Security¶

• Security
• Portal
• Article
• Analysis
• Penetration
• Scanner
• Study
• IoT Security
  • • UART
    • SIP
    • JTAG
• WAF
  • OSI7階層モデルとの関係
  • どういうデータがWAFで止められるか
    • これを防ぐにはどうするか
  • WAFの分類
  • WAFは、HTTPしか見れない(HTTPSは?)
• Wifiの暗号化
• SSL,TLS
• Self-defense
• 制度/規格/標準化
• Memo

Portal¶

piyolog
http://d.hatena.ne.jp/Kango/

Menthas - security
http://menthas.com/security

twitterセキュリティネタまとめ
http://twitmatome.bogus.jp/

サイバーセキュリティ研究所
http://www.wivern.com/index.html

Security NEXT
http://www.security-next.com/

トリコロールな猫/セキュリティ
http://www.nekotricolor.com/ https://note.mu/nekotricolor

offsec.tools
https://offsec.tools

セキュリティに関する様々なツールを収集、カテゴライズしている・「offsec.tools」

Article¶

「Webシステム／Webアプリケーションセキュリティ要件書 3.0」
https://github.com/ueno1000/secreq

Browser's XSS Filter Bypass Cheat Sheet
https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet http://masatokinugawa.l0.cm/2017/05/browsers-xss-filter-bypass-cheat-sheet.html

ブラウザのXSSフィルターのバイパスをまとめたページを作りました。

(翻訳)セキュリティで飯食いたい人向けの行動指針
http://ken5scal.hatenablog.com/entry/2017/07/19/%28%E7%BF%BB%E8%A8%B3%29%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%A7%E9%A3%AF%E9%A3%9F%E3%81%84%E3%81%9F%E3%81%84%E4%BA%BA%E5%90%91%E3%81%91%E3%81%AE%E5%BF%83%E3%81%AE%E6%8C%81

Windows DLLプリロード攻撃の新しいパターンと防御法
https://ipmsg.org/dllpreload/dllpreload_attack.html

LPIC - Linux教科書
http://lpi.or.jp/linuxtext/admin.shtml

Linuxにおけるセキュリティを学習・再認識するために最低限必要となる知識を学ぶために最適な教科書をLPICが作って、公開している。高い本を買わなくていいじゃん。

イギリス政府のセキュリティガイド
https://www.gov.uk/government/collections/end-user-devices-security-guidance

これは政府職員が特定の環境を利用する際の標準手順です。単なる機能要件だけを示したガイドラインではなく，「システムへインストールする」ところから始めるstep by step方式のガイドとなっています。

このシリーズにはWindowsやAndroid，iOS・OS X・Chrome OSを対象にしたものも存在しており，どれも「007の国が真剣に考えてみたらこうなりました」的な全力のセキュリティガイドとなっています。「セキュアな環境を準備せよ」とか，「社内標準の環境を策定せよ」と言われた場合に非常に便利です。

POSTD - Linux ワークステーションのためのセキュリティチェックリスト
http://postd.cc/linux-workstation-security-checklist-part1/

攻撃者が悪用するWindowsコマンド(2015-12-02)
https://www.jpcert.or.jp/magazine/acreport-wincommand.html

Webサービスにおけるログイン機能の仕様とセキュリティ観点
https://flattsecurity.hatenablog.com/entry/login_logic_security

仕様起因の脆弱性を防ぐ！開発者向けセキュリティチェックシート(Markdown)を公開しました
https://blog.flatt.tech/entry/spec_security_summary

CTF Cloud 問題の攻撃手法まとめ(2021年版)
https://scgajge12.hatenablog.com/entry/ctf_cloud_2021#6-%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB

脆弱性情報収集の基礎知識
https://miraitranslate-tech.hatenablog.jp/entry/vulnerability-info-collection

Analysis¶

脆弱性情報収集の基礎知識
https://miraitranslate-tech.hatenablog.jp/entry/vulnerability-info-collection

【雑記】数千件のセキュリティ相談から学んだ対応方法
https://nikinusu.hatenablog.com/entry/2024/07/27/112312

セキュリティ監視入門
https://mztn.notion.site/4a1b43b9101c4f669f32f805b2393206

EPSS 脆弱性対応勉強会VR-02 資料 脆弱性: かろうじて可能な VR-02 情報
https://github.com/hogehuga/vulnRespStudyGroup/tree/master/studySession/vulnStudyVR02

