Security

Portal

piyolog
http://d.hatena.ne.jp/Kango/

Menthas - security
http://menthas.com/security

twitterセキュリティネタまとめ
http://twitmatome.bogus.jp/

サイバーセキュリティ研究所
http://www.wivern.com/index.html

Security NEXT
http://www.security-next.com/

トリコロールな猫/セキュリティ
http://www.nekotricolor.com/ https://note.mu/nekotricolor

セキュリティ site:slideshare.net - 1週間以内
https://www.google.co.jp/search?q=slideshare&oq=slideshare&aqs=chrome..69i57j69i59j69i60l4.2368j0j8&sourceid=chrome&es_sm=93&ie=UTF-8#tbs=qdr:w&q=%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3+site:slideshare.net

Article

Browser's XSS Filter Bypass Cheat Sheet
https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet http://masatokinugawa.l0.cm/2017/05/browsers-xss-filter-bypass-cheat-sheet.html

ブラウザのXSSフィルターのバイパスをまとめたページを作りました。

(翻訳)セキュリティで飯食いたい人向けの行動指針
http://ken5scal.hatenablog.com/entry/2017/07/19/%28%E7%BF%BB%E8%A8%B3%29%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%A7%E9%A3%AF%E9%A3%9F%E3%81%84%E3%81%9F%E3%81%84%E4%BA%BA%E5%90%91%E3%81%91%E3%81%AE%E5%BF%83%E3%81%AE%E6%8C%81

Windows DLLプリロード攻撃の新しいパターンと防御法
https://ipmsg.org/dllpreload/dllpreload_attack.html

LPIC - Linux教科書
http://lpi.or.jp/linuxtext/admin.shtml

Linuxにおけるセキュリティを学習・再認識するために最低限必要となる知識を学ぶために最適な教科書をLPICが作って、公開している。高い本を買わなくていいじゃん。

イギリス政府のセキュリティガイド
https://www.gov.uk/government/collections/end-user-devices-security-guidance

これは政府職員が特定の環境を利用する際の標準手順です。単なる機能要件だけを示したガイドラインではなく,「システムへインストールする」ところから始めるstep by step方式のガイドとなっています。

このシリーズにはWindowsやAndroid,iOS・OS X・Chrome OSを対象にしたものも存在しており,どれも「007の国が真剣に考えてみたらこうなりました」的な全力のセキュリティガイドとなっています。「セキュアな環境を準備せよ」とか,「社内標準の環境を策定せよ」と言われた場合に非常に便利です。

POSTD - Linux ワークステーションのためのセキュリティチェックリスト
http://postd.cc/linux-workstation-security-checklist-part1/

攻撃者が悪用するWindowsコマンド(2015-12-02)
https://www.jpcert.or.jp/magazine/acreport-wincommand.html

Penetration

ペネトレーションテストのチートシート
https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/

ペンテスターが踏み台・データ流出するためのガイド
https://artkond.com/2017/03/23/pivoting-guide/

Scanner

Observatory by Mozilla
https://observatory.mozilla.org/

このサイトをスキャンしたら芳しくない結果w

GitHub - future-architect/vuls
https://github.com/future-architect/vuls https://github.com/future-architect/vuls/blob/master/README.ja.md

Linux用の脆弱性スキャナ。エージェントレス、スタンドアロン、RedHat系,Debian系に対応、Slackなどに日本語で通知、Go言語

Qiita - あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた

GitHub - changeme
https://github.com/ztgrace/changeme

A default credential scanner.

Binaryedge Ratemyip - 自分のグローバルIPを(簡単な)脆弱性診断してセキュリティリスクを評価してくれるサイト
https://www.binaryedge.io/ratemyip.html

Vulmon - 脆弱性に特化した検索エンジン。CVEの他、企業名や製品名などで検索できる
https://vulmon.com/

Study

すみだセキュリティ勉強会
http://ozuma.sakura.ne.jp/sumida/

katagaitai主催 CTF勉強会
https://www.google.co.jp/search?q=katagaitai+CTF&ie=utf-8&oe=utf-8&hl=ja

Dentoo.LT
http://dentoo.lt/

ssmjp
http://ssmjp.connpass.com/

インフラ勉強会
https://wp.infra-workshop.tech/ 紹介資料

IoT Security

黒林檎のお部屋
http://ruffnex.net/kuroringo/

以下の3つが重要

UART

「ファーム焼き終わりマーク」という印がICについてることが多いので、一番見つけやすい。
シェル取れたりする。

SIP

JTAG

一番難易度高い

WAF

Web Application Firewall のこと

OSI7階層モデルとの関係

パケットの流れる方向を→とした場合

パケットの構成→ データ HTMLヘッダ TCPヘッダ IPヘッダ Etherヘッダ
だいたい何が入ってるか HTMLとか URLとか ポート番号とか IPアドレスとか MACアドレスとか
OSI7階層モデル アプリケーション層(7) プレゼンテーション層(6)、セッション層(5) トランスポート層(4) ネットワーク層(3) データリンク層(2)
セキュリティ機器が見る所 WAF(HTTPの時だけ),IPS WAF(HTTPの時だけ),IPS ファイアウォール ファイアウォール MACアドレスフィルタリング機能を有するハードウェア
ネットワーク機器が見る所 L3スイッチ,ルータ L3スイッチ,ルータ L2スイッチ,スイッチングハブ

