セキュリティテスト

先日、複数人で同時に同じプロジェクトでクロールできる機能をリリースしました。それを実現するまでに出た課題、検討事項、解決策が一般的なWeb開発とは異なる背景が多くて面白そうなので書きたいと思います。 blog-ja.vaddy.net 前提 クロールはブラウザやcurlなど、HTTP通信するクライアントのProxyを設定して、VAddyのProxyサーバを経由してオリジンサーバにアクセスします。その際にVAddy Proxyサーバ側にアクセスしたURLやパラメータが記録され、それが脆弱性診断に利用されます。これはVAddy特有の機能ではなく、他の脆弱性診断ツールも同じような仕組みになっています…

先日このようなブログ記事が公開されました。 クラウドサービスを脆弱性診断する時のお作法 とある企業において脆弱性診断をされている「とある診断員」さんのブログで、クラウドサービス（IaaS）の利用者が脆弱性診断をする際の注意点がまとめられています。 この記事の中に 脆弱性診断を実施する際には、ご自身の利用しているプラットフォームの事業者にちゃんと確認をした方が良いと考えます。 という言及があります。 VAddyはサーバー上のWebアプリケーションに対する脆弱性診断（ブラックボックステスト）を行うサービスですので、これに当てはまります。 上記のブログ記事ではAWS、Microsoft Azure、…

本記事はDevOps.comに掲載された記事を許可を得て日本語訳したものです。“This post was originally published on the DevOps.com.” DevOpsを採用する組織はもっとセキュリティに注意を払うべきであると、Threat Inteligenceの創設者Ty Millerは提案しています。「ここ5年ぐらいのAnonymousやLulzSecのようなハッカー集団の活動をきっかけに、ITセキュリティに対する主要なアプローチは変化してきており、アプリケーションのライフサイクルへの統合が強くなってきました。」Ty Miller氏開発の初期段階でセキュ…

本記事はGoCDブログに掲載された記事を日本語訳したものです。“This post was originally published on the GoCD blog.” この記事は「 It’s not Continuous Delivery if you can’t deploy right now」というシリーズの第二弾です。 今回はセキュリティテストのパイプラインでより一般的なツールをいくつか取り上げようと思います。 私の経験では、自動化されたセキュリティテストがCD（Continuous Delivery）パイプライン上に組み込まれているのをほとんど見たことがありません。 開発者が自信…

2014/11/18に、Googleがセキュリティスキャンのテスト用のWebアプリケーション Firing Range を公開したようです。http://googleonlinesecurity.blogspot.jp/2014/11/ready-aim-fire-open-source-tool-to-test.html Webアプリケーションのリポジトリはこちら。 Googleは内部で自動セキュリティテストツール（コードネーム Inquisition）を作っていて、開発サイクルの中でそれを実行してセキュリティテストを自動化しているとのこと。 その内部用のセキュリティスキャンツールの評価のた…

VAddyの開発をしている市川です。 今日は、最初の投稿ということで、VAddyが目指す世界と使命の話をしたいと思います。 VAddyは、継続的WEBセキュリティテストサービスです。http://vaddy.net CI（継続的インテグレーション）に簡単に組み込めて、開発初期から、リリース後まで常にWebセキュリティ診断を自動で行い、より安全なWebアプリケーションを手軽にリリースできる世界を作りたいと思い立ち上げました。 VAddyは、Vulnerability Assessment is your Buddy(脆弱性診断はあなたの相棒）を省略した造語です。VAddyというサービスが開発者の…

やること Dockerデーモン、ホスト（OS）、そしてDockerコンテナ（NGINX)にセキュリティテストを実行していきます。セキュリテイ基準は、CISベンチマークとDISA STIGsを使用します。 推定所用時間は、1~2 分 環境情報 テスト対象： DockerホストOS（Redhat8） Dokcerデーモン Dockerコンテナ（NGINX） ホストOS： RedHat Enterprise Linux 8.x テストツール： InSpec テストコード STIG_Redhat8（Githubリンク） CIS_Dockerデーモン（Githubリンク） STIG_NGINXコンテナ（…

「Web APIテスト技法」を読む。 Web APIテスト技法 作者:Mark Winteringham 翔泳社 Amazon あまり参考にならなかった。現場組織に合わせてこんな形でテストしていこうという内容なんだが、結構概念的な話が多くて具体的なコードレベルでのテストに関するノウハウが薄い。コードもJavaなので今の開発現場では参考にできず。終盤のJMeter使った負荷テストやセキュリティテストあたりが少し参考になったか。

はじめに 本記事は A Tester's Journey: A Time of Transition - Eight Months on a New Team を日本語訳したものです。 この記事は、著者のLisi Hockeが、新しいチームにJoinして8ヶ月間で起きたことを赤裸々に語っています。その中で、どのようにチームにフィードバックを促し、どのようにチームを変化させていったのかが詳細に語られており、大変良い記事だと感じたため、今回翻訳することにしました。 なお、元記事が長文なため、翻訳記事は計5回に分けてお届けします。 Joinする前のチーム状況 チームに入ってから8ヶ月間で起きたこと …

