脆弱性

はじめに 私は、私でしかない♪ ミリアニ浴びてるnikkieです。 タイトルが全てです。 10/7(土)はサイボウズさん東京オフィスで僕と握手！ 目次 はじめに 目次 DjangoCongress JP 2023 Djangoアプリに作り込んで学ぶ脆弱性（SQLインジェクションとXSS篇） 想定する聴衆＝過去の自分 構成（予定） 発表を聞いて持ち帰れるもの 他にもこんなトークが！ チケットは9/4(月)の週に発売予定！ -> 9/4〜発売中 終わりに P.S. 脆弱性に興味を持ったきっかけ 更新履歴 DjangoCongress JP 2023 DjangoCongress JPは、Djang…

ウェブアプリケーションのセキュリティ対策は重要です。特にSQLインジェクションやクロスサイトスクリプティング（XSS）などの脆弱性からアプリケーションを守る方法について、基本的な対策法を紹介します。 [スポンサーリンク] 未経験からITエンジニアになる【ENたま転職】 SQLインジェクションへの対処法 クロスサイトスクリプティングへの対処法 セッション管理の強化 バリデーションとサニタイズ アップデートとセキュリティパッチ まとめ SQLインジェクションへの対処法 SQLインジェクションは、不正なSQLクエリを注入される脆弱性です。これによってデータベースへのアクセスが不正に行われる可能性があ…

incidents.hatenablog.com 【概要】■CVE 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2023/08/18 2023/08/01 CVE-2023-39415 NVD ベンダー 7.5(JVN) CWE-287 不適切な認証 https://jvn.jp/en/jp/JVN19661362/ 2023/08/18 2023/08/01 CVE-2023-39416 NVD ベンダー 7.2(JVN) CWE-78 OSコマンドインジェクション https://jvn.jp/en/jp/JVN19661362/ ■タイムライン 日…

【ニュース】■2019年 ◆セキュリティ製品の「VPN」機能に相次いで脆弱性 (Security NEXT, 2019/07/30) http://www.security-next.com/106918 ⇒ https://vul.hatenadiary.com/entry/2019/07/30/000000 ◆複数のSSL VPN製品の脆弱性に対する実証コードが公開、対策を呼びかけ（JPCERT/CC）(NetSecurity, 2019/09/03 06:00) JPCERT/CCは、「複数の SSL VPN 製品の脆弱性に関する注意喚起」を発表した https://scan.netse…

ソース： https://codewithvamp.medium.com/citrix-gateway-xss-open-redirection-cve-2023-24488-db2aacdb7a79 脆弱性：XSS、オープンリダイレクト 訳： Citrix Gateway の脆弱性について https://support.citrix.com/article/CTX561482/citrix-adc-and-citrix-gateway-security-bulletin-for-cve20233519-cve20233466-cve20233467 Citrix ゲートウェイ CVE は、…

ソース： https://cristivlad.medium.com/account-takeover-via-email-confirmation-763ce4fd9ca8 脆弱性：ATO 訳： これは、数日間でクライアントの侵入テストで見つかった 2 回目のアカウント乗っ取りです。 何が起こっているのか分かりません… 1. ユーザーがアカウントを登録 => 「アカウントを確認する」ためのメールが届きます。 2. 電子メールには、次のような確認リンクが含まれています (以下のすべてのパラメーターは変更されています)。 [https]://url202310322.redactedexampl…

ソース： https://medium.com/swlh/ssrf-in-the-wild-e2c598900434 脆弱性：SSRF 他 訳： 公開されている SSRF 脆弱性の分析。これらの脆弱性が発見された場所、バグの重大性、レポート後にベンダーが実施した修正について詳しく説明を。 これから読もうとしている研究はまったく非科学的で、包括的ではなく、ほとんどがただ楽しむために行われたものです。 数か月前、私は SSRF 脆弱性クラスについて詳しく知りたいと決心し。概念を理解したように感じても、まだ完全に理解できないときの気持ちはわかりますか? それが私とSSRFの関係でした。そこで私は、S…

ポートスキャンは、ネットワークコンピュータが持つ複数のポートに対して接続要求と要求に対する応答を確認することで、利用可能なポートを探すことです。ポートはインターネットで特定のサービスへの通信をさせる入り口です。そのプロセスを識別するコードをポート番号と呼びます。よく知られるポート番号として以下があります。 ポート番号 プロトコル ２０ FTP-data ２１ FTP-control ２２ SSH ２３ TELNET ２５ SMTP ５０ ESP ５３ DNS ８０ HTTP １１０ POP3 １２３ NTP １３５ RPC １３７ NetBIOS １４３ IMAP ４４３ HTTPS ４４５ …

先日2023年9月21日に、サイバー空間をめぐる脅威の情勢等について、2023年上半期（2023年1～6月）の発表が警察庁から発表されました。警察庁のまとめは、日本国内での被害の把握と実体が分かる重要な情報と私は位置付けています。実体は挙がった数値の数倍、被害／被害未遂が発生していることでしょう。警察庁発表の詳細は以下です。 www.npa.go.jp 実際に拝読しまして、気づきがあった2点について共有させてください。 気づき１：【企業向け】ランサムウエア被害時の金額や復旧に要した期間が明るみに！ ランサムウェアの被害に遭ったらどれほどのインパクトがあるか、ご存じですか？被害を警察庁に報告した…

I. ChatGPTのオープンソースとは何か？ ChatGPTはオープンソースプロジェクトとして開発されています。 オープンソースとは、ソフトウェアやプロジェクトのコードが 一般の開発者やコミュニティによって閲覧、改良、貢献ができる形式を指します。 ChatGPTのオープンソース性は その進化と改良に多くの人々が関与できる環境を提供しています。 II. オープンソースコミュニティの役割 ChatGPTのオープンソースコミュニティは、以下の役割を果たしています。 1. 開発と改良 コミュニティの開発者たちは、ChatGPTのコードを改良し 新しい機能を追加します。 このプロセスにより、モデルの性…

