A painter and a black cat

# Security

{{toc}}

# Portal

piyolog

http://d.hatena.ne.jp/Kango/

Menthas - security

http://menthas.com/security

twitterセキュリティネタまとめ

http://twitmatome.bogus.jp/

サイバーセキュリティ研究所

http://www.wivern.com/index.html

Security NEXT

http://www.security-next.com/

トリコロールな猫/セキュリティ

http://www.nekotricolor.com/ https://note.mu/nekotricolor

offsec.tools

https://offsec.tools

>[セキュリティに関する様々なツールを収集、カテゴライズしている・「offsec.tools」](http://kachibito.net/useful-resource/offsec-tools)

# Article

「Webシステム／Webアプリケーションセキュリティ要件書 3.0」

https://github.com/ueno1000/secreq

Browser's XSS Filter Bypass Cheat Sheet

https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet http://masatokinugawa.l0.cm/2017/05/browsers-xss-filter-bypass-cheat-sheet.html

>ブラウザのXSSフィルターのバイパスをまとめたページを作りました。

(翻訳)セキュリティで飯食いたい人向けの行動指針

http://ken5scal.hatenablog.com/entry/2017/07/19/%28%E7%BF%BB%E8%A8%B3%29%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%A7%E9%A3%AF%E9%A3%9F%E3%81%84%E3%81%9F%E3%81%84%E4%BA%BA%E5%90%91%E3%81%91%E3%81%AE%E5%BF%83%E3%81%AE%E6%8C%81

Windows DLLプリロード攻撃の新しいパターンと防御法

https://ipmsg.org/dllpreload/dllpreload_attack.html

LPIC - Linux教科書

http://lpi.or.jp/linuxtext/admin.shtml

>Linuxにおけるセキュリティを学習・再認識するために最低限必要となる知識を学ぶために最適な教科書をLPICが作って、公開している。高い本を買わなくていいじゃん。

イギリス政府のセキュリティガイド

https://www.gov.uk/government/collections/end-user-devices-security-guidance

>これは政府職員が特定の環境を利用する際の標準手順です。単なる機能要件だけを示したガイドラインではなく，「システムへインストールする」ところから始めるstep by step方式のガイドとなっています。

>このシリーズにはWindowsやAndroid，iOS・OS X・Chrome OSを対象にしたものも存在しており，どれも「007の国が真剣に考えてみたらこうなりました」的な全力のセキュリティガイドとなっています。「セキュアな環境を準備せよ」とか，「社内標準の環境を策定せよ」と言われた場合に非常に便利です。

POSTD - Linux ワークステーションのためのセキュリティチェックリスト

http://postd.cc/linux-workstation-security-checklist-part1/

攻撃者が悪用するWindowsコマンド(2015-12-02)

https://www.jpcert.or.jp/magazine/acreport-wincommand.html

Webサービスにおけるログイン機能の仕様とセキュリティ観点

https://flattsecurity.hatenablog.com/entry/login_logic_security

仕様起因の脆弱性を防ぐ！開発者向けセキュリティチェックシート(Markdown)を公開しました

https://blog.flatt.tech/entry/spec_security_summary

CTF Cloud 問題の攻撃手法まとめ(2021年版)

https://scgajge12.hatenablog.com/entry/ctf_cloud_2021#6-%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB

脆弱性情報収集の基礎知識

https://miraitranslate-tech.hatenablog.jp/entry/vulnerability-info-collection

# Analysis

脆弱性情報収集の基礎知識

https://miraitranslate-tech.hatenablog.jp/entry/vulnerability-info-collection

【雑記】数千件のセキュリティ相談から学んだ対応方法

https://nikinusu.hatenablog.com/entry/2024/07/27/112312

セキュリティ監視入門

https://mztn.notion.site/4a1b43b9101c4f669f32f805b2393206

EPSS 脆弱性対応勉強会VR-02 資料 脆弱性: かろうじて可能な VR-02 情報

https://github.com/hogehuga/vulnRespStudyGroup/tree/master/studySession/vulnStudyVR02

実務における脅威モデリングを考えよう

https://speakerdeck.com/nikinusu/shi-wu-niokeruxie-wei-moderinguwokao-eyou

# Penetration

ペネトレーションテストのチートシート

https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/

ペンテスターが踏み台・データ流出するためのガイド

https://artkond.com/2017/03/23/pivoting-guide/

脆弱性診断につかえる実践的なテクニックを列挙してみた

https://cysec148.hatenablog.com/entry/2022/03/10/091955

# Scanner

Observatory by Mozilla

https://observatory.mozilla.org/

>このサイトをスキャンしたら芳しくない結果w

GitHub - future-architect/vuls

https://github.com/future-architect/vuls https://github.com/future-architect/vuls/blob/master/README.ja.md