どういうデータがWAFで止められるか

例 こういうログイン画面があったとする

 ID:[hoge        ] Password:[fuga        ]

するとWebサーバには、こんな感じで届く

ID=hoge;PASS=fuga

Webサーバは認証するためにこんな感じのSQLを発行する(プログラミングの中身の話)。

SELECT * FROM USER WHERE ID = '{$userId}' AND PASS = '{$passwd}'

厳密にはパスワードがハッシュ化されてたりするので、ちょっと違うと思うが。

さっきの入力に当てはめると

SELECT * FROM USER WHERE ID = 'hoge' AND PASS = 'fuga'

になる。仕様通り。でも、こんな怪しい入力にしたらどうだろう。

 ID:[hoge        ] Password:[' OR 'A' = 'A   ]

Webサーバの内部では、こんな感じに。。

SELECT * FROM USER WHERE ID = 'hoge' AND PASS = '' OR 'A' = 'A'

やべぇwwパスワード違っててもログインできる。っていうか、UNION句とか入れるとUPDATEやDELETEまで出来るんじゃね?ヤバくね?

これがSQLインジェクションでごわす。似たような理屈でOSコマンドインジェクションもある。

これを防ぐにはどうするか

  • 根本的には、Webサーバのプログラムソースを修正すべき
    • プレースホルダ(Bind変数)の使用
    • PreparedStatementの使用(Java)
    • 入力値のチェック(Validation)
    • 特別な意味を持つ記号のエスケープ処理(Sanitize)

でも、すぐ修正って訳にはいかないよね。。。現状のサービスも止めるわけにはいかないし。。。という事は多々ある。

この ' OR 'A' = 'A は、ウィルスでもないし、OSI7階層モデルで言うところのアプリケーション層にあるので、ファイアウォールも役に立たない。
プロコトル的にも正しい。こういう文字列のパスワードを禁止してなかったりして。

→WAFの出番です。WAFならOSI7階層モデルのアプリケーション層にあるデータを見て(ただしHTTPに限る)、通信を制御できます。

WAFの分類

ハード/ソフト 機能 説明 運用上の課題/リスク 備考
ネットワーク設置(ハード) ブラックリスト 不正なパターンを検出。シグネチャによるパターンマッチング。 偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増)
ネットワーク設置(ハード) ホワイトリスト 正しいと定義した通信のみ通す。 偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増)
Webサーバ内蔵(ソフト) ブラックリスト 不正なパターンを検出。シグネチャによるパターンマッチング。 偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増) OSSでModSecurityがある
Webサーバ内蔵(ソフト) ホワイトリスト 正しいと定義した通信のみ通す。 偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増) OSSでModSecurityがある

WAFは、HTTPしか見れない(HTTPSは?)

HTTPSでの通信は暗号化されているので、途中にWAFを設置してもチェックできない。
なので、WAFでSSLを終端にしたりする。

                      / Webサーバ \
PC -- FireWall -- WAF ─ Webサーバ ─ APサーバ - DBサーバ
                      \ Webサーバ /

←---- HTTPS ----→← HTTP →←- なんか別のプロコトル -→

                   *WAFでHTTPにしておけば、負荷分散もできる

Wifiの暗号化

暗号化方式 暗号化アルゴリズム 完全性の検証 規格「WEP」 規格「WPA」 規格「WPA2」
WEP RC4 CRC32 必須 - -
TKIP RC4 Michael - 必須 任意
CCMP AES CCM - 任意 必須

トリコロールな猫/セキュリティ - 無線LANの暗号化方式について整理してみた
http://security.nekotricolor.com/entry/difference-in-wireless-lan-protocol-wep-wpa-wpa2-tkip-ccmp-aes

とても解りやすい

【GW特別進行】家電量販店で売ってる無線ルータでセキュリティ対策がどこまで出来るのか
http://karasuma-kitaoji.hatenablog.com/entry/2017/05/03/011500
http://karasuma-kitaoji.hatenablog.com/entry/2017/05/04/013500

SSL,TLS

SSLはもう古いTLSがおもしろい
TLS通信はどういう手順で行われるの?
http://itpro.nikkeibp.co.jp/atcl/column/16/072100153/072100004/?rt=nocnt

TLS徹底演習
https://speakerdeck.com/shigeki/tlsche-di-yan-xi

Self-defense

ネット上で嫌がらせを受けた時の証拠の取り方
https://note.mu/chococircus/n/n30cbda22c644

制度/規格/標準化

STRIDE
https://docs.microsoft.com/ja-jp/azure/security/azure-security-threat-modeling-tool-getting-started
https://www.google.com/search?client=puffin-a&ei=uKDlWsvNCsix0gT5w5jgCA&q=STRIDE+脅威モデル&oq=STRIDE+脅威モデル

Memo

インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」
http://free.drweb.co.jp/cureit/

Qiita - セキュリティエンジニア向けマテリアル
http://qiita.com/osada/items/9d776940a9907e041bfc

イー・アルゴリズム - SEが気づきにくいWebサイトの脆弱性の見つけ方
https://e-algorithm.xyz/vulnerability/

クリップボードから画像を追加 (サイズの上限: 100 MB)