クラウドサービスを脆弱性診断する時のお作法 - とある診断員の備忘録
「とある診断員の備忘録」というタイトルのわりに、ブログを始めてから今まで脆弱性診断に関することを一切書いていなかったことに気づいたので、そろそろ脆弱性診断ネタを書こうかと思います。 今回はクラウドプラットフォームに対する脆弱性診断の小ネタです。 クラウドサービスを診断する時のお作法って? 私が脆弱性診断をやり始めた駆け出しの頃では、オンプレ環境の診断対象が多かったのですが、最近ではクラウドプラットフォームなどの利用が当たり前となったため、クラウド環境の診断対象と沢山エンカウントします。 クラウド環境に対して脆弱性診断を実施する場合には、実はいくつか抑えておくべきお作法があります。 1. クラウド事業者側に診断事前に申請が必要な場合がある 脆弱性診断の種類にもよりますが、ブラックボックステストでは疑似的な攻撃を実施して脆弱性の有無を判定するため、不正アクセスとして検知される可能性もあります。
Microsoft Security Response Center
BlueHat October 2023 Call for Papers is Now Open! Thursday, July 27, 2023 As you may have seen on social media, the next BlueHat conference will be October 11 – 12, 2023, on Microsoft’s Redmond campus in Washington state, USA. The Call for Papers (CFP) is now open through August 18, 2023. The BlueHat community is a unique blend of security researchers and responders from both inside and outside of
脆弱性報奨金制度 | サイボウズ株式会社
参加条件 以下の条件を満たした方は、どなたでも参加いただけます。 報告時においてサイボウズまたはサイボウズの子会社の従業員ではないこと 報告時において業務委託契約、出向契約、派遣契約等の契約形態により、サイボウズまたはサイボウズの子会社の業務に従事していないこと 報告日の過去1年間 にサイボウズまたはサイボウズの子会社において正社員として雇用されていないこと 報告日の過去1年間 にサイボウズまたはサイボウズの子会社において製品開発及びクラウドサービスの運用関連業務に従事していないこと 日本語または英語でCy-PSIRTとコミュニケーションできること 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。 規約 に同意いただけること 制限・禁止事項 下記の項目に反した検証の実施を検出した場合、その他適切な運用に支障が出ると弊社が判断した場合、検証実施者の方に事前の
commons-collectionsのInvokerTransformer脆弱性について - R42日記
2015-11-12 追記あり。「SpringとGroovyにも直列化オブジェクト脆弱性」も参照してください。 昨日からJava界隈で話題になっているcommons-collectionsの脆弱性について。 元ネタはこちら。 対応するチケットはこちら。 InvokerTransformerなんてクラスは初めて知りましたが、そりゃこういうことになりますよねぇ…というのが感想です。 影響を受けるシステム InvokerTransformerはcommons-collectionsとcommons-collections4の両方に存在しています。 いずれかのライブラリ(commons-collections.jarまたはcommons-collections4.jar)がクラスパスに存在しているとき、 以下のいずれかの条件を満たしていると攻撃が成立する可能性があります。 直列化したオブジェクトを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