実務における脅威モデリングを考えよう
https://speakerdeck.com/nikinusu/shi-wu-niokeruxie-wei-moderinguwokao-eyou

Penetration¶

ペネトレーションテストのチートシート
https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/

ペンテスターが踏み台・データ流出するためのガイド
https://artkond.com/2017/03/23/pivoting-guide/

脆弱性診断につかえる実践的なテクニックを列挙してみた
https://cysec148.hatenablog.com/entry/2022/03/10/091955

Scanner¶

Observatory by Mozilla
https://observatory.mozilla.org/

このサイトをスキャンしたら芳しくない結果w

GitHub - future-architect/vuls
https://github.com/future-architect/vuls https://github.com/future-architect/vuls/blob/master/README.ja.md

Linux用の脆弱性スキャナ。エージェントレス、スタンドアロン、RedHat系,Debian系に対応、Slackなどに日本語で通知、Go言語

Qiita - あなたのサーバは本当に安全ですか？今もっともイケてる脆弱性検知ツールVulsを使ってみた

GitHub - changeme
https://github.com/ztgrace/changeme

A default credential scanner.

Binaryedge Ratemyip - 自分のグローバルIPを（簡単な）脆弱性診断してセキュリティリスクを評価してくれるサイト
https://www.binaryedge.io/ratemyip.html

Vulmon - 脆弱性に特化した検索エンジン。CVEの他、企業名や製品名などで検索できる
https://vulmon.com/

Study¶

すみだセキュリティ勉強会
http://ozuma.sakura.ne.jp/sumida/

katagaitai主催 CTF勉強会
https://www.google.co.jp/search?q=katagaitai+CTF&ie=utf-8&oe=utf-8&hl=ja

Dentoo.LT
http://dentoo.lt/

ssmjp
http://ssmjp.connpass.com/

インフラ勉強会
https://wp.infra-workshop.tech/ 紹介資料

IoT Security¶

黒林檎のお部屋
http://ruffnex.net/kuroringo/

物联网安全百科
https://iot-security.wiki/

日本語翻訳するプラグインとか使って読むといいと思う

以下の3つが重要

UART¶

「ファーム焼き終わりマーク」という印がICについてることが多いので、一番見つけやすい。
シェル取れたりする。

SIP¶

JTAG¶

一番難易度高い

WAF¶

Web Application Firewall のこと

OSI7階層モデルとの関係¶

パケットの流れる方向を→とした場合

パケットの構成→	データ	HTMLヘッダ	TCPヘッダ	IPヘッダ	Etherヘッダ
だいたい何が入ってるか	HTMLとか	URLとか	ポート番号とか	IPアドレスとか	MACアドレスとか
OSI7階層モデル	アプリケーション層(7)	プレゼンテーション層(6)、セッション層(5)	トランスポート層(4)	ネットワーク層(3)	データリンク層(2)
セキュリティ機器が見る所	WAF(HTTPの時だけ),IPS	WAF(HTTPの時だけ),IPS	ファイアウォール	ファイアウォール	MACアドレスフィルタリング機能を有するハードウェア
ネットワーク機器が見る所			L3スイッチ,ルータ	L3スイッチ,ルータ	L2スイッチ,スイッチングハブ

どういうデータがWAFで止められるか¶

例 こういうログイン画面があったとする

 ID:[hoge        ] Password:[fuga        ]

するとWebサーバには、こんな感じで届く

ID=hoge;PASS=fuga

Webサーバは認証するためにこんな感じのSQLを発行する(プログラミングの中身の話)。

SELECT * FROM USER WHERE ID = '{$userId}' AND PASS = '{$passwd}'

厳密にはパスワードがハッシュ化されてたりするので、ちょっと違うと思うが。

さっきの入力に当てはめると

SELECT * FROM USER WHERE ID = 'hoge' AND PASS = 'fuga'

になる。仕様通り。でも、こんな怪しい入力にしたらどうだろう。

 ID:[hoge        ] Password:[' OR 'A' = 'A   ]

Webサーバの内部では、こんな感じに。。

SELECT * FROM USER WHERE ID = 'hoge' AND PASS = '' OR 'A' = 'A'

やべぇwwパスワード違っててもログインできる。っていうか、UNION句とか入れるとUPDATEやDELETEまで出来るんじゃね?ヤバくね?

