フロントエンドエンジニアのためのセキュリティ対策 ~XSS編~ / #frontkansai 2019
FRONTEND CONFERENCE 2019( https://2019.kfug.jp )でセキュリティ、主にXSSについて話をしました。 demo: https://shisama.dev/xss-test # Technical Topics - 3 types of XSS ( Reflected XSS, Stored XSS, DOM based XSS) - XSS with React - DOMPurify - Content Security Policy - Trusted Types
ビデオコミュニケーションアプリZoomの53万件にもおよぶアカウント情報が、ダークウェブやハッカーフォーラムを通じて、不正に販売されていたことが分かった。 ※記事初出時、引用箇所の翻訳・要約に誤りがございました。訂正してお詫びいたします。 サイバーセキュリティ企業が発見、データは本物 最近、Zoomにはセキュリティやプライバシーの問題が幾度となく露呈し、機能の開発を90日間停止して改善に注力している。 流出した情報は、Eメールアドレス、パスワード、会議URL、ホストキー等だ。ChaseやCitybankといった大企業も被害に遭っており、盗まれたアカウント情報は、本物であることが確認されたという。 『Mashable』によると、Zoomのアカウント情報がリスト型攻撃によってダークウェブに流出したのは、これが初めてではないという(参考:https://mashable.com/article/
Zoomを用いたオンライン講義を安全に進めるために 情報基盤センター 2020.4.6 オンライン講義に用いることができるソフトウェアの一つであるZoomについて、セ キュリティ上の懸念がいくつか報道されております。 その内容は、 ・Zoomのソフトウェア等のセキュリティ上の問題点 ・Zoomの仕様によるもので、実際には問題にならないと考えられること、または運用上 の配慮で問題を回避できると考えられること に分かれます。このうち、前者については、Zoom側で対応が進んでおり、私どもが把握 している範囲ではすべて対処済みとなっています。 但し、ソフトウェアを最新版にアップ デートしておくことが重要です。 後者については、特に運用上の配慮が必要なのが、講義 中に第三者がミーティングに参加して音声や画像等で妨害する、いわゆるZoom bombing と呼ばれている事象です。本学のオンライン講
本記事は4月3日21:30(JST)時点で判明している事実をまとめたものです。誤りがあればコメントでお知らせください。 本記事には誤りが含まれている可能性があります。 新しい情報があれば随時更新します。 ** 4/2 18:30 Q&Aを追加しました。 4/2 11:30 実際にバックドアが存在する環境を作成し、攻撃可能なこと、出力されるログ等について追記しました。また、攻撃可能な人物は秘密鍵を持っている必要があることを追記しました。** ところどころに考察を記載しています。 事実は~です。~であると断定し、考察、推測、未確定情報は考えられる、可能性があるなどの表現としています。 またpiyokango氏のまとめ、JPCERT/CCの注意喚起もご覧ください。 なお、各国のCSIRTまたは関連組織による注意喚起の状況は以下のとおりで、アドバイザリを出している国は少ない状況です。 概要 問題の
Sky株式会社(以下、Skyまたは弊社)では、弊社が提供する対象製品・サービスの脆弱性を発見しご報告いただいた方への謝礼として、報奨金をお支払いする「Sky脆弱性報奨金制度(以下、本制度)」を実施しています。 目的 本制度は、弊社が提供する製品・サービスに存在するゼロデイ脆弱性の早期発見と改修を目的とした制度です。 参加条件 以下の条件を満たした方にご参加いただけます。 報告時点でSkyまたはSkyのグループ会社の従業員ではないこと 報告時点で業務委託契約、出向契約、派遣契約等の契約形態により、SkyまたはSkyのグループ会社の業務に従事していないこと 過去にSkyまたはSkyグループ会社の正社員として雇用されていないこと 過去にSkyまたはSkyグループ会社で、製品開発およびクラウドサービス運用関連の業務に従事していないこと 日本語または英語で、Sky-SIRTとコミュニケーションができ
Sansan 技術本部 情報セキュリティ部 CSIRT グループの川口です。 2023年4月からセキュリティエンジニアで新卒として、Sansan に入社しました。 現在は ログ基盤(SIEM)のログの取り込み部分の機能修正、問い合わせ対応、インシデント対応などの業務に取り組んでいます。 今回は内定者インターンシップで開発した、自宅ルータの脆弱性検知システムについて紹介します。 目次は以下の通りとなります。 開発に至った経緯 作成したシステム 技術的な話 EDR ポートスキャン チケットシステムへの起票 SOAR まとめと今後の課題 開発に至った経緯 新型コロナウイルスの流行に伴い、リモートワークという言葉をよく耳にするようになったと思います。 弊社でも緊急事態宣言下においては、原則リモートワークとなり、現在はオンライン・オフラインを併用した働き方をしています。 ここで問題となってくるのが自
