Security » 履歴 » リビジョン 2
リビジョン 1 (kanata, 2025/04/13 15:34) → リビジョン 2/3 (kanata, 2025/11/03 20:00)
# Security
{{toc}}
# Portal
piyolog
http://d.hatena.ne.jp/Kango/
Menthas - security
http://menthas.com/security
twitterセキュリティネタまとめ
http://twitmatome.bogus.jp/
サイバーセキュリティ研究所
http://www.wivern.com/index.html
Security NEXT
http://www.security-next.com/
トリコロールな猫/セキュリティ
http://www.nekotricolor.com/ https://note.mu/nekotricolor
offsec.tools
https://offsec.tools
>[セキュリティに関する様々なツールを収集、カテゴライズしている・「offsec.tools」](http://kachibito.net/useful-resource/offsec-tools)
# Article
「Webシステム/Webアプリケーションセキュリティ要件書 3.0」
https://github.com/ueno1000/secreq
Browser's XSS Filter Bypass Cheat Sheet
https://github.com/masatokinugawa/filterbypass/wiki/Browser's-XSS-Filter-Bypass-Cheat-Sheet http://masatokinugawa.l0.cm/2017/05/browsers-xss-filter-bypass-cheat-sheet.html
>ブラウザのXSSフィルターのバイパスをまとめたページを作りました。
(翻訳)セキュリティで飯食いたい人向けの行動指針
http://ken5scal.hatenablog.com/entry/2017/07/19/%28%E7%BF%BB%E8%A8%B3%29%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3%E3%81%A7%E9%A3%AF%E9%A3%9F%E3%81%84%E3%81%9F%E3%81%84%E4%BA%BA%E5%90%91%E3%81%91%E3%81%AE%E5%BF%83%E3%81%AE%E6%8C%81
Windows DLLプリロード攻撃の新しいパターンと防御法
https://ipmsg.org/dllpreload/dllpreload_attack.html
LPIC - Linux教科書
http://lpi.or.jp/linuxtext/admin.shtml
>Linuxにおけるセキュリティを学習・再認識するために最低限必要となる知識を学ぶために最適な教科書をLPICが作って、公開している。高い本を買わなくていいじゃん。
イギリス政府のセキュリティガイド
https://www.gov.uk/government/collections/end-user-devices-security-guidance
>これは政府職員が特定の環境を利用する際の標準手順です。単なる機能要件だけを示したガイドラインではなく,「システムへインストールする」ところから始めるstep by step方式のガイドとなっています。
>このシリーズにはWindowsやAndroid,iOS・OS X・Chrome OSを対象にしたものも存在しており,どれも「007の国が真剣に考えてみたらこうなりました」的な全力のセキュリティガイドとなっています。「セキュアな環境を準備せよ」とか,「社内標準の環境を策定せよ」と言われた場合に非常に便利です。
POSTD - Linux ワークステーションのためのセキュリティチェックリスト
http://postd.cc/linux-workstation-security-checklist-part1/
攻撃者が悪用するWindowsコマンド(2015-12-02)
https://www.jpcert.or.jp/magazine/acreport-wincommand.html
Webサービスにおけるログイン機能の仕様とセキュリティ観点
https://flattsecurity.hatenablog.com/entry/login_logic_security
仕様起因の脆弱性を防ぐ!開発者向けセキュリティチェックシート(Markdown)を公開しました
https://blog.flatt.tech/entry/spec_security_summary
CTF Cloud 問題の攻撃手法まとめ(2021年版)
https://scgajge12.hatenablog.com/entry/ctf_cloud_2021#6-%E7%B5%82%E3%82%8F%E3%82%8A%E3%81%AB
脆弱性情報収集の基礎知識
https://miraitranslate-tech.hatenablog.jp/entry/vulnerability-info-collection
サイバーセキュリティ情報インプット集 2025年版
https://qiita.com/secubot5/items/c49a412ecb1ff49c836a
# Analysis
脆弱性情報収集の基礎知識
https://miraitranslate-tech.hatenablog.jp/entry/vulnerability-info-collection
【雑記】数千件のセキュリティ相談から学んだ対応方法
https://nikinusu.hatenablog.com/entry/2024/07/27/112312
セキュリティ監視入門
https://mztn.notion.site/4a1b43b9101c4f669f32f805b2393206
EPSS 脆弱性対応勉強会VR-02 資料 脆弱性: かろうじて可能な VR-02 情報
https://github.com/hogehuga/vulnRespStudyGroup/tree/master/studySession/vulnStudyVR02
実務における脅威モデリングを考えよう
https://speakerdeck.com/nikinusu/shi-wu-niokeruxie-wei-moderinguwokao-eyou
# Penetration
ペネトレーションテストのチートシート
https://highon.coffee/blog/penetration-testing-tools-cheat-sheet/
ペンテスターが踏み台・データ流出するためのガイド
https://artkond.com/2017/03/23/pivoting-guide/
脆弱性診断につかえる実践的なテクニックを列挙してみた
https://cysec148.hatenablog.com/entry/2022/03/10/091955
# Scanner
Observatory by Mozilla
https://observatory.mozilla.org/
>このサイトをスキャンしたら芳しくない結果w
GitHub - future-architect/vuls
https://github.com/future-architect/vuls https://github.com/future-architect/vuls/blob/master/README.ja.md
> Linux用の脆弱性スキャナ。エージェントレス、スタンドアロン、RedHat系,Debian系に対応、Slackなどに日本語で通知、Go言語
>[Qiita - あなたのサーバは本当に安全ですか?今もっともイケてる脆弱性検知ツールVulsを使ってみた](http://qiita.com/sadayuki-matsuno/items/0bb8bb1689425bb9a21c)
GitHub - changeme
https://github.com/ztgrace/changeme
> A default credential scanner.
