一般的には「脆くて弱い性質または性格」のことをさす。vulnerability。
現在では、コンピュータやソフトウェア、ネットワークなどが抱える保安上の弱点のことを指すことがほとんどであり、正規の管理者や利用者など以外の第三者が保安上の脅威となる行為(システムの乗っ取りや機密情報の漏洩など)に利用できる可能性のある欠陥や仕様上の問題点のこと。 新聞などでは「ぜい弱性」と表記されることもある。
こんにちは、Watanabeです。 WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。 セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。 徳丸さん、主催のFindyさんの開催に感謝! サードパーティークッキーがメインテーマ? 意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。 テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。 以下、セミナーのメモです。 セミ…
みなさん、セキュリティ対策していますか?弥生CTOの佐々木です。 セキュリティ対策にもDAST、SAST、SCAなど色々ありますが、今日は弥生でも利用中のSCA(Software Composition Analysis)の機能を持つオールインワン脆弱性管理クラウド「yamory」についてご紹介します。 yamoryですが「オールインワン脆弱性管理クラウド」ですのでSCA以外の機能も持っています。 SCA以外の機能もフル活用しつつ、重複なく漏れなく対策を行うためにセキュリティ担当者にyamoryで出来る事を調査してもらいました。 以下、調査結果です。 yamory とは yamory は IT…
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2024/01/11 2023/12/20 CVE-2023-7028 NVD GitLab 10.0(GitLab) CWE-284 不適切なアクセス制御 ユーザーアカウントのパスワード再設定メールが検証されていないアドレスに配信される可能性 2024/01/11 2023/10/03 CVE-2023-5356 NVD GitLab 7.3(GitLab) CWE-863 不正な認証 不正な権限検証の不具合。攻撃者はslack/mattermost統合機能を悪用し、別のユーザーとしてスラッシュコマ…
ランキング参加中インターネット 製品の脆弱性 毎日こんなにも多くの脆弱性情報が公表されていて、個別に確認して対応するのは困難です。 実際に発生したセキュリティ事案で脆弱性が原因とされているものについて、紹介していきます。 該当する製品 メルマガ配信に必要な運用管理機能が備わった、基本無料で使えるメール配信システムです。 クラウドサービスではなく、自前またはホスティングサービスのサーバーに導入して利用できます。 acmailer│無料で使えるメール配信CGI「エーシーメーラー」CGI無料で使えるメール配信CGI。フリーなのに、空メールもデコメールも不着メールの削除も予約配信も差込送信もできる高機…
この記事は みらい翻訳のカレンダー | Advent Calendar 2023 - Qiita の 23 日目です。 こんにちは。プラットフォーム開発部でリードエンジニアをしている chance です。 今回は脆弱性の情報収集についてお話をします。 はじめに システム開発・運用において、言うまでもなく脆弱性対策は必須ですよね。 と言っても、やるべきことは色々とあります。 設計・開発段階での防御の実装 静的コード解析によるリスク分析 脆弱性診断による検知 システムやソフトウェアの適切なアップデート 新たに発見された脆弱性の情報収集と対処 今回はこの中でも最後に挙げた最新情報の収集について見てい…
はじめに 前回の投稿(ソフトウェアパッケージ脆弱性対応の進め方)では ベンダーが公開しているセキュリティアドバイザリ(RSS)を購読して脆弱性情報を検知 脆弱性を含むパッケージがOS上にインストールされているかを確認 という流れを手動で実施しました。 今回は一連の流れを自動化できるようにしたいと思い、仕組みを考えてみました。 概要 AWS Systems Manager インベントリを利用することで対象EC2インスタンスからメタデータを収集することが可能ですので、これを利用してメタデータに含まれるインストール済みパッケージを取得することにします。 手動で行っていたのと同様に「取得したインストー…
InSpec CLI に重大な脆弱性があることがアナウンスされています。(公式アナウンスリンク) 脆弱性の内容、対処方法、Fix バージョンについて説明します。 CVE-2023-42658 公式 CVE リンク: https://nvd.nist.gov/vuln/detail/CVE-2023-42658 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-42658 重大な脆弱性として報告されており、早急な対処が必要であることがわかります。 影響範囲 InSpec CLI の archive check export コマンド実…