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Android端末にも搭載されているLinuxのカーネルに任意のファイルを上書きできる脆弱(ぜいじゃく)性が発見されました。ルート権限が必要なファイルについても上書き可能で特権昇格を行うことができるため、非常に影響の大きいものとなっています。 The Dirty Pipe Vulnerability — The Dirty Pipe Vulnerability documentation https://dirtypipe.cm4all.com/ この脆弱性は「Dirty Pipe(CVE-2022-0847)」と名付けられている通りLinuxで複数のプログラムの通信を担うパイプに起因するものとのこと。Linuxには一度読み込んだファイルをメモリ上にキャッシュとして置いておくことで再度アクセスする際の読み込み速度を高速化する「ページキャッシュ」という仕組みが存在していますが、Dirty P
ホンダを狙ったサイバー攻撃。ADのドメインコントローラーの脆弱性が利用された可能性も。(大元隆志) - エキスパート - Yahoo!ニュース
2020年6月上旬、ホンダがサイバー攻撃を受け、一部の業務を停止する事態となった。ホンダの攻撃に利用されたとされるSNAKEと呼ばれるランサムウェアを用いた攻撃が、Fresenius Group、Enel Groupにも利用されていることから、新たな攻撃トレンドとして関心が高まっている。 ■ホンダを狙った巧妙な手口 これまでに報道された内容から、今回ホンダに加えられたサイバー攻撃はSNAKE(EKANS)と呼ばれるランサムウェアであったとされている。今回ホンダで実行されたと推測されているSNAKEはパソコンに感染すると、以下の動作を実行する。 ・一般ユーザのパソコンで実行された時の動作 1) Snakeが起動 2) EKANSというミューテックスをシステムに登録 ※既に登録されてい場合は動作停止 3) MDS[.]HONDA[.]COMの名前解決を求めるDNSクエリーを実行 ※名前解決出来
CVE-2022-3786 and CVE-2022-3602: X.509 Email Address Buffer Overflows - OpenSSL Blog
Today we published an advisory about CVE-2022-3786 (“X.509 Email Address Variable Length Buffer Overflow”) and CVE-2022-3602 (“X.509 Email Address 4-byte Buffer Overflow”). Please read the advisory for specific details about these CVEs and how they might impact you. This blog post will address some common questions that we expect to be asked about these CVEs. Q: The 3.0.7 release was announced as
2年前の自分に教えたい!HTB(ペネトレーションテスト)で生き抜くためのツールやサイトまとめ - Qiita
HTBをこれから始めようとしている皆さん!ようこそペネトレの世界へ! 今回の記事は私が2年前、ちょうどHTBを始めたばかりの頃に知っていたかったツールやサイトをまとめました!何も知らない状態から血を吐きながら集めた精鋭たちなので、ぜひ参考にしていただけると嬉しいです! HackTheBoxってなに?という方はこちらの記事を見てみてください! 正直、おすすめを挙げ出すとキリがないので、今回は特にお勧めできるツールやサイトを紹介しています。 中級者や上級者の方はすでに知っている情報が多いと思います。もし、他にも便利なツールがあれば教えていただけると嬉しいです! ペネトレと言えばOSCP!ということで記事の最後にはOSCP合格のためのプチ情報もまとめていますので、最後まで閲覧ください〜! それでは記事の本編に入りましょう! ツールまとめ まずは、HTB(ペネトレ)を行う上で最強のツールたちを紹介
TL;DR: Instead of redirecting API calls from HTTP to HTTPS, make the failure visible. Either disable the HTTP interface altogether, or return a clear HTTP error response and revoke API keys sent over the unencrypted connection. Unfortunately, many well-known API providers don't currently do so. Updated 2024-05-24: Added the Google Bug Hunter Team response to the report that the VirusTotal API resp