Binaryedge Ratemyip - 自分のグローバルIPを(簡単な)脆弱性診断してセキュリティリスクを評価してくれるサイト
https://www.binaryedge.io/ratemyip.html
Vulmon - 脆弱性に特化した検索エンジン。CVEの他、企業名や製品名などで検索できる
https://vulmon.com/
# Study
すみだセキュリティ勉強会
http://ozuma.sakura.ne.jp/sumida/
katagaitai主催 CTF勉強会
https://www.google.co.jp/search?q=katagaitai+CTF&ie=utf-8&oe=utf-8&hl=ja
Dentoo.LT
http://dentoo.lt/
ssmjp
http://ssmjp.connpass.com/
インフラ勉強会
https://wp.infra-workshop.tech/ [紹介資料](https://docs.google.com/presentation/d/1rUkBVuoOQKyTveSekDkJ_mWanXadwgTpuvDTleb--oM/edit?usp=sharing)
# IoT Security
黒林檎のお部屋
http://ruffnex.net/kuroringo/
物联网安全百科
https://iot-security.wiki/
>日本語翻訳するプラグインとか使って読むといいと思う
以下の3つが重要
### UART
「ファーム焼き終わりマーク」という印がICについてることが多いので、一番見つけやすい。
シェル取れたりする。
### SIP
### JTAG
一番難易度高い
# WAF
Web Application Firewall のこと
## OSI7階層モデルとの関係
パケットの流れる方向を→とした場合
| パケットの構成→ | データ | HTMLヘッダ | TCPヘッダ | IPヘッダ | Etherヘッダ |
|------------------------|---------|------------|-----------|----------|-------------|
| だいたい何が入ってるか | HTMLとか| URLとか | ポート番号とか | IPアドレスとか | MACアドレスとか |
| OSI7階層モデル | アプリケーション層(7) | プレゼンテーション層(6)、セッション層(5) | トランスポート層(4) | ネットワーク層(3) | データリンク層(2) |
| セキュリティ機器が見る所 | WAF(HTTPの時だけ),IPS | WAF(HTTPの時だけ),IPS | ファイアウォール | ファイアウォール | MACアドレスフィルタリング機能を有するハードウェア |
| ネットワーク機器が見る所 | | | L3スイッチ,ルータ | L3スイッチ,ルータ | L2スイッチ,スイッチングハブ |
## どういうデータがWAFで止められるか
例 こういうログイン画面があったとする
~~~
ID:[hoge ] Password:[fuga ]
~~~
するとWebサーバには、こんな感じで届く
~~~
ID=hoge;PASS=fuga
~~~
Webサーバは認証するためにこんな感じのSQLを発行する(プログラミングの中身の話)。
~~~
SELECT * FROM USER WHERE ID = '{$userId}' AND PASS = '{$passwd}'
~~~
> 厳密にはパスワードがハッシュ化されてたりするので、ちょっと違うと思うが。
さっきの入力に当てはめると
~~~
SELECT * FROM USER WHERE ID = 'hoge' AND PASS = 'fuga'
~~~
になる。仕様通り。でも、こんな怪しい入力にしたらどうだろう。
~~~
ID:[hoge ] Password:[' OR 'A' = 'A ]
~~~
Webサーバの内部では、こんな感じに。。
~~~
SELECT * FROM USER WHERE ID = 'hoge' AND PASS = '' OR 'A' = 'A'
~~~
やべぇwwパスワード違っててもログインできる。っていうか、UNION句とか入れるとUPDATEやDELETEまで出来るんじゃね?ヤバくね?
