開発のための学習プラットフォーム「KENRO(ケンロー)」の開発・コンテンツ監修を務めたCTO・米内貴志が、これまで様々な開発組織を牽引してきた株式会社LayerX 執行役員の名村卓さん、Ms.Engineer株式会社 Mother of Engineerの齋藤匠さんのお二人にお話を伺いました。 ▼後編はこちら flatt.tech プロフィール 「開発にかける時間とセキュリティにかける時間」のバランスに葛藤 セキュリティに対するモチベーションが高いチームをどう作っ
[アップデート] Security Hub に PCI DSS にあわせた自動セキュリティチェックが追加されました! | DevelopersIO
Security Hub が PCI DSS バージョン 3.2.1 にあわせた自動セキュリティチェックをサポートするようになりました。 AWS Security Hub launches security checks aligned to the Payment Card Industry Data Security Standard これまで CIS ベンチマーク (CIS AWS Foundations Benchmark) に対応していた Security Hub ですが、今回のアップデートにより PCI DSS v3.2.1 の要件チェックできるわけですね。すばらしい。 14 サービス 32 要件に対するチェック 今回の自動セキュリティチェックでは 14 の AWS サービスで 32 の PCI DSS 要件に対して継続的なチェックを行うことで、PCI DSS セキュリティのア
Issue #1fuzzuf / PolicyGlass / syft / SpiceDB / OPA 等の気になったツールの動向と、年始のマーケットの動向についてざっくばらんについて紹介します。 あけましておめでとうございます。もっと楽にセキュアなプロダクト開発/運用を実現できるようにしたい米内(@lmt_swallow)です。「あまり難しいことを考えずに、日ごろ目にしたものの中で気になったプロダクトセキュリティ関連動向を発信してみるか」という気持ちになったので、これからほぼ週一で Security Engineering Weekly と題して気になった情報をまとめていきます。この記事はその記念すべき第一弾です。 今回は fuzzuf / PolicyGlass / syft / SpiceDB / OPA 等の気になったツールの動向と、Money Forward 様における Poli
Read it now on the O’Reilly learning platform with a 10-day free trial. O’Reilly members get unlimited access to books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers. Securing, observing, and troubleshooting containerized workloads on Kubernetes can be daunting. It requires a range of considerations, from infrastructure choices and cluster configura
Update for Apache Log4j2 Security Bulletin (CVE-2021-44228)
AWS is aware of the recently disclosed issues relating to the open-source Apache “Log4j2" utility (CVE-2021-44228 and CVE-2021-45046). Responding to security issues such as this one shows the value of having multiple layers of defensive technologies, which is so important to maintaining the security of our customers’ data and workloads. We've taken this issue very seriously, and our world-class te
Security Incident March 2023 Update & Actions - LastPass - The LastPass Blog
To Our LastPass Customers– I want to share with you an important update about the security incident we disclosed on December 22, 2022. We have now completed an exhaustive investigation and have not seen any threat-actor activity since October 26, 2022. During the course of our investigation, we have learned a great deal more about what happened and are sharing new findings today. Over the same per
Snyk adds security directly into your IDE with real-time vulnerability scanning of code, open source libraries, containers, and cloud infrastructure — and provides actionable fix advice in-line so you can fix quickly and move on.
RFC 9116: A File Format to Aid in Security Vulnerability Disclosure
Stream: Internet Engineering Task Force (IETF) RFC: 9116 Category: Informational Published: April 2022 ISSN: 2070-1721 Authors: RFC 9116 A File Format to Aid in Security Vulnerability Disclosure Abstract When security vulnerabilities are discovered by researchers, proper reporting channels are often lacking. As a result, vulnerabilities may be left unreported. This document defines a machine-parsa
[アップデート]AWS Security Hubで統合コントロール結果に対応したので既存環境で有効化して無効化してみた | DevelopersIO
こんにちは、臼田です。 みなさん、AWSのセキュリティチェックしてますか?(挨拶 今回は先日アップデートがあったAWS Security Hubの統合コントロールビューと検知結果の統合の内、検知結果の統合について動作を確認したのでまとめます。なお、AWSからのリリース文も翻訳され、「統合コントロール結果」と表現されていたので、以降はこれに合わせて行こうと思います。 概要 従来、AWS Security Hubではセキュリティチェックの機能として、複数のチェック基準であるスタンダードで、実際には内部的に同じ検知の仕組を使いながらも、それぞれのスタンダードが有効な場合は、複数の検知結果を保存していました。つまりイベントが2重に拾われていました。 今回のアップデートの内、統合コントロールビューでは、これを1つにまとめて表示することができるようになりましたが、内部的にはイベントが2重になったままで
![[アップデート]AWS Security Hubで統合コントロール結果に対応したので既存環境で有効化して無効化してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/ba983f76286d716c33249c5cd7c5d87259ff98a9/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2022%2F08%2Faws-security-hub.png)
Amazon S3 Update – Three New Security & Access Control Features | Amazon Web Services
AWS News Blog Amazon S3 Update – Three New Security & Access Control Features A year or so after we launched Amazon S3, I was in an elevator at a tech conference and heard a couple of developers use “just throw it into S3” as the answer to their data storage challenge. I remember that moment well because the comment was made so casually, and it was one of the first times that I fully grasped just