中山です trivyのv0.31.0でAWSアカウントのセキュリティスキャンができるようになりました。 feat: Add AWS Cloud scanning (#2493) Releases / v0.31.0 なお、v0.31.0でスキャンを実行するとクラッシュするバグがあり、すぐにv0.31.2がリリースされました。 Releases / v0.31.2 どんな感じか気になったので、軽く触っておこうと思います。 ドキュメントを確認 まずはドキュメントを確認します。 Amazon Web Services ポイントになると思った点をまとめます。 CIS AWS Foundations Benchmark standardに準拠したチェックが可能 認証方法はAWS CLIと同じ すべてのAWSリソースに対する参照権限が必要 (ReadOnlyAccess) サービス・リージョン・リソー
セキュリティの草の根コミュニティ系勉強会って今どうなってるんだろう? 以前は有志がカレンダー作ってくれてたりしたけど、さすがにパワーが続かずメンテは超ベストエフォートになり、いろいろあった情報源もロストしてしまったので手元のメモをもとにちょっとまとめてみました。 追加情報歓迎&2022年12月時点での最新情報入れてるので陳腐化上等。 また近年新型コロナ禍もあり、どの勉強会もオフラインだけでなくオンラインでも開催しているので、あきらめずに各サイトをチェックしてみてください。 (なお、これ草の根?みたいなのも構わず広めに掲載してます) オンラインのみ 初心者のためのセキュリティ勉強会 https://sfb.connpass.com/ 基本から学ぶセキュリティ勉強会 https://connpass.com/event/267821/ ゼロから始めるCTF https://zeroctf.co
※ネタ記事です はじめに 検証する脆弱性 Tips. GPT-3 とは? WAFの実装 環境・必要なもの ソースコード 検証 正常リクエスト XSS GETパラメータ POSTデータ POSTデータ & ヘッダ無し SQL インジェクション GETパラメータ GETパラメータ & ヘッダ無し XXE POSTパラメータ① POSTパラメータ② POSTパラメータ & ヘッダ無し パストラバーサル GETパラメータ GETパラメータ & ヘッダ無し OS コマンドインジェクション GETパラメータ & ヘッダー無し GETパラメータ Log4Shell POSTパラメータ POSTパラメータ & ヘッダ無し POSTパラメータ & ヘッダ無し WordPress のユーザ列挙 ShellShock まとめ はじめに 最先端(?)であるGPT-3を使って 次世代WAF を作っていきます。 以下
Log4j 脆弱性を緩和するAWS WAFの「Log4JRCE」DevelopersIOサイトの3日間の検出結果を紹介します | DevelopersIO
IPアドレスは、ELB (国内向)、Global Accelerator(海外向) のIPアドレスで利用中のものでした。 $ host 75.2.71.201 201.71.2.75.in-addr.arpa domain name pointer a5b041b48e73d3807.awsglobalaccelerator.com. $ host 52.194.15.214 214.15.194.52.in-addr.arpa domain name pointer ec2-52-194-15-214.ap-northeast-1.compute.amazonaws.com. $ host dev.classmethod.jp dev.classmethod.jp has address 75.2.71.201 dev.classmethod.jp has address 99.83.1
__proto__の除去でNode.jsのプロトタイプ汚染を防げないケース - knqyf263's blog
前提 Node.jsのプロトタイプ汚染について書いているのですが、プロトタイプの説明(prototype と __proto__ の関係とか)を定期的に見直さないと綺麗サッパリ忘れる程度にはNode.js触っていないので、何かおかしいところあればご指摘お願いします。 概要 Node.jsではここ数年プロトタイプ汚染攻撃が流行っています。概要は以下を見れば分かると思います。 jovi0608.hatenablog.com そもそもプロトタイプって何?という人は以下の記事が分かりやすいです。自分はお守りのように定期的に読んでます。 qiita.com 外部から送られてきたJSONなどをパースして変換し、そのオブジェクトをmergeやcloneする際に __proto__ を上書きすることで Object.prototype を汚染するというものです。このオブジェクトが書き換えられると、新しく作
