はじめに 登録の流れ 1. アカウントの作成 2. パッケージの登録 3. 2FA（2要素認証）の有効化 まとめ はじめに 普段私はWebアプリ開発に Laravel を利用しており、Packagist(パッケージリポジトリ) からパッケージを取得して開発しています。 しかしこれらの…

はじめに 読者対象 プラグイン開発で気を付ける脆弱性 脆弱性種類 ① PHPファイルへの直接アクセス 問題点 対策 機密ファイルへの直接アクセス ② サードパーティライブラリ 問題点 事例 事例① elFinder 事例② Epsilon Framework 対策 ③ 権限の検証に不備があ…

一言で表すと「プログラムを検査し、脆弱性を検出する」ツール。 GitHubパブリックリポジトリに対してのスキャンは「無料」なので使ってみました。 本記事でやること 「意図的に脆弱性を埋め込んだWebアプリケーションのスキャン」 「スキャン結果の確認」

はじめに CVSS 3.1 (Base Score: 5.3) 脆弱性の確認 下準備 脆弱性の再現手順 1. パスワード保護の記事を作成 2. 【攻撃】パスワード保護された記事へコメントを書き込み 3. 未認証ユーザでコメントの確認 4. 「最新のコメント」ブロックを追加 5. 【被害の…

はじめに やること 実装 事前準備 - OAuth token 実装コード 1. スターを付けたアカウント名一覧を取得 2. アカウント名 から プロフィール情報 の取得 3. 集めたプロフィール から ワードクラウド画像 を生成 生成された画像 まとめ 参考 更新履歴 はじめに…

Yaraといったら「Passion Yara」 はじめに 動作確認 YARAルールでプロセスを特定 まとめ 更新履歴 はじめに GRR Rapid Response (以下GRR)について軽く説明、GRR はGoogleが開発しているインシデント対応ツールであり、主にフォレンジックを行うために利用さ…

GRR Rapid Response とは？ GRR クライアントの機能 GRR サーバの機能 GRRの開発リポジトリ 環境構築 環境の概要 GRR サーバの構築 MySQL インストール GRR Rapid Response インストール GRRサーバの起動の確認 GRRクライアントの導入 エージェント（debパッ…

作成したアプリのスクリーンショット はじめに 開発環境 利用技術 MDをPDFに変換 日本語の対応(dompdfの日本語対応) 課題 まとめ 更新履歴 はじめに 最近、「MD-to-PDF(仮名)」というWebアプリケーションを開発してみたので、利用したライブラリといった技術…

はじめに ~ 脆弱性PoCの収集リポジトリ ~ 正体はマルウェアだったリポジトリ まとめ ~ 無闇にPoCを実行してはイカン!! ~ 更新履歴 はじめに ~ 脆弱性PoCの収集リポジトリ ~ 私は脆弱性のPoCが自動的に収集しているリポジトリを公開していますが、先日このよ…

はじめに Azure CLI(azコマンド)で Application Gateway WAF を操作 1. WAFポリシー 1-1. WAFポリシーの作成 (create サブコマンド) 1-2. WAFポリシーの詳細表示 (show サブコマンド) 2. カスタムルール 2-1. カスタムルールの作成 (create サブコマンド) 2-…

はじめに 利用するバージョン 検証 Application Gateway の状態を確認（az network application-gateway list） Application Gateway の停止（az network application-gateway stop） Application Gateway の起動（az network application-gateway start） …

はじめに HTTPS 通信をプロキシする「ngx_http_proxy_connect_module」モジュール 環境構築 Nginx と モジュール の ダウンロード & インストール Nginx の設定 & 起動 動作確認 ダイナミック(動的)モジュール 参考 更新履歴 はじめに Nginx では「proxy_pas…

はじめに 「PoC-in-GitHub」とはどのようなリポジトリ? [ オススメ度：★★★☆ ] その他リポジトリも紹介させて！ NVD情報を保存している「NVD-Database」 [ オススメ度：★☆☆☆ ] CVEをリスト化している「CVE-Easy-List」 [ オススメ度：★★★★ ] CVEのExploitがリ…

はじめに Apache Dubbo とは 脆弱性について 影響を受けるバージョン 解決策 検証環境の準備 Apache ZooKeeper を起動 アプリケーションの修正と起動 脆弱性の検証 ysoserial を使ってペイロードを生成 ペイロードの中身を確認 ペイロードの送信 修正版 2.7.…

いらすとや産のPython はじめに Waitress とは 検証 検証バージョン 環境構築 ReDoS をしてみる 脆弱なバージョン 1.4.2 パッチ適用バージョン 1.4.3 脆弱性が存在しないバージョン 1.4.1 脆弱性を掘り下げる 修正コミット 修正前 と 修正後 の正規表現 簡単…

はじめに 言語別 ツール一覧 PHP sensiolabs / security-checker 使い方 脆弱性データベース Web版 Ruby rubysec / bundler-audit 使い方 脆弱性データベース - rubysec / ruby-advisory-db Python pyupio / safety 脆弱性データベース 使い方 詳細情報レポ…

はじめに TOP 10 10位 541 ポイント 『Intel Core マイクロプロセッサを搭載したシステムにおける情報漏えいに関する脆弱性(CVE-2018-3620 通称「Foreshadow」)』 9位 575 ポイント 『Intel ハードウェアアーキテクチャのデバッグ例外を適切に処理していない…