これがSQLインジェクションでごわす。似たような理屈でOSコマンドインジェクションもある。
### これを防ぐにはどうするか
* 根本的には、Webサーバのプログラムソースを修正すべき
* プレースホルダ(Bind変数)の使用
* PreparedStatementの使用(Java)
* 入力値のチェック(Validation)
* 特別な意味を持つ記号のエスケープ処理(Sanitize)
でも、すぐ修正って訳にはいかないよね。。。現状のサービスも止めるわけにはいかないし。。。という事は多々ある。
この ' OR 'A' = 'A は、ウィルスでもないし、OSI7階層モデルで言うところのアプリケーション層にあるので、ファイアウォールも役に立たない。
プロコトル的にも正しい。こういう文字列のパスワードを禁止してなかったりして。
→WAFの出番です。WAFならOSI7階層モデルのアプリケーション層にあるデータを見て(ただしHTTPに限る)、通信を制御できます。
## WAFの分類
| ハード/ソフト | 機能 | 説明 | 運用上の課題/リスク | 備考 |
|---------------|-----------|----------------|---------------------|------|
| ネットワーク設置(ハード) | ブラックリスト | 不正なパターンを検出。シグネチャによるパターンマッチング。 | 偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増)
| ネットワーク設置(ハード) | ホワイトリスト | 正しいと定義した通信のみ通す。 | 偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増)
| Webサーバ内蔵(ソフト) | ブラックリスト | 不正なパターンを検出。シグネチャによるパターンマッチング。| 偽陽性(false positive)…異常なパケットを正常とみなしてしまうこと。 日々の更新が必要(ランニングコスト増)| OSSで[ModSecurity](https://www.modsecurity.org/)がある |
| Webサーバ内蔵(ソフト) | ホワイトリスト | 正しいと定義した通信のみ通す。 | 偽陰性(false negative)…正常なパケットを異常とみなしてしまうこと。 新しい画面や業務は都度ホワイトリストに追加(開発コスト増) | OSSで[ModSecurity](https://www.modsecurity.org/)がある |
## WAFは、HTTPしか見れない(HTTPSは?)
HTTPSでの通信は暗号化されているので、途中にWAFを設置してもチェックできない。
なので、WAFでSSLを終端にしたりする。
~~~
/ Webサーバ \
PC -- FireWall -- WAF ─ Webサーバ ─ APサーバ - DBサーバ
\ Webサーバ /
←---- HTTPS ----→← HTTP →←- なんか別のプロコトル -→
*WAFでHTTPにしておけば、負荷分散もできる
~~~
# Wifiの暗号化
|暗号化方式 | 暗号化アルゴリズム | 完全性の検証 | 規格「WEP」 | 規格「WPA」 | 規格「WPA2」|
|-----------|--------------------|--------------|-------------|-------------|-------------|
|WEP | RC4 | CRC32 | 必須 | - | - |
|TKIP | RC4 | Michael | - | 必須 | 任意 |
|CCMP | AES | CCM | - | 任意 | 必須 |
トリコロールな猫/セキュリティ - 無線LANの暗号化方式について整理してみた
http://security.nekotricolor.com/entry/difference-in-wireless-lan-protocol-wep-wpa-wpa2-tkip-ccmp-aes
>とても解りやすい
【GW特別進行】家電量販店で売ってる無線ルータでセキュリティ対策がどこまで出来るのか
http://karasuma-kitaoji.hatenablog.com/entry/2017/05/03/011500
http://karasuma-kitaoji.hatenablog.com/entry/2017/05/04/013500
# SSL,TLS
SSLはもう古いTLSがおもしろい
TLS通信はどういう手順で行われるの?
http://itpro.nikkeibp.co.jp/atcl/column/16/072100153/072100004/?rt=nocnt
TLS徹底演習
https://speakerdeck.com/shigeki/tlsche-di-yan-xi
# Self-defense
ネット上で嫌がらせを受けた時の証拠の取り方
https://note.mu/chococircus/n/n30cbda22c644
# 制度/規格/標準化
STRIDE
https://docs.microsoft.com/ja-jp/azure/security/azure-security-threat-modeling-tool-getting-started
https://www.google.com/search?client=puffin-a&ei=uKDlWsvNCsix0gT5w5jgCA&q=STRIDE+脅威モデル&oq=STRIDE+脅威モデル
# Memo
インストール不要の非常駐型セキュリティソフト「Dr.Web CureIt!」
http://free.drweb.co.jp/cureit/
Qiita - セキュリティエンジニア向けマテリアル
http://qiita.com/osada/items/9d776940a9907e041bfc
イー・アルゴリズム - SEが気づきにくいWebサイトの脆弱性の見つけ方
https://e-algorithm.xyz/vulnerability/
セキュリティエンジニアを目指す人に知っておいてほしい組織
https://engineers.ffri.jp/entry/2023/06/29/120625
Living off the land というサイバー攻撃の方法論
https://jpn.nec.com/cybersecurity/blog/220916/index.html