※本記事は、Bardによる意訳+翻訳を活用し、レイアウト調整したものです。 ※感想は、オリジナルです。 原文 意訳+要約 オープンソースソフトウェアの本当のコスト 導入コスト 運用コスト リスクコスト まとめ 重要なポイント Bardさんに聞いてみた Ｑ：OSSのリスク管理をする場合、どのようなことに気をつければいい？ Ｑ：OSSのリスクを効率的に管理する方法を教えて Ｑ：OSSのセキュリティテストって、具体的には何をすればいいの？ Ｑ：OSSの動的解析のやり方について、いくつかやり方を紹介してください ツールを用いる方法 感想＋雑記 原文 The Real Cost of Open Sour…

はじめに この度は2023年11/12(土)開催のJJUG CCC 2023 Fallに弊社がスポンサー企業として参加してきましたので、イベントレポートをお届けします！ JJUG CCC 2023 Fallとは？ JJUG CCCとは日本 Java ユーザグループ(JJUG)という日本最大級のJavaコミュニティが主催する、Javaのカンファレンスです。 具体的にはJava関連の技術・事例に関するセッションや技術者の交流などが行われており、Java初心者からOSSコミッターまで幅広い人が参加します。 インフキュリオンは主力プロダクトであるWalletStationの開発でJavaに大変お世話に…

1. テストの種類について 2. WF的（最大公約数的な？）分類 テストレベル 単体テスト コンポーネントテスト 結合テスト 統合テスト システムテスト 受け入れテスト テストタイプ 機能テスト 業務シナリオテスト ジョブ運用テスト 他システム接続テスト 外部接続テスト ユーザビリティテスト セキュリティテスト 運用マニュアルテスト 運用監視テスト 障害耐性テスト 障害回復テスト ロードテスト ストレステスト ロングランテスト 性能テスト 保守性テスト 移行テスト クロスブラウザテスト 無影響確認テスト ブラックボックステスト ホワイトボックス（構造）テスト 3. JSTQB によるテストレベ…

1. 始めに こんにちは、morioka12 です。 本稿では、とある AWS サービスで脆弱性を発見して、AWS Security Team に脆弱性報告してみた話について紹介します。 1. 始めに 2. AWS カスタマーサポートポリシー 3. 脆弱性レポート 4. 脆弱性連絡 (WIP) 5. その他 バグバウンティ フィッシングによる AWS ログインの MFA 認証の回避と事例 報告事例ブログ 6. 終わりに 2. AWS カスタマーサポートポリシー AWS のインフラストラクチャ・サービスに対してセキュリティテストやペネトレーションテストをする場合は、いくつかの規約があります。 主…

ソース： systemweakness.com 脆弱性：SSRF 訳： 今日は、私が最近発見した内部ポート スキャンに対するサーバーサイド リクエスト フォージェリ (SSRF) について説明し。 SSRFとは何ですか？ サーバー側リクエスト フォージェリ (SSRF とも呼ばれる) は Web セキュリティの脆弱性であり、攻撃者がサーバー側アプリケーションに、攻撃者が選択した任意のドメインへの HTTP リクエストを実行させることを可能にして。 典型的な SSRF の例では、攻撃者は、サーバーがそれ自体、組織のインフラストラクチャ内の他の Web ベース サービス、または外部のサードパーティ…

AEADの１つであるChaChaPoly1305．ChaChaBLAKE3は，Poly1305をBLAKE3に置き換えたものです．BLAKE3が通常の暗号学的ハッシュ関数に加えてMACやKDFとしても機能すること，そもそもChaChaの構造を使用していることから，Poly1305をBLAKE3に置き換えるという発想は自然かと思います． ソースコードは，セキュリティテストなどを行なっていないため使用は要注意ですが，Rust CryptoとBLAKE3のオフィシャルなクレートを使用しているので，少しだけ書き直せば使えるかと思います．(動作はします．) LICENSEも含め、全てGitHubに置いて…

Hello there, ('ω')ノ 単純な Graphql イントロスペクション クエリを使用した $1000 のバグを。 脆弱性： 認証バイパス GraphQL 記事： https://infosecwriteups.com/1000-bug-using-simple-graphql-introspection-query-b68da8260877 今回は、アプリケーションの多要素認証 (MFA) 実装のセキュリティ テストに おける経験について説明を。 テストプロセスの一環として、パスワード保護をバイパスしてリカバリコードを 取得しようとし。 次の記事では、テスト プロセスの詳細と、認…

Javaを使ってアプリケーションを開発することも多いでしょう。アプリケーションを開発するとき、データ漏洩や攻撃に備えることが必要不可欠です。Javaのセキュリティ向上に役立つ重要な手法を紹介します。 まず、不正なアクセスからの保護が必要です。これは、ユーザー認証やアクセス権の制限を含みます。最小権限の原則を遵守し、必要な機能にのみアクセス権を与えましょう。それから暗号化も欠かせません。アプリケーション内でデータを暗号化することは、機密情報の漏洩を防ぐために不可欠です。パスワード、個人情報、および他の機密データは適切に暗号化してください。また、1から全部作らず、外部ライブラリやコンポーネントを活…

ネットワークエミュレータ市場規模は、2023年の2億1800万米ドルから2028年には3億1800万米ドルに成長し、予測期間中の年平均成長率は7.9%と予測されています。 5G、エッジコンピューティング、IoTを含むネットワーク技術の絶え間ない進化により、その性能と互換性を確保するための徹底的なテストの必要性が高まっています。ネットワークエミュレータは、このような複雑なシナリオを再現して評価する手段を提供し、実世界のコンテキストにおける新技術のシームレスな機能性を保証します。ネットワーク・エミュレータは、このような複雑な相互作用を再現し評価するプラットフォームを提供することで、極めて重要な役…