こんにちわ。Cyber Security Innovation Group(CSIG)の井上です。 部門名の通り、サイバーセキュリティに関する部署で、セキュリティコンサルティングやFutureVuls( https://vuls.biz )という脆弱性対策サービスのコンサルティングやサポートをしています。 初めに春の入門祭り2023 という事で、初めて脆弱性対応をする方に向けた記事を書いてみようと思います。 この時期になると、部門移動等で情報システム部に移動し「何をやっていいのか分からない…」という話も時々聞きます。 今回は、IPAの「mjcheck4」( https://jvndb.jvn.jp/apis/myjvn/mjcheck4.html )というツールを使った、セキュリティ情報の収集についてお話しようと思います。 セキュリティ情報収集とは世の中にはセキュリティ情報はいろいろありま
The Hacker Newsは7月6日(現地時間)、「Researchers Uncover New Linux Kernel 'StackRot' Privilege Escalation Vulnerability」において、Linuxカーネルに深刻な脆弱性が発見されたと伝えた。新たに見つかった脆弱性は「StackRot」と名付けられており、現時点ではこの欠陥が悪用された形跡はないと報告している。 StackRotは「 CVE-2023-3269」として追跡されているLinuxカーネルの脆弱性。Linuxのバージョン6.1から6.4に影響を与える可能性があり、Red Hat Customer Portalによる共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)v3のスコア値では7.8と分類され、深刻度は重要(High)と評価さ
Node.jsへのコントリビュート解説、そしてOSSへ貢献するということ - 別にしんどくないブログ
この記事は Node.js Advent Calendar 2019 - Qiita の2日目の記事です。遅くなってしまいました。 Node.js本体へのコントリビュート解説記事です。この記事は不足している情報や更新があれば、モチベーションが続く限り更新していきたいと思っています。 JSConf JPのスタッフの打ち上げのときに日本人のNode.jsへのコミットしている人が少ないという話がでました。 Node.jsに限らずOSSへのコミット経験があるという人は私の周りには少ないです。 もちろんOSSにコミットしているから良い悪いという話ではなく、Node.jsやOSSにコミットしてみたいと相談いただくことが時々あるので僕の経験でよければ伝えたいと思いました。 私の経験からNode.jsへのコントリビュート方法の解説とOSSへの貢献を通じて得たものについて書き残しておきたいと思います。 言葉
Cross-Site Scripting (XSS) Cheat Sheet - 2024 Edition | Web Security Academy
Cross-site scripting (XSS) cheat sheet This cross-site scripting (XSS) cheat sheet contains many vectors that can help you bypass WAFs and filters. You can select vectors by the event, tag or browser and a proof of concept is included for every vector. You can download a PDF version of the XSS cheat sheet. This is a PortSwigger Research project. Follow us on Twitter to receive updates. Downloaded
Wizは7月26日(米国時間)、「GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads|Wiz Blog」において、UbuntuのOverlayFSモジュールに複数の深刻な脆弱性があるとして、注意を呼び掛けた。この問題の影響を受けるUbuntuのバージョンがクラウドで広く普及しているため、Ubuntuユーザーの約40%がこれらの欠陥に対して脆弱であると警告している。 GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads|Wiz Blog OverlayFSは、Linuxで広く利用されているファイルシステム。コンテナの普及により事前に構築されたイメージに基づく動的なファイルシステムのデプロイが可能となり、人気を集めるようになった。ただし、このファイルシステムには多くの論
Log4j2 脆弱性問題における SpringBoot アプリケーションの検証 | DevelopersIO
先日騒ぎになっていた CVE-2021-44228 についてのアプリケーション側の対応について記載いたします。 緩和策としてすでに AWS WAF での Rule の Update 等が行われているため、AWS サービスの詳細については別途記事を御覧ください。 Log4jの脆弱性対策としてAWS WAFのマネージドルールに「Log4JRCE」が追加されました ここでは SpringBoot をベースとしたアプリケーションへの影響と対応可否の判断についてどのような調査を行ったかを記載します。 ひとまず結論 Spring 側から見解がすでに出ています。 Log4J2 Vulnerability and Spring Boot 以下抜粋します。 Spring Boot users are only affected by this vulnerability if they have switc