＜ブロックチェーンとは＞ ＜ブロックチェーンの利点＞ ＜注意点と未来展望＞ ＜まとめ＞ こんにちは、chikaです。 前回のコラムはいかがでしたでしょうか。 今回は、初心者向けのブロックチェーンに ついてのお届けいたします。 ＜ブロックチェーンとは＞ ブロックチェーンは、分散型の技術を基盤とした データベースの一種で、複数のコンピュータ間で 取引や情報を共有・管理するための仕組みです。 情報がブロックと呼ばれる塊にまとめられ、それが 連鎖的につながっていることから「ブロックチェーン」 と名付けられました。 一度記録された情報は改ざんが非常に困難であり、 透明性や信頼性が高い特徴を持っています。…

Security Incidents毎日のように発生する事案について、新たに公表された事案をタイトルに示し、サイトに掲載されるお知らせへのリンクと事案の概要を月単位にまとめて示します。 ランキング参加中インターネット 今回の事案NHK放送センターの業務用サーバー機器に不正アクセスがあったことが7月31日に判明し、従業者等の個人情報が漏えいした可能性があることが本日公表された事案です。漏洩の可能性がある対象としてユーザーIDとハッシュ化されたパスワードが含まれていることから、ITセンターの基幹情報システムの中の、アカウント情報を管理するサーバーが不正アクセスされたと考えられます。 本事案→ 不正…

（以下の議論に関しては、職場に懸垂バーが物理的に設置できること、および、社会的にもそこで懸垂を行うことが許容されていることの二点が必須である） 懸垂バー序論 朝は全体的にトレーニングする余裕がない。夜は肉体的にトレーニングが適していない。 昼のトレーニングは全体的にベターである 実際に使ってみた感想。絶対にあったほうがいい追加部品。 懸垂バー序論 懸垂バー ギアロックシステム採用【耐荷重200kg】[1年保証] ST124-S/ST124-Lsteadyjapan.com 上の懸垂バー（ショート）を買った。いいものである。職場に鉄棒が置いてあったら懸垂するよなあと考える人ならば、全員買いの商品…

【ニュース】 ◆トレンドのモバイル管理製品に複数の脆弱性 (Security NEXT, 2023/09/26) https://www.security-next.com/149732

AI AIのGood Job ■接客 ■モデル ■Vtuber ■作曲 ■小説 ■イラスト 10年後になくなる職業 政府のAIの関する指針 おすすめサービス ■Midjourney シンギュラリティ Deep Fake ChatGPT その他のチャットAI ChatGPTの使い道 命令のメソッド おすすめサイト・サービス ■グラフ生成 関連資料 ■CyberAgent AI事業本部MLOps研修応用編 ■生成AIの出現-ChatGPTのようなツールがビジネスにもたらす変化- AI AIの進歩が人間革命と言われてるの草 — あらいちゅー🐴🈵🔮 (@araichuu) 2023年3月20日 AIが…

Security Incidents毎日のように発生する事案について、新たに公表された事案をタイトルに示し、サイトに掲載されるお知らせへのリンクと事案の概要を月単位にまとめて示します。 ランキング参加中インターネット 今回の事案昨年9月～10月に実施された「アミ姫WEBキャンペーン」の応募者情報を管理するサーバーへの不正アクセスが今年5月になって判明し、個人情報が漏洩した可能性があるため公表された事案です。 作業ミス 横須賀市 9月22日 委託事業者による個人情報の漏えいについて 原因 メールの宛先指定ミス 被害 セミナー参加者9名のメールアドレス本事案→ 不正アクセス マルキユー 9月22日…

はじめに はじめまして、マネーフォワード サービス基盤本部 PlatformSREチームのshiyunyaです。 DockerHubの通常の有料プランには一日あたり5000件のPull数制限がありますが、先日その対応としてコンテナレジストリであるHarborを導入しました。 Harborとは、オープンソースのコンテナレジストリです。 主な特徴として、ロールベースアクセス制御・イメージの脆弱性スキャン・マルチテナント・レジストリのレプリケーションなどが挙げられます。 本記事では、Harborを導入した際の幾つかのポイントを紹介します。 Harbor導入における課題 Harborを導入し、運用する…

Oleg Burunov Sputnik International 2023年9月24日BRICS諸国の首脳は昨年8月のサミットで、ドルを回避し、共同取引に使用できる単一通貨を創設することを改めて呼びかけた。BRICSは「米ドルを世界の支配的通貨から追い落とす」という目標達成に向けた取り組みを進めている、と米紙が報じた。この新聞は、先月南アフリカで開催されたBRICS首脳会議について言及している。この会合では、サウジアラビア、イラン、エチオピア、エジプト、アルゼンチン、アラブ首長国連邦（UAE）の6カ国が新たに加盟した。以前はブラジル、ロシア、インド、中国、南アフリカで構成されていた。その結…

Vue2 の公式サポート終了に伴い、Options API から Composition API に書き換えてみる Web illustrations by Storyset こんにちは、開発チームでエンジニアをしている和田です。 最近は、Vue2 で記述されたプロジェクトを Vue3 および Nuxt3 に書き換える毎日です👨‍💻 ということで今回は、Options API で記述された Vue2 のコンポーネントを Composition API で記述する過程について記事にしたいと思います。 Vue2からVue3・Nuxt3 へ移行する背景 Vue2 のプロジェクトを Nuxt3 へと移…