はじめに こんにちは。セキュリティアセスメント部の山根です。 ごった煮ブログの執筆者はデジタルペンテスト部のメンバーが多いですが、私はセキュリティアセスメント部の所属であり、普段はWebアプリケーションの脆弱性診断をやっています。脆弱性を見つけるのが好きで、プライベートでも脆弱性を探しています。 弊社には「IPA経由で脆弱性を報告すると報奨金がもらえる」という素晴らしい福利厚生が存在するため、脆弱性調査のモチベーションが高まります! さて、今回2つの脆弱性を発見したのですが、脆弱性が公表されるに至った経緯が興味深いものだったので紹介していきます。 CVE-2023-40587: Pyramid…
はじめに エモーションテックでSREチームに所属しているsugawaraです。 前回書いたブログでは、Pythonプロジェクトで利用しているツールについてご紹介しましたが、 今回はPythonプロジェクトにおけるディレクトリ構成、コンテナのビルドをどのように行なっているか、また現状課題に思っていることについてご紹介します。 ディレクトリ構成について Poetryを利用していることは前回書いたブログでもご紹介しましたが、 社内の一部Pythonプロジェクトのディレクトリ構成については以下のようなmonorepoになっています。 . ├── .github │ ├── dependabot.yml…
ソース: medium.com 脆弱性:Subdomain, Auth, BAC, SQLi, RCE 訳: 説明: この話は 2022 年に私がBugcrowdに認証バイパスのリードを報告したときの話ですが SQLI&RCE のプライベート プログラムの 、バグは報告のわずか 1 日後に修正され。 2024/3 に 私 と orwa は 古いバグを再テストすることに。 私たちが再テストしていたターゲットは、 admin.Target.com を使用しました サブドメインファジング このコマンドを使用して ffuf -w /subdomain_megalist.txt -u 'https://…
タイトル: 妊娠中のストレスと注意欠如・多動性障害のポリジェニックリスクとの相互作用が子どもの脳成長に与える影響:DREAM BIGコンソーシアムからの知見 タイトル: 小児および思春期のADHD患者における抗酸化療法の安全性及び有効性の系統的検討及びネットワークメタアナリシス タイトル: 治療効果を評価する際の個人的信念の重要性 De novo GRIN variants in M3 helix associated with neurological 論文タイトル: 複雑な神経発達障害(NDDs)、骨折、および骨粗鬆症の複雑な相互作用:メンデルランダム化研究。 タイトル:隔離が学習障害や注…
サイバーセキュリティとは? サイバーセキュリティとは、蓄積した技術データや従業員の個人情報などの機密情報をサイバー攻撃やマルウェア感染から守ることです。 犯罪者の攻撃技術は向上しており、あらゆる手段を使って情報盗取・データ破壊・データ改ざんなどを狙ってきます。 近年情報漏洩事件の被害総額は増えており、毎月のように企業の情報漏洩事件が報道されます。 情報漏洩が無くならないのは、犯罪者にとって企業の情報資産は利用価値が高い情報が多数集まっている宝の宝庫だからです。 社員・取引先・顧客の個人情報はダークウェブで売却すれば多額の金銭的利益を望めるだけでなく、クレジットカードや銀行口座の情報を盗取するこ…
精神薬を長期的に飲む影響などについて考える。 あわせてよみたい 精神薬を長期的に飲む影響などについて考える。 気がついた自分の思考のパターンであるけど、週末あたりは仕事をしてても理由がないのに不機嫌になってることが多い。これはなんなのだろう? と考えたのだけど、単純に疲れが蓄積してしまってるのでメンタルにきてるというだけであるな。 分かれば単純なことではあるけど、なんか対応策を考えねばならぬなーとは思うところである。週末は仕事のペースを落とすようにして、メンタルの調子を保つことを気をつければ良いのかもしれない。体のスタミナをつけるためにちょっと運動習慣を気をつけたりなどのこともしてるけど、どう…
はじめに 近年、Kubernetesの採用が進む中、複数のチームが関わり、複数のクラウドプロバイダーへのデプロイを行い、異なるスタックを扱う組織では、その導入の複雑さが新たな問題となっています。本書 『Platform Engineering on Kubernetes』は、Kubernetes に登場しつつあるベストプラクティスとオープンソースツールを活用し、これらのクラウドネイティブの問題を技術的に組織的にどのように解決するかを示してくれます。 learning.oreilly.com 本書では、Kubernetes上に優れたプラットフォームを構築するための要素を明確に定義し、組織の要件に…
OBS Studioに搭載されているNVENCに関しての記事 ※内容は「OBSのNVENCについて」を移転しました。 記事投稿日 2021年09月28日、最終投稿更新日 2024年03月28日 17時15分頃 編集履歴 : 2024年3月3日 説明が足らない所がかなり多かったのでわかりやすいようにしたつもり。