go.modとgo.sumの読み方
go.mod 主にモジュールのインポートパスとバージョン情報を書いておくためのファイルで、いくつかのディレクティブを使ってアプリケーションがどのような依存関係を持っているか記述しておきます。 go mod tidy等を実行するとこのファイルを元に依存先を取得し次項で解説するgo.sumを生成します。 サンプル module github.com/ryo-yamaoka/sample-lib go 1.17 require github.com/ryo-yamaoka/direct-dependent-lib v0.0.2 require github.com/ryo-yamaoka/indirect-dependent-lib v0.0.4 // indirect exclude github.com/ryo-yamaoka/direct-dependent-lib v0.0.1 repl
コンテナセキュリティについてなんとなく不安を感じている方に向けた、ドキュメントと無料ツールの紹介です! 「コンテナセキュリティってなんか必要そうやねんけど、実際なにすんの?」 先日、我らがDevelopers.IO Cafeにおいて、クリエーションライン株式会社 (CREATIONLINE, INC.)様と共催で、以下のイベントを開催しました。 あなたのコンテナ運用大丈夫?コンテナセキュリティの考え方と対応策 - connpass 全部で3セッションで構成されているのですが、私の方では、「コンテナセキュリティ関連OSSの紹介」と題して、コンテナセキュリティこれから検討始めようという方に向けて、そのとっかかりに有用なドキュメントと無料ツールを紹介させていただきました。 ドキュメントもツールもどれも有用なものなので、コンテナセキュリティについて不安や必要性を感じている人は、これらの中から実際に
Microsoftが中国で制定された2021年の法律によって、中国のサイバー攻撃の能力が向上したと指摘しています。 China likely is stockpiling vulnerabilities, says Microsoft • The Register https://www.theregister.com/2022/11/07/china_stockpiles_vulnerabilities_microsoft_asserts/ 中国政府が制定した2021年の法律では、企業がセキュリティー上の脆弱(ぜいじゃく)性を公表する前に地元当局に報告することが義務づけられました。一方でこの法律では政府が現地の報告を利用することで脆弱性に関する情報をため込むことができるとされています。 2022年には、アトランティック・カウンシルの研究者が、中国から報告される脆弱性の減少と匿名の報告の増
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change | メルカリエンジニアリング
セキュリティエンジニアへの道:私のキャリアチェンジ物語 / The Road to Becoming a Security Engineer: My Story of Career Change * English version follows after the Japanese こんにちは。メルカリのProduct Securityチームでセキュリティエンジニアをしている@gloriaです。ブログを書くのが随分お久しぶりなのですが、前にQAと自動化テストについて記事をフォローしていた方がいらっしゃったら、当時に自動化テストエンジニアとして書いたISTQBテスト自動化エンジニア認定資格、STARWESTカンファレンス、とAQA POP TALKの記事を読んだことがあるかもしれません。 今回は、自動化テストエンジニアからセキュリティエンジニアへのキャリアチェンジについてお話して、キャリア
"security.txt" についてまとめみた
CISSPの継続学習で知ったので忘却録としてまとめました。 security.txtとは security.txtとは、IETFが提唱している、ウェブサイトにセキュリティポリシーやサイトの脆弱性を発見したときの連絡先を記載するための標準で、robots.txt、ads.txt、humans.txtと同じようにテキスト形式で記載します。 投稿当時(2021/10/22)では、第12版のドラフトまで完成していますが、近くRFC化される見込みです。 (2023/11/1:更新) RFC 9116としてRFC化されました。 設定の効果 独自開発したWebサイトなどの脆弱性(XSSやSQLインジェクション等)の報告先を独自に設定することができます。したがって、いままでJPCERT/CCなどに報告する必要がある情報を作り手に直接連絡できるため、スピード感がある対応できると見込まれています。 ただし、表