> Linux用の脆弱性スキャナ。エージェントレス、スタンドアロン、RedHat系,Debian系に対応、Slackなどに日本語で通知、Go言語

>[Qiita - あなたのサーバは本当に安全ですか？今もっともイケてる脆弱性検知ツールVulsを使ってみた](http://qiita.com/sadayuki-matsuno/items/0bb8bb1689425bb9a21c)

GitHub - changeme

https://github.com/ztgrace/changeme

> A default credential scanner.

Binaryedge Ratemyip - 自分のグローバルIPを（簡単な）脆弱性診断してセキュリティリスクを評価してくれるサイト

https://www.binaryedge.io/ratemyip.html

Vulmon - 脆弱性に特化した検索エンジン。CVEの他、企業名や製品名などで検索できる

https://vulmon.com/

# Study

すみだセキュリティ勉強会

http://ozuma.sakura.ne.jp/sumida/

katagaitai主催 CTF勉強会

https://www.google.co.jp/search?q=katagaitai+CTF&ie=utf-8&oe=utf-8&hl=ja

Dentoo.LT

http://dentoo.lt/

ssmjp

http://ssmjp.connpass.com/

インフラ勉強会

https://wp.infra-workshop.tech/ [紹介資料](https://docs.google.com/presentation/d/1rUkBVuoOQKyTveSekDkJ_mWanXadwgTpuvDTleb--oM/edit?usp=sharing)

# IoT Security

黒林檎のお部屋

http://ruffnex.net/kuroringo/

物联网安全百科

https://iot-security.wiki/

>日本語翻訳するプラグインとか使って読むといいと思う

以下の3つが重要

### UART

「ファーム焼き終わりマーク」という印がICについてることが多いので、一番見つけやすい。

シェル取れたりする。

### SIP

### JTAG

一番難易度高い

# WAF

Web Application Firewall のこと

## OSI7階層モデルとの関係

パケットの流れる方向を→とした場合

| パケットの構成→       | データ  | HTMLヘッダ | TCPヘッダ | IPヘッダ | Etherヘッダ |

|------------------------|---------|------------|-----------|----------|-------------|

| だいたい何が入ってるか | HTMLとか| URLとか    | ポート番号とか | IPアドレスとか | MACアドレスとか |

| OSI7階層モデル         | アプリケーション層(7) | プレゼンテーション層(6)、セッション層(5) | トランスポート層(4) | ネットワーク層(3) | データリンク層(2) |

| セキュリティ機器が見る所 | WAF(HTTPの時だけ),IPS | WAF(HTTPの時だけ),IPS | ファイアウォール  | ファイアウォール  | MACアドレスフィルタリング機能を有するハードウェア |

| ネットワーク機器が見る所 |                       |                       | L3スイッチ,ルータ | L3スイッチ,ルータ | L2スイッチ,スイッチングハブ |

## どういうデータがWAFで止められるか

例 こういうログイン画面があったとする

~~~

 ID:[hoge        ] Password:[fuga        ]

~~~

するとWebサーバには、こんな感じで届く

~~~

ID=hoge;PASS=fuga

~~~

Webサーバは認証するためにこんな感じのSQLを発行する(プログラミングの中身の話)。

~~~

SELECT * FROM USER WHERE ID = '{$userId}' AND PASS = '{$passwd}'

~~~

> 厳密にはパスワードがハッシュ化されてたりするので、ちょっと違うと思うが。

さっきの入力に当てはめると

~~~

SELECT * FROM USER WHERE ID = 'hoge' AND PASS = 'fuga'

~~~

になる。仕様通り。でも、こんな怪しい入力にしたらどうだろう。

~~~

 ID:[hoge        ] Password:[' OR 'A' = 'A   ]

~~~

Webサーバの内部では、こんな感じに。。

~~~

SELECT * FROM USER WHERE ID = 'hoge' AND PASS = '' OR 'A' = 'A'

~~~

やべぇwwパスワード違っててもログインできる。っていうか、UNION句とか入れるとUPDATEやDELETEまで出来るんじゃね?ヤバくね?