はじめに Vue 3, Nuxt 3へのマイグレーションがなぜ必要なのか 破壊的変更の学習 プラグイン・ライブラリの選定 Vue 2コンポーネントの移行コスト マイグレーション全体を通して さいごに はじめに こんにちは。 ContractSでフロントエンドエンジニアをしている村澤です。 先日、一時的に Vue 2.x から Vue 3.x のマイグレーションへ携わる機会があったため、その間の学びを共有します。 ContractS CLMでは、Vue.js を用いて開発をしています。 Vue.jsとNuxt.jsは、Web開発において広く利用されている人気の高いフレームワークです。 技術の進化…
CAM4は2007年から運営されている海外ライブチャットプラットフォームで、その特徴の一つは男性パフォーマーが多いことです。女性だけでなく、カップルやトランスジェンダーのパフォーマーも活動しています。 CAM4は安全性に関しても一定の対策を講じており、以下の点が安全性を高めています: 信頼性の高い運営会社: CAM4は長年にわたり運営されており、運営会社も信頼性の高い企業です。安全な支払いシステム: CAM4では安全な支払いシステムを提供しており、個人情報や支払い情報の保護に努めています。セキュリティ対策: CAM4はSSL証明書を使用しており、ユーザーのデータ通信が暗号化されています。また、…
こんにちは、@hamayanhamayan です。 本稿ではWebセキュリティに対する有用な文書として広く参照されているOWASP Top 10の1つ「インジェクション」について考えていきます。色々なインジェクションを例に挙げながら、どのようにインジェクションが起こるのかという発生原理から、どのようにインジェクションを捉え、より広くインジェクションの考え方を自身のプロダクト開発に適用していくかについて扱っていきます。 SQLインジェクションやコマンドインジェクション、XSSのようなインジェクションに関わる有名な手法について横断的に解説をしながら、インジェクションの概念を説明していきます。初めて…
ソース: medium.com 脆弱性:LLM 訳: LLMとは何ですか? LLM は「ラージ言語モデル」の略で。 これは、人間のような言語を処理および生成するように設計された人工知能モデルの一種を指し。 大規模言語モデルは、大量のテキスト データでトレーニングされ、高度な機械学習技術を使用して自然言語を理解して生成し。 OpenAI の GPT (Generative Pre-trained Transformer) のようなモデルは、大規模言語モデルのカテゴリに分類されて。 これらのモデルは、書籍、記事、Web サイト、その他のテキスト ソースなどのさまざまなデータセットでトレーニングする…
男女の賃金格差が解消しない中、家事や育児などの「ケア労働」を視野の外にしてきた主流派の経済学を問い直し、誰もが生きやすくなる経済の理論を生み出そうとする動きがある。「フェミニスト経済学」と呼ばれ、昨秋、国内で初となる教科書が出版された。執筆者の一人、金井郁埼玉大教授(労働経済論)に聞いた。(柏崎智子) フェミニスト経済学 フェミニズムの視点で経済学をとらえ直す学問。「ケア」を経済社会の基盤に据え、ジェンダーによる差別・抑圧でもたらされる不平等から女性のみならず万人を解放し、暮らしぶりの向上を目指す。1960年代以降の第2波フェミニズムの思想や理論の影響を受けて成立し、90年代初頭に欧米を中心に…
OBS Studioに関する情報メモを書いてる記事。 ※「OBS Studioに関する個人的メモ」を移転しました。(現在は閲覧不可) 記事投稿日 2021年10月6日、最終投稿更新日 2024年03月28日 06時05分頃 かなり文字数が多いのでブラウザの検索機能をお使いください。 将来的に記事を分けて投稿したいと思っています。(現在作業中) 記事が見にくくて申し訳ありません。 ブラウザ検索ショートカット Windows : Ctrl + F macOS : Command + F この記事は下記環境を使用しています。 Linuxは使っていないのでメモしてません。 特定のデバイスがないと表示さ…
「外見至上主義」の王獒春は、称賛されるタイプの人物とは程遠い存在です。 最初はホステル編で、磯野聡の友人として紹介されるサポートキャラクターでした。 しかし、次第に彼の内に秘めた邪悪さが露わになり、最終的には非常に痛ましい結末を辿ってしまいます。 その背後には、王獒春の悲しい過去が深く影響しているのです。 この記事では王獒春の過去や、最後について説明を進めます。 王獒春の過去は辛苦だった? 高校時代は模範生徒 厳格な家庭環境で育った 温かい家族への憧れを抱く 聡に魅了され心酔する 刺激を求め悪の道を歩む ホステルを崩壊させようとする 無痛症を武器として活用 ホステルを支配的する立場に 聡に受け…
【ニュース】 ◆ブラウザ「Chrome」に「クリティカル」の脆弱性 - 更新を (Security NEXT, 2024/03/28) https://www.security-next.com/155299