xz-backdoor.md FAQ on the xz-utils backdoor (CVE-2024-3094) This is still a new situation. There is a lot we don't know. We don't know if there are more possible exploit paths. We only know about this one path. Please update your systems regardless. This is a living document. Everything in this document is made in good faith of being accurate, but like I just said; we don't yet know everything abo
PHPでログファイルへの読み書きを通して任意コード実行をする方法 - knqyf263's blog
以前少し話題になったLaravelのデバッグモード有効時の脆弱性であるCVE-2021-3129のPoCを読んでいたのですが、思ったより難しくて何でこんなことをしているんだろうと思ったら発見者による解説ブログがありました。読んでみたらバイパスのために思ったより色々していて普通に勉強になったのでメモを残しておきます。CTFerからすると常識な内容かもしれないので、何か間違いや補足があれば指摘をお願いします。 www.ambionics.io 前提知識1 前提知識2 本題 問題点 = によるエラー 日付のデコード ログファイル内の他エントリ バイパス方法 consumedの利用 iconvの利用 パディングの利用 UTF-16のための調整 NULLバイトの回避 最終形 まとめ 前提知識1 上の脆弱性を理解するためにはいくつかの前提知識を必要とするため最初にまとめておきます。 まず、PHPでは外
クラウドネイティブ技術を日本にも浸透させることを目的に開催された「CLOUDNATIVE DAYS Spring 2021 ONLINE」。ここでVMwareの伊藤氏が「脱 Dockerfile! Cloud Native Buildpacksとkpackを使った簡単で安全なイメージ」をテーマに登壇。まずは、Dockerfileの問題点とCloud Native Buildpacksについて紹介しました。 トーク内容の目次 伊藤裕一氏(以下、伊藤):「脱 Dockerfile! Cloud Native Buildpacksとkpackを使った簡単で安全なイメージ」という内容について、伊藤がお話しします。 目次です。最初にDockerfileのおさらいと、問題点を話します。そして、Dockerfileを使わずにビルドを実施するCloud Native Buildpacks(CNB)の概要と
「情報セキュリティ10大脅威 2023」簡易説明資料(スライド形式) 情報セキュリティ10大脅威 2023 [組織編] 85ページ(PDF:2.6 MB) 情報セキュリティ10大脅威 2023 [個人編] 84ページ(PDF:2.8 MB) 情報セキュリティ10大脅威 2023 [組織編](英語版)85ページ(PDF:2.5 MB) 情報セキュリティ10大脅威 2023 [個人編](一般利用者向け)68ページ(PDF:2.9 MB) 「情報セキュリティ10大脅威 2023」簡易説明資料(脅威個別版) 情報セキュリティ10大脅威 2023 [組織編](脅威個別版)(ZIP:3.0 MB) 情報セキュリティ10大脅威 2023 [個人編](脅威個別版)(ZIP:3.1 MB) 10大脅威の引用について 資料に含まれるデータやグラフ・図表・イラスト等を、作成される資料に引用・抜粋してご利用いただ
※本講座に使われている技術、攻撃手法は実際のものであり、本講座外での外部サイト への攻撃は不正アクセス禁止法に抵触し、取り締まり対象となりますのでご注意ください。 ※この物語はフィクションです。実在の団体や人物と一切関係はありません。 「攻撃手法から学ぶハッカー入門」は、誰もがホワイトハッカーになれるよう、 ハッカーの攻撃手法を実際に試しながら学べる世界初のセキュリティ講座です。 SQLインジェクションやXSS(クロスサイトスクリプティング)など、 知っているが実際に試したら捕まってしまう、 Webアプリケーションの脆弱性に対するハッキング手法を、 仮想実行環境を利用し実際にハッキングと対策方法を試しながら セキュリティ対策が学べる画期的な講座です。 転職・就活情報から未経験向け求人や動画学習まで、IT/WEBエンジニアに特化した総合求職・学習サイト「paiza(パイザ)」。 プログラミン
AWS、「Java 8」を2026年まで、「Java 11」は2027年まで、現行より3年サポート期間延長を発表。独自JavaディストリビューションのCorretto 8とCorretto 11で
AWS、「Java 8」を2026年まで、「Java 11」は2027年まで、現行より3年サポート期間延長を発表。独自JavaディストリビューションのCorretto 8とCorretto 11で Amazon Web Services(AWS)は、同社が無償で提供しているJavaディストリビューション「Amazon Corretto」の長期サポート期間を延長すると発表しました。 Java 8に相当する「Amazon Corretto 8」は2023年6月までだったのが2026年5月までに延長、Java 11に相当する「Amazon Corretto 11」は2024年8月までだったのが2027年9月までにサポート期間が延長されます。 ユーザーはこの日まで無償でAWSからセキュリティパッチなどを受け取ることができます。 New #AWSLaunches! Announcing 3 new
