2020/02/13 DevSumi 発表資料
最新のブラウザで変わるCookieの取り扱いやPrivacyの考え方
2020/02/13 DevSumi 発表資料
Cloudflareの社内サーバーへの不正アクセスについてまとめてみた - piyolog
2024年2月2日、Cloudflareは同社が運用するAtlassianサーバーが2023年11月に不正アクセスの被害にあっていたとして、その対応と調査結果について公表しました。ここでは関連する情報をまとめます。 CloudflareのAtlassianサーバーに不正アクセス blog.cloudflare.com 不正アクセスの被害が確認されたのは、Cloudflareが社内Wikiやバグ管理で使用していたオンプレミスのAtlassianサーバーおよびAtlassian製品。約10日間にわたって同社システムに対して攻撃者による活動が行われていた。 攻撃者は有効となっていたMoveworks用のサービストークンを悪用し、ゲートウェイ経由で認証後にAtlassian JiraとConfluenceに対して不正アクセスを行っていた。さらにSmartsheet用アカウントを使用してCloudf
Amazon RDS now supports new SSL/TLS certificates and certificate controls
Amazon Relational Database Service (Amazon RDS) has new certificate authorities with 40 year and 100 year validity. SSL/TLS certificates enable secure communication between your clients and databases. Administrators can control which certificate their organization uses by setting a default certificate per account with a choice of RSA 2048, RSA4096, and ECC384. When provisioning and modifying a dat
Deno 1.36: More flexible security and expanded testing APIs
Read on to learn more about the latest features and fixes available in Deno 1.36! Deno 1.36 at a glance 🔐 More flexible security options for Deno programs Secure your programs at runtime with --deny-* flags, which enable you to configure deny lists for domains, file paths, and other resources to which access should be restricted. 🧪 Expanded options for testing and benchmarking New test result fo
moto_sato on Twitter: "先週、外部の人と話をしていて、アタマの整理がつかないままだったことが幾つか ・成長し始めた会社がサイバーセキュリティの重要性に目覚めて、責任者を雇用したい 今まで何もしていない会社、eコマースが柱、ざっくり1,000人規模"
先週、外部の人と話をしていて、アタマの整理がつかないままだったことが幾つか ・成長し始めた会社がサイバーセキュリティの重要性に目覚めて、責任者を雇用したい 今まで何もしていない会社、eコマースが柱、ざっくり1,000人規模
HTTP/2 Rapid Reset:記録的な攻撃を分解する(翻訳記事)
この記事は以下のブログの翻訳です。 公式翻訳が完了次第削除します。 技術情報に誤りがある場合、遠慮なく、むしろ積極的に@kameoncloudまで連絡下さい。 2023年8月25日から、多くのお客様を襲った異常に大規模なHTTP攻撃に気付き始めました。これらの攻撃は当社の自動DDoSシステムによって検知され、軽減されました。しかし、これらの攻撃が記録的な規模に達するまでそれほど時間はかかりませんでした。これは、過去最大の攻撃の約3倍の規模でした。 懸念されるのは、攻撃者がわずか2万台のボットネットでこのような攻撃を行えたという事実である。今日では、数十万台から数百万台のマシンで構成されるボットネットが存在する。ウェブ全体のリクエスト数は通常1秒間に10億から30億に過ぎないことを考えると、この方法を使えば、ウェブ全体のリクエストに相当するものを少数のターゲットに集中させることができる可能性
日経電子版がRFC 9116(security.txt)に対応した話 — HACK The Nikkei
Hack The Nikkei アドベントカレンダー2022の14日目はセキュリティチームがお届けします。セキュリティエンジニアの藤田です。 普段はクラウドセキュリティやウェブセキュリティに関するチーム横断的な企画や、プラス・セキュリティ人材に関する施策を実践しています。 本日は、2022年4月に公開された技術仕様RFC 9116 - A File Format to Aid in Security Vulnerability Disclosure(以下、RFC9116)に日経電子版が対応した話をご紹介します。 こちらの記事では日経電子版がRFC9116に対応したきっかけや、実際に公開するにあたって考慮したことを取り上げています。 まだ実際に対応された事例が少ないと感じましたので、新たに対応を検討される方の参考になれば幸いです。 対象読者 RFC9116(security.txt)を初めて
