例えば、Content-Typeメタデータの値を細工したオブジェクトを取得させることでXSSを発生させたり、Content-Dispositionメタデータを細工してRFD (Reflected File Download) を引き起こしたり、 x-amz-storage-classメタデータを操作して意図せぬストレージクラスを使用させEDoS (Economical Deninal of Sustainability)を発生させたり、といった攻撃が成立する可能性があります。 中でもContent-Typeを悪用したXSSは、S3の仕様や使用方法だけでなく、ブラウザの挙動にも注意を払う必要があり、アプリ開発者は攻撃の原理と対処を理解しておく必要があります。 9/21にAzaraさんとSecurity-JAWSのコラボで、この問題にフォーカスしたCTFイベント「とある海豹とSecurity-
認可コードグラント RFC 6749で定義されるOAuthの認可コードグラントでは、認可サーバの実装として、認可エンドポイントとトークンエンドポイントの2つが必要です。リクエストは大きく分けて認可リクエスト (Authorization Request) およびトークンリクエスト (Access Token Request) の2つに分けられます。 全体のシーケンス図は以下の通りです。 PlantUMLのソースコード @startuml @startuml title 認可コードグラントにおけるシーケンス図 autonumber actor RO as "リソースオーナー" participant UA as "User-Agent" participant C as "クライアント" participant AS as "認可サーバ" participant RS as "リソースサーバ
サマリ ISO-2022-JPという文字エンコーディングの自動判定を悪用したクロスサイト・スクリプティング(XSS)攻撃について説明する。これは、文字エンコーディングを適切に指定していないウェブコンテンツに対して、文字エンコーディングをISO-2022-JPと誤認させることでバックスラッシュが円記号と解釈されることによりエスケープ処理を回避する攻撃である。本稿で紹介する攻撃は、従来からのセキュリティベストプラクティスである「文字エンコーディングの明示」に従っていれば影響を受けることはない。 はじめに クロスサイト・スクリプティング対策として、記号文字のエスケープ処理に加えて、コンテンツの文字エンコーディングをレスポンスヘッダやmetaタグで明示しましょうと言われてきました(参照)。その背景として、UTF-7という文字エンコーディングを悪用したXSSの存在がありました。この攻撃については以下
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? この記事では、phishing対策のためにパスキー導入してるRPが、パスキー使えないときにどういうFallback/リカバリ方法が利用できるか考えてみようと思う。 モチベーション 主要なモチベーションは、もちろん嫌われないパスキーを目指すため。 phishing対策のためにパスキーを使おうとすると、どうしてもphishableな認証要素を排除する必要が出てくる。 しかし現状、「すべてのユーザが常に簡単にパスキーを使える」状況ではない。 そのため、パスキーの利用を強制すると、パスキー使えないユーザが ログインできなくなったり、機能が使えな
はじめに GovTech東京の林です。この記事はGovTech東京アドベントカレンダー23日目の記事です。 私はDX協働本部区市町村DXグループで、情報システムの標準化・ガバメントクラウド移行支援を中心に都内区市町村のDX推進業務に従事しています。今回は、これまで中核市と東京都にて自治体の情報システムに30年近く携わってきた経験を通じて、行政のネットワーク、なかでも地方自治体のネットワークについて紹介します。 三層に分離されている地方自治体のネットワーク GovTech東京では、エンジニアをはじめ多くの民間経験者が働いていますが、行政のDXに携わるにあたってまずはその特殊なネットワーク構成に皆が驚きます。地方自治体のネットワークは三層に分離されているからです。「いや、ネットワークってOSI参照モデルだと7階層だろ、それともTCP/IP4階層のこと?」、違うんです、地方自治体のネットワークは
Dungeon Antiquaというゲームを2024/10/10にSteamでリリースしまして、その後も不具合修正や要望の多かった機能の追加などアップデートを重ねていたのですが、あるタイミングでのアップデートにより突然ゲームがウイルス検知されるという事案が発生し、そこから地獄を見ました。 もしかして今後同じ目に遭う人がいるかもしれないので、体験記としてまとめておきます。 問題発生〜暫定対応まで12/6アップデート以降、ウイルス検知発生のXのポストなどを見かけるようになる。調べるとPyInstallerでexe化したファイルにはありがちなことらしい(詳しくは次項)。とりあえず連絡が取れた方にウイルス検知からの除外設定を個別にお願いしたり、Steamにお知らせを掲示したりした。 12/11早朝、Steamサポートから「あなたのゲームがウイルスであるという報告が複数寄せられたため、販売を停止した
アーカイブ動画はこちら https://www.youtube.com/watch?v=ji1G90kUel8
ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。 Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 👹秋田の猫🐱 (@ritou) 2024年12月11日 先日、こちらのイベントで(リモートで)お話ししてきました。 大学ICT推進協議会2024年度年次大会 OpenIDファウンデーション・ジャパン エバンジェリストを名乗ってOpenID Connectの話ではなくパスキーの話をしました。最近よくありますね。 今回はユーザー向けの「パスキーの啓蒙」もとい「安全なユーザー認証の啓蒙」について考えていたことをお話させていただきました。 その資料をベースに色々付け足したら長編になってしまいました。お時間がある方
はじめに id:rotom です。社内情報システム部 兼 CISO室 所属で ITとセキュリティを何でもやります。 このエントリは 一休.com Advent Calendar 2024 16日目の記事です。昨日は id:naoya による TypeScript の Discriminated Union と Haskell の代数的データ型 でした。その他の素敵なエントリも以下のリンクからご覧ください。 qiita.com 2018年のアドベントカレンダーにて「一休における情シスの取り組み」を紹介させていただき、一定の反響をいただくことができました。 早いものであれからすでに6年が経過しました。6年も経つとコーポレートIT も変遷しています。 user-first.ikyu.co.jp これまで特定の製品・サービスの事例などは断片的に紹介していましたが、6年ぶりに改めて全体像をお話したい