Ver. 2023.11.15 r1 // OSINT のための情報源、というのが正しい気がするが、そこはそっとじ。
エレコム、過去発売のWi-Fiルーターに脆弱性 更新期間終了済み、“買い替え”推奨 「力及ばず謝罪しかできない」
関連記事 Wi-Fiルーターの設定確認ってどこを見ればいいの? 警視庁の注意喚起で困惑の声 バッファローに聞いた 警視庁は家庭用Wi-Fiルーターの不正利用について、「見覚えのない設定変更がなされていないか定期確認」を推奨。しかし、Twitter上では「設定なんていちいち覚えてられない」など困惑する声も。バッファローに具体的な対策を聞いた 帰省先のWi-Fiルーター、セキュリティは大丈夫? GW中に確認しよう 警視庁も注意喚起 サイバー攻撃への対策を呼び掛けるサイバーセキュリティ連盟は、Wi-Fiルーターへの不正アクセスを防ぐためゴールデンウィーク中に確認すべきポイントを紹介した。 ハンディファン、猛暑日は逆効果とメーカーが注意喚起 「濡れタオルとの併用を」 手軽に外でも使える「ハンディファン」(携帯型扇風機)は気温35℃以上になると逆効果になるとエレコムが注意喚起した。 エレコムが“スマ
AWS 認定 DevOps エンジニア – プロフェッショナル(AWS Certified DevOps Engineer – Professional)の学習方法 - NRIネットコムBlog
小西秀和です。 この記事は「AWS認定全冠を維持し続ける理由と全取得までの学習方法・資格の難易度まとめ」で説明した学習方法を「AWS 認定 DevOps エンジニア – プロフェッショナル(AWS Certified DevOps Engineer – Professional)」に特化した形で紹介するものです。 重複する内容については省略していますので、併せて元記事も御覧ください。 また、現在投稿済の各AWS認定に特化した記事へのリンクを以下に掲載しましたので興味のあるAWS認定があれば読んでみてください。 ALL Networking Security Database Analytics ML SAP on AWS Alexa DevOps Developer SysOps SA Pro SA Associate Cloud Practitioner 「AWS 認定 DevOps エ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Zoomで50万件超のアカウント情報が流出・転売ーーFBIが捜査に乗り出す
Zoomを用いたオンライン講義を安全に進めるために | 情報基盤センター 2020.4.6
xzにバックドアが混入した件のまとめ(CVE-2024-3094) - Qiita
Sky脆弱性報奨金制度|セキュリティ・脆弱性について|Sky株式会社
自宅ルータの脆弱性検知システムの開発 - Sansan Tech Blog
Gitの認証情報を奪い取れるGit 2.26.0以下にある脆弱性について
Linuxカーネルに特権昇格可能な重大な脆弱性が発見される、Android端末にも影響あり
Your API Shouldn't Redirect HTTP to HTTPS
TrivyでAWSアカウントのセキュリティスキャンができるようになりました | DevelopersIO
サイバーセキュリティの草の根コミュニティ系勉強会 - Qiita
GPT-3 API を使って AI WAF を作る - まったり技術ブログ
セキュリティソフト「ESET」シリーズに複数の脆弱性 ~モジュールの更新で対策【10月27日追記】/サポート終了の旧製品は後継バージョンへの移行を
初めてのセキュリティ情報収集(mjckeck4) | フューチャー技術ブログ
Linuxカーネルに重大な脆弱性「StackRot」、ただちに確認を
Ubuntuのモジュールに深刻な脆弱性、40%のUbuntuユーザーに影響か
コンテナセキュリティを始めるための無料ツール5つとドキュメント3つの紹介 | DevelopersIO
中国はソフトウェアの脆弱性を報告せずにまとめあげてサイバー兵器にしようとしている
他人事と思わずにチェックを! Wi-Fiルーターの「ボット感染」対策で今やることのまとめ
xz-utils backdoor situation (CVE-2024-3094)
Dockerfileの属人化による脆弱性を防げ ベストなイメージが作成可能なCloud Native Buildpacksの使い方
情報セキュリティ10大脅威 2023 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ほぼすべてのウイルス対策ソフトにOSを破壊可能な脆弱性 ~現在は多くのソフトで修正済み
女子高生ハッカーによる、攻撃手法から学ぶセキュリティ入門【CV内田真礼】|paizaラーニング
普段の調査で利用するOSINTまとめ - Qiita