security.txt: Proposed standard for defining security policies
security.txt A proposed standard which allows websites to define security policies. Summary “When security risks in web services are discovered by independent security researchers who understand the severity of the risk, they often lack the channels to disclose them properly. As a result, security issues may be left unreported. security.txt defines a standard to help organizations define the proce
Hunting for Nginx Alias Traversals in the wild
Nginx, a versatile web server pivotal to numerous internet infrastructures, has held a dominant market share since its inception in 2004, with widespread adoption across websites and Docker containers. This article delves into the intricacies of Nginx, focusing on the location and alias directives that are central to how Nginx handles specific URLs. We also explore potential vulnerabilities arisin
富士通JapanのMICJETで相次ぎ発生した証明書誤交付についてまとめてみた - piyolog
2023年3月以降、富士通Japanが提供する地方公共団体向けの住民情報ソリューションである「MICJET」(ミックジェット)において、プログラム不具合に起因するシステム障害によりコンビニ交付サービスで他人の証明書が出力されるなどの誤交付が相次ぎ発生しています。ここでは関連する情報をまとめます。 証明書の誤交付が発生した地方公共団体 富士通Japanが提供する住民情報ソリューション「MICJET」に関連した誤交付が生じたのはこれまでに8つの地方公共団体。MICJETのコンビニ交付サービスにおいて住民票の写し、印鑑登録証明書などで誤交付が発生した。MICJETを導入している地方公共団体は全国で123。*1 誤交付を行った地方公共団体 誤交付された対象 誤交付を行っていた時期 横浜市 他人の住民票(個人番号あり)の写し1件(1名) 他人の住民票(個人番号無し)の写し5件(11名) 住民票記載事
nginx security advisories
All nginx security issues should be reported to security-alert@nginx.org. Patches are signed using one of the PGP public keys. NULL pointer dereference in HTTP/3 Severity: major Advisory CVE-2024-24989 Not vulnerable: 1.25.4+ Vulnerable: 1.25.3 Use-after-free in HTTP/3 Severity: major Advisory CVE-2024-24990 Not vulnerable: 1.25.4+ Vulnerable: 1.25.0-1.25.3 Memory corruption in the ngx_http_mp4_mo
マルチバイト文字とURL | 技術者ブログ | 三井物産セキュアディレクション株式会社
MBSDでWebアプリケーションスキャナの開発をしている寺田です。 前記事では正規表現でのURLのチェックについて書きました。今回はその続きでマルチバイト文字を使った攻撃について書きたいと思います。 前提条件 本記事で想定するのは、ブラウザからパラメータとして渡されて来るURLを、リダイレクトやリンク等のURLとして使うケースです。その中でも、以下のようにサブドメイン部分(★の部分)を可変にする状況を主に想定します。 https://★.example.jp/… 攻撃の目標は、異なるドメイン(evil)のURLを与えてチェックをすり抜けることです。前回の記事にも書きましたが、この状況は(半角英数等のサブドメインしか受け入れないような場合を除き)「/」「?」「#」「\」のいずれかをサブドメインに入れることで攻略できることが大半です。 今回はこれらの記号が全て使用できないように対策されているこ
ソフトウエアに安全基準 日米、サイバー防衛で覚書へ - 日本経済新聞
NIKKEI Primeについて 朝夕刊や電子版ではお伝えしきれない情報をお届けします。今後も様々な切り口でサービスを開始予定です。
マルチテナントにおけるRow Level Securityの具体的な実装と注意点 - そーだいなるらくがき帳