これがSQLインジェクションでごわす。似たような理屈でOSコマンドインジェクションもある。

これを防ぐにはどうするか¶

• 根本的には、Webサーバのプログラムソースを修正すべき
  • プレースホルダ(Bind変数)の使用
  • PreparedStatementの使用(Java)
  • 入力値のチェック(Validation)
  • 特別な意味を持つ記号のエスケープ処理(Sanitize)

でも、すぐ修正って訳にはいかないよね。。。現状のサービスも止めるわけにはいかないし。。。という事は多々ある。

この ' OR 'A' = 'A は、ウィルスでもないし、OSI7階層モデルで言うところのアプリケーション層にあるので、ファイアウォールも役に立たない。
プロコトル的にも正しい。こういう文字列のパスワードを禁止してなかったりして。

→WAFの出番です。WAFならOSI7階層モデルのアプリケーション層にあるデータを見て(ただしHTTPに限る)、通信を制御できます。

WAFの分類¶

ハード/ソフト	機能	説明	運用上の課題/リスク	備考
ネットワーク設置(ハード)	ブラックリスト	不正なパターンを検出。シグネチャによるパターンマッチング。	偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増)
ネットワーク設置(ハード)	ホワイトリスト	正しいと定義した通信のみ通す。	偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増)
Webサーバ内蔵(ソフト)	ブラックリスト	不正なパターンを検出。シグネチャによるパターンマッチング。	偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増)	OSSでModSecurityがある
Webサーバ内蔵(ソフト)	ホワイトリスト	正しいと定義した通信のみ通す。	偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増)	OSSでModSecurityがある

WAFは、HTTPしか見れない(HTTPSは?)¶

HTTPSでの通信は暗号化されているので、途中にWAFを設置してもチェックできない。
なので、WAFでSSLを終端にしたりする。

                      ／ Webサーバ ＼
PC -- FireWall -- WAF ─ Webサーバ ─ APサーバ - DBサーバ
                      ＼ Webサーバ ／

←---- HTTPS ----→← HTTP →←- なんか別のプロコトル -→

                   *WAFでHTTPにしておけば、負荷分散もできる

Wifiの暗号化¶

暗号化方式	暗号化アルゴリズム	完全性の検証	規格「WEP」	規格「WPA」	規格「WPA2」
WEP	RC4	CRC32	必須	-	-
TKIP	RC4	Michael	-	必須	任意
CCMP	AES	CCM	-	任意	必須

トリコロールな猫/セキュリティ - 無線LANの暗号化方式について整理してみた
http://security.nekotricolor.com/entry/difference-in-wireless-lan-protocol-wep-wpa-wpa2-tkip-ccmp-aes

とても解りやすい

【GW特別進行】家電量販店で売ってる無線ルータでセキュリティ対策がどこまで出来るのか
http://karasuma-kitaoji.hatenablog.com/entry/2017/05/03/011500
http://karasuma-kitaoji.hatenablog.com/entry/2017/05/04/013500

SSL,TLS¶

SSLはもう古いTLSがおもしろい
TLS通信はどういう手順で行われるの？
http://itpro.nikkeibp.co.jp/atcl/column/16/072100153/072100004/?rt=nocnt

TLS徹底演習
https://speakerdeck.com/shigeki/tlsche-di-yan-xi

Self-defense¶

ネット上で嫌がらせを受けた時の証拠の取り方
https://note.mu/chococircus/n/n30cbda22c644

制度/規格/標準化¶

STRIDE
https://docs.microsoft.com/ja-jp/azure/security/azure-security-threat-modeling-tool-getting-started
https://www.google.com/search?client=puffin-a&ei=uKDlWsvNCsix0gT5w5jgCA&q=STRIDE+脅威モデル&oq=STRIDE+脅威モデル

Memo¶

インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」
http://free.drweb.co.jp/cureit/

Qiita - セキュリティエンジニア向けマテリアル
http://qiita.com/osada/items/9d776940a9907e041bfc

イー・アルゴリズム - SEが気づきにくいWebサイトの脆弱性の見つけ方
https://e-algorithm.xyz/vulnerability/

セキュリティエンジニアを目指す人に知っておいてほしい組織
https://engineers.ffri.jp/entry/2023/06/29/120625

Living off the land というサイバー攻撃の方法論
https://jpn.nec.com/cybersecurity/blog/220916/index.html