【セキュリティ ニュース】攻撃者視点で学ぶ「OTシステムハッキング」のトレーニングサービス(1ページ目 / 全1ページ):Security NEXT
サイバーディフェンス研究所は、OTシステムにおける通信の解析や攻撃手法を学ぶハンズオントレーニングを提供開始する。 「OTシステムハッキング|独自プロトコル解析とサイバー攻撃の実践」は、OTシステムに対する実践的なサイバー攻撃手法を体験しながら学ぶトレーニングコース。 重要インフラ分野のシステム担当者やインシデントレスポンス担当者、OTシステムの開発者、警察や防衛関連組織の職員などへの提供を想定している。 トレーニングでは、攻撃者の視点や発想、技術などを踏まえ、想定される攻撃のシナリオにくわえて、OT独自のプロトコル技術やツールを用いたパケットの取得、解析、改ざん、生成方法など学ぶ。また学習用模擬制御システムへの攻撃体験をオプションの追加カリキュラムとして用意している。 2022年3月までは、問い合わせをした組織向けのプライベート開催のみ提供し、4月以降は一般開催を予定している。価格は1名
Overview This guide explains how to configure security hardening for certain GitHub Actions features. If the GitHub Actions concepts are unfamiliar, see "Understanding GitHub Actions." Using secrets Sensitive values should never be stored as plaintext in workflow files, but rather as secrets. Secrets can be configured at the organization, repository, or environment level, and allow you to store se
How To Secure Node.js Applications with a Content Security Policy | DigitalOcean
The author selected the Free Software Foundation to receive a donation as part of the Write for DOnations program. Introduction When the browser loads a page, it executes a lot of code to render the content. The code could be from the same origin as the root document, or a different origin. By default, the browser does not distinguish between the two and executes any code requested by a page regar
re:Invent 2023で感じたセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as I felt at re:Invent 2023
AWS目黒で実施された「AWS re:Invent 2023 re:cap LT 大会」で発表した資料
NTT Security
「Microsoft Security Copilot」によるAIセキュリティ対策 “人力”任せからの脱却につながるか
「Microsoft Security Copilot」によるAIセキュリティ対策 “人力”任せからの脱却につながるか(1/3 ページ) 2022年11月に「ChatGPT」が登場して以降、特に2023年に入ってから、「OpenAI」を絡めたMicrosoftの新サービスの発表ラッシュには目を見張るものがある。大規模言語モデル(LLM)技術を取り入れて、チャット型の対話検索機能を備えた「新しいBing」をはじめ、正式提供が始まった「GitHub Copilot」、ERPやCRMといった業務支援を行う「Dynamics 365 Copilot」、そして先日発表された「Microsoft 365 Copilot」に至るまで、「Copilot(コパイロット)」シリーズが話題を席巻している。 Microsoftの「Copilot」を関する製品で特徴的なのは、いわゆるGenerative AI、つま
Masato Kinugawa Security Blog: CVE-2020-11022/CVE-2020-11023: jQuery 3.5.0で修正されたSecurity Fixの詳細
English version is here: https://mksben.l0.cm/2020/05/jquery3.5.0-xss.html 先月、jQuery 3.5.0がリリースされました。 このバージョンでは、僕が報告した問題がSecurity Fixとして含まれています。 jQuery 3.5.0 Released! | Official jQuery Blog https://blog.jquery.com/2020/04/10/jquery-3-5-0-released/ 報告したバグは、CVE-2020-11022、 CVE-2020-11023 として採番されています。 https://github.com/advisories/GHSA-gxr4-xjj5-5px2 https://github.com/advisories/GHSA-jpcq-cgw6-v4j6
February 8, 2024Okta October 2023 Security Incident Investigation Closure Related Posts: Recommended Actions - Nov 29, 2023 / Root Cause Analysis [RCA] - Nov 3, 2023 / Security Incident - Oct 20, 2023 Stroz Friedberg, a leading cybersecurity forensics firm engaged by Okta, has concluded its independent investigation of the October 2023 security incident. The conclusions of Okta’s investigation hav
Security Command Centerを使用してGoogle Cloud内のセキュリティイベントを検知する - NRIネットコムBlog
こんにちは、最近Google Cloudを頑張って勉強している上野です。 今回はSecurity Command Centerおよびその通知設定方法を紹介します。 Security Command Centerとは? Security Command Center(以下SCC)は、Google Cloudの組織配下のプロジェクトにおいて、セキュリティリスクのある設定や、脆弱性(アプリも含む)を見つけてくれるサービスです。 見つけた結果を表示するダッシュボード機能もあります。 なお、SCCは組織に対して設定するサービスのため、プロジェクト単体では使用できません。 無料のスタンダード ティアと有料のプレミアム ティアがあり、スタンダードでは一部機能のみ使用できます。 機能(サービス)名 機能概要 スタンダード プレミア Security Health Analytics 公開FWなど、Goog
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「WordPress」のセキュリティ対策プラグイン『CloudSecure WP Security』の無償提供を開始
AMD TPM Exploit: faulTPM Attack Defeats BitLocker and TPM-Based Security (Updated)
AIが企業内のセキュリティ対策を手助けする「Microsoft Security Copilot」の詳細
Web Application Security, 2nd Edition
Offensive Security Web Expertになりました - ANDPAD Tech Blog
Git security vulnerability announced
Issue #1 | Security Engineering Weekly
Kubernetes Security and Observability
Secure Coding with IDE Plugins | IDE Security Plugins | Snyk
2021年11月の月例パッチに問題、MSIでアプリを修復・更新すると起動不能に/「Kaspersky Endpoint Security 11 for Windows」などに影響
Security hardening for GitHub Actions - GitHub Docs
Okta October 2023 Security Incident Investigation Closure
取り組むのは「セキュリティの本質的課題」解決 ~ 米内貴志が東京大学に通いながら株式会社Flatt Securityの仕事をする理由 | ScanNetSecurity