文脈、背景や問題点の説明 マルチテナントを実装するうえで企業情報(以下company)単位で最小限の情報を扱うようにしたいがcompany単位にTableを作ったりDatabaseを作るのはALTERなどの運用が大変。 そこでRLSを採用するために実際の技術検証をした上での注意点と実際の運用について必要な情報をまとめる。 PostgreSQL 14を前提としている 公式ドキュメント CREATE POLICY 必ず一読はすること。 困ったとき、わからないときはまずは公式ドキュメントを都度見ること。 このドキュメントのゴール RLSの概要をつかめる RLSの最低限の注意点を理解し、実装時に罠を踏まない 自分たちでRLSのポリシー自体をメンテナンスすることができ、デバッグできる テーブル構成 create table if not exists company ( id uuid defaul
SPAセキュリティ超入門 | ドクセル
スライド概要 SPA(Single Page Application)の普及が一層進んでおり、従来型のMPAを知らないウェブ開発者も生まれつつあるようです。SPA対応のフレームワークでは基本的な脆弱性については対策機能が用意されていますが、それにも関わらず、脆弱性診断等で基本的な脆弱性が指摘されるケースはむしろ増えつつあります。 本セッションでは、LaravelとReactで開発したアプリケーションをモデルとして、SQLインジェクション、クロスサイトスクリプティング、認可制御不備等の脆弱性の実例を紹介しながら、現実的な対策について紹介します。LaravelやReact以外のフレームワーク利用者にも役立つ説明を心がけます。 PHPカンファレンス2022での講演資料です。 PHPカンファレンスでの動画URL https://www.youtube.com/watch?v=jZ6sWyGxcCs
なぜWebサービスの選定においてSAML/SSOが重要なのか
この記事は corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #3 の最終日(25日目)です。 今年情シスSlackは3本のアドベントカレンダーが実施されておりますので、是非3本とも覗いていってください! 【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス) Advent Calendar 2020 #2corp-engr 情シスSlack(コーポレートエンジニア x 情シス)Advent Calendar 2020 #3また、情シスSlackはこちらの参加リンクから参加可能です 目次TL;DRクラウドネイティブな時代のビジネスではWebサービス活用は必須Webサービスをセキュアに利用していくには管理やセキュリティ面での工数・コストが増えるこの工数・コストを下げることこそがWebサービス
Automation of Terraform for AWS | メルカリエンジニアリング
本投稿は DPE Camp blog series の一部です。 こんにちは。 Platform Infra の Kenichi Sasaki (@siroken3) です。メルカリでは主にAWSの管理を業務にしています。今回の投稿ではAWS構成管理リポジトリのセキュアなCI/CD環境を構築した件について紹介します。 背景 メルカリにおけるAWSの役割 メルカリにおけるAWSの利用の歴史は古く、商品画像を格納するためのストレージとしてS3をサービス開始当初から採用しています。その他S3はMySQLデータベースのバックアップ先、パートナー各社様とのデータ連携のための AWS Transfer Family のバックエンドとして使用しています。また2014年当時のUSメルカリのサービス開始時のメインインフラはAWS上にありました。 直近ではお客さま電話窓口やサポート担当の稼働管理ツールとして
How I Hacked Google App Engine: Anatomy of a Java Bytecode Exploit
Back in college, I was very interested in Java bytecode. When I got an internship at Google in 2013, I was skeptical of the security of the Java version of Google App Engine and got permission to spend the last week of my internship doing a mini red team exercise, trying to break into App Engine. This is the story of how I found a vulnerability and developed an exploit to break out of the App Engi
The worst so-called “best practice” for Docker
Introduction to Dockerizing for Production Improve your DevOps skills: learn an iterative process for Dockerizing your code. Get your free ebook The worst so-called “best practice” for Docker by Itamar Turner-Trauring Last updated 01 Oct 2021, originally created 23 Mar 2021 Somebody is always wrong on the Internet, and bad Docker packaging advice is quite common. But one particular piece of advice
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
100台まで無料のVPNサービス「tailscale」、リンクだけでマシンのシェアも可能!?【イニシャルB】 - INTERNET Watch