これがSQLインジェクションでごわす。似たような理屈でOSコマンドインジェクションもある。

### これを防ぐにはどうするか

* 根本的には、Webサーバのプログラムソースを修正すべき

 * プレースホルダ(Bind変数)の使用

 * PreparedStatementの使用(Java)

 * 入力値のチェック(Validation)

 * 特別な意味を持つ記号のエスケープ処理(Sanitize)

でも、すぐ修正って訳にはいかないよね。。。現状のサービスも止めるわけにはいかないし。。。という事は多々ある。

この ' OR 'A' = 'A は、ウィルスでもないし、OSI7階層モデルで言うところのアプリケーション層にあるので、ファイアウォールも役に立たない。

プロコトル的にも正しい。こういう文字列のパスワードを禁止してなかったりして。

→WAFの出番です。WAFならOSI7階層モデルのアプリケーション層にあるデータを見て(ただしHTTPに限る)、通信を制御できます。

## WAFの分類

| ハード/ソフト | 機能      | 説明           | 運用上の課題/リスク | 備考 |

|---------------|-----------|----------------|---------------------|------|

| ネットワーク設置(ハード) | ブラックリスト | 不正なパターンを検出。シグネチャによるパターンマッチング。 | 偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増)

| ネットワーク設置(ハード) | ホワイトリスト | 正しいと定義した通信のみ通す。 | 偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増)

| Webサーバ内蔵(ソフト)    | ブラックリスト | 不正なパターンを検出。シグネチャによるパターンマッチング。| 偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増)| OSSで[ModSecurity](https://www.modsecurity.org/)がある |

| Webサーバ内蔵(ソフト)    | ホワイトリスト | 正しいと定義した通信のみ通す。 |  偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増) | OSSで[ModSecurity](https://www.modsecurity.org/)がある |

## WAFは、HTTPしか見れない(HTTPSは?)

HTTPSでの通信は暗号化されているので、途中にWAFを設置してもチェックできない。

なので、WAFでSSLを終端にしたりする。

~~~

                      ／ Webサーバ ＼

PC -- FireWall -- WAF ─ Webサーバ ─ APサーバ - DBサーバ

                      ＼ Webサーバ ／

←---- HTTPS ----→← HTTP →←- なんか別のプロコトル -→

                   *WAFでHTTPにしておけば、負荷分散もできる

~~~

# Wifiの暗号化

|暗号化方式 | 暗号化アルゴリズム | 完全性の検証 | 規格「WEP」 | 規格「WPA」 | 規格「WPA2」|

|-----------|--------------------|--------------|-------------|-------------|-------------|

|WEP        | RC4                | CRC32        | 必須        | -           | -           |

|TKIP       | RC4                | Michael      | -           | 必須        | 任意        |

|CCMP       | AES                | CCM          | -           | 任意        | 必須        |

トリコロールな猫/セキュリティ - 無線LANの暗号化方式について整理してみた

http://security.nekotricolor.com/entry/difference-in-wireless-lan-protocol-wep-wpa-wpa2-tkip-ccmp-aes

>とても解りやすい

【GW特別進行】家電量販店で売ってる無線ルータでセキュリティ対策がどこまで出来るのか

http://karasuma-kitaoji.hatenablog.com/entry/2017/05/03/011500

http://karasuma-kitaoji.hatenablog.com/entry/2017/05/04/013500

# SSL,TLS

SSLはもう古いTLSがおもしろい

TLS通信はどういう手順で行われるの？

http://itpro.nikkeibp.co.jp/atcl/column/16/072100153/072100004/?rt=nocnt

TLS徹底演習

https://speakerdeck.com/shigeki/tlsche-di-yan-xi

# Self-defense

ネット上で嫌がらせを受けた時の証拠の取り方

https://note.mu/chococircus/n/n30cbda22c644

# 制度/規格/標準化

STRIDE

https://docs.microsoft.com/ja-jp/azure/security/azure-security-threat-modeling-tool-getting-started

https://www.google.com/search?client=puffin-a&ei=uKDlWsvNCsix0gT5w5jgCA&q=STRIDE+脅威モデル&oq=STRIDE+脅威モデル

# Memo

インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」

http://free.drweb.co.jp/cureit/

Qiita - セキュリティエンジニア向けマテリアル

http://qiita.com/osada/items/9d776940a9907e041bfc

イー・アルゴリズム - SEが気づきにくいWebサイトの脆弱性の見つけ方

https://e-algorithm.xyz/vulnerability/

セキュリティエンジニアを目指す人に知っておいてほしい組織

https://engineers.ffri.jp/entry/2023/06/29/120625

Living off the land というサイバー攻撃の方法論

https://jpn.nec.com/cybersecurity/blog/220916/index.html