Amazon で「YubiKey」と検索すると、数字の「5」の付いていない安価なシリーズの製品も出てきますが、それらは本記事で紹介する TOTP には対応していないようですので注意です。 (参考) https://www.yubico.com/yubikey/?lang=ja Yubico Authenticator のインストール 公式サイトで Linux 向けのバイナリパッケージが配布されていますので、これをダウンロードして実行するだけで OK。 https://www.yubico.com/products/yubico-authenticator/ 次のように任意の場所で展開してください。 $ tar zvxf yubico-authenticator-7.1.0-linux.tar.gz $ cd yubico-authenticator-7.1.0-linux/ $ ./des
以下の講演資料です。 https://axies.secretari.jp/conf2024/program/organizations#_11AM2A
2038年問題が思ったよりヤバい。検出ツールを作って脅威性評価してみた論文 | Kansai Open Forum 2024
社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 【IIJ 2024 TECHアドベントカレンダー 12/6の記事です】 今年のIIJアドベントカレンダーは「運用」がテーマということなので、運用に欠かせない必携ツール筆頭であるSSHを取り上げ、SSHの秘密鍵を安全に管理する方法について考えたいと思います。 たとえSSH秘密鍵が漏洩しても、安全を確保する方法 踏み台サーバにSSH秘密鍵を置かずに利用する方法 SSH秘密鍵の安全な置き場所を考える SSH秘密鍵は一般的に ~/.sshにファイルとして管理されていると思いますが、不安に感じることはありませんか? ノートPCに
はじめに 過去2回のSELinuxの記事は、なんだかんだ座学的な内容になってしまいましたが、今回は実際のSELinuxの動作(アクセス制御)について検証してみたいと思います。 検証内容 今回はSELinuxを利用して、httpdプロセスがアクセスできるファイルの制御をかけてみたいと思います(実用的ではないですが、SELinuxの動作を理解するにはいいかなと思ってます)。 具体的には、作成したindex.htmlに対してSELinuxでアクセス制限をかけて閲覧できなくし、その原因特定と修正方法を通してSELinuxの制御の仕方を学べればなと思います。 事前準備 httpdサービスをインストールします。
はじめに 前回、SELinuxのそもそのも設定の話について、コマンドを確認しながら紹介しました。 SELinuxとはなんぞやという座学からまとめることも考えましたが、自分自身の理解が浅いのと、 実際の設定をコマンドで確認しながらの方が理解しやすいかなと思い、コマンドを主軸において SELinuxとは何なのか確認していきたいと思います。 なお、本記事を読んだだけでは、SELinuxがどのように動作しているのかまではわかりません。 動作のイメージに関しては、次回以降の記事で書きたいと思います。 また、本来SELinuxはプロセスとファイル(ディレクトリ)に対して有効なものですが、これから書く内容は、ファイル に限定した内容になります。 SELinuxでよく使うコマンド コマンド 説明
はじめに 業務でサーバを設計・構築する際、SELinuxを有効にしていると想定していない動作をすることが多かったので、設定は必ず無効にしていました。 ただ、RHEL9.0以降では、SELINUX=disabledにすることもできなくなって[1]、公式ホームページには以下のような記述もあることから、今後はきちんとSELinuxについて理解しておかないといけないなと思い、とりあえずコマンドとか覚える意味で記事を書いてみようと思いました。 Red Hat は、SELinux を永続的に無効にする代わりに、Permissive モードを使用することを強く推奨します。Permissive モードの詳細は Permissive モードへの変更 を参照してください。 なお、1回では全て書ききれないので、細切れで記事にできればと思っています。 SELinux とは 以下は、Red Hat の記載引用。 S
SELinux (Security-Enhanced Linux) は、システムにアクセスできるユーザーを管理者がより詳細に制御できるようにする Linux® システム 用のセキュリティ・アーキテクチャです。もともとは、Linux Security Modules (LSM) を使用した Linux カーネルへの一連のパッチとして、アメリカ国家安全保障局 (NSA) によって開発されました。 SELinux は 2000 年にオープンソース・コミュニティにリリースされ、2003 年にアップストリームの Linux カーネルに統合されました。 セキュリティおよびコンプライアンスに対する Red Hat のアプローチ (動画) SELinux は、システム上のアプリケーション、プロセス、ファイルのアクセス制御を定義します。アクセス制御にはセキュリティポリシーを使用します。セキュリティポリシーは
OAUTHScan is a Burp Suite Extension written in Java with the aim to provide some automatic security checks, which could be useful during penetration testing on applications implementing OAUTHv2 and OpenID standards. The plugin looks for various OAUTHv2/OpenID vulnerabilities and common misconfigurations (based on official specifications of both frameworks), many of the checks have been developed a
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く