Security

「Basic Pentesting: 1」は、「Josiah Pierce」によって開発され、VulnHubにて公開されているシリーズの一つです。 ■環境 Attack machine(parrot OS)IP:192.168.56.101 Target machine(ubuntu OS)IP:192.168.56.105 ■手順 1.nmap(ポートスキャン) 2.gobuster(ディレクトリ・ブルートフォース・アタック) 3.wpログイン 4.404.phpへrevarce shellのコードを作成 5.passwdとshadowを強奪 6.john the ripperでhash化さ…

JFrog の記事によると、PyPI リポジトリから約 30,000 回ダウンロードされたパッケージに悪意のあるコードが含まれており、このパッケージをダウンロードしたマシンからクレジットカード情報やログインの資格情報等が盗まれている可能性があります。 パッケージのコードは base64 等でエンコーディングすることで難読化されています。実行するとウェブブラウザに保存されたクレジットカード情報や Discord の auth token 等の情報を収集されてしまいます。また、パッケージによっては Remote code injection (遠隔地からのコード実行) が行われます。 PyPI の…

環境 kali linux 2021.2 OWASP BWA 1.2 joomscan 0.0.7 JoomScan とは？ 以前紹介した、WPScan は Wordpress の脆弱性スキャナでしたが、今回する JoomScan は Wordpressと同じくCMS の Joomla! の脆弱性スキャナです。 これは perl で書かれたツールですね。 JoomScan を使ってみる 最新のJoomla!をスキャンしても脆弱性は全く見つからないとおもうので、以前の記事でセットアップした OWASP BWA に含まれる古いJoomla!をスキャンして見ようと思います。 JoomScan をイン…

はじめに 2021/2/13、CompTIA Security+の501試験に合格しました。 受験した理由としては、インフラエンジニアとしての業務でシステムのセキュリティを意識することが多く、興味からセキュリティの体系的な知識を身に着けたいと思ったからです。 しかし記事執筆時点では国内でも新しいバージョンの601試験を受けられるそうで、これから受験を考えている方は601試験を受けるものと思いますが、後述する理由により501試験を受けたほうがいいかもしれません。 私が受験した試験は最新のものではありませんが、一度不合格になっている経験もあるため勉強方法についてここで簡単にアドバイスできればと思い…

今回はOWASP Juice Shop というモダンなやられアプリをローカルに構築して、CTF機能のスコアボードへアクセスするまでをまとめました。 環境 OWASP Juice Shop って？ VirtualBox にセットアップする Juice Shop の CTF 機能のスコアボードを探してみる 参考文献 環境 VirtualBox Vagrant OWASP Juice Shop 12.8.0 OWASP Juice Shop って？ OWASP BWAや OWASP BadStore、 Metasploitable3 などと同じく、脆弱性が作り込まれた、攻撃を練習するためのやられWe…

Kali Linux に含まれる様々な Web 系のスキャンツールを試すために、OWASP BWA をセットアップしたのでそのときの記録をまとめます。 2015年以降更新されていませんが、脆弱性を試すので更新されていない方がよいですね。 環境 OWASP BWA とは？ セットアップ方法 ダウンロードしてVirtualBox にインポートする ネットワークの設定を変更する 起動してIPを確認する どのようなWebアプリがあるのか？ 環境 OWASP BWA 1.2 Oracle Virtual Box 6.1.22 OWASP BWA とは？ OWASP BWA （Broken Web App…

はじめに 「vt-py」について 「vt-py」とは？ 動作環境 できること APIキーについて 使ってみる ファイル情報をVTから取得する ファイルをスキャンする URL情報をVTから取得する URL をスキャンする ドメイン情報をVTから取得 感想 はじめに VirusTotalの自動化について調べていたら、「vt-py」というライブラリを見つけたので使ってみる。 「vt-py」について 「vt-py」とは？ Virus Totalの公式APIに「VirusTotal API v3」があります。で、「VirusTotal API v3」のPython用公式クライアントライブラリが「vt-p…

先日参加したセミナーのアンケートに回答したところ、「Intel RealSense ID F455」を頂戴しました。素直にWindowsを開発環境に使うのが正解なのでしょうか、仕事柄Linuxで使えないかと試行錯誤したため、その際の内容をしたためておきます。 ＊1ヶ月経ってからメモを元に記事化しており、追検証もできていないので、正確でないことをご了承ください。RealSense ID F455「Intel RealSense ID F455」は、深度センサーとニューラルネットワークを使った顔認証デバイスです。これ単体で、顔認証システムができてしまうというもの。ちなみにUSB Webカメラとして…

×125 Firefox 92.0.1, See All New Features, Updates and Fixes ×113 フィッシング対策協議会 Council of Anti-Phishing Japan | ニュース | 緊急情報 | ソフトバンクをかたるフィッシング (2021/09/24) ×110 About the security content of Security Update 2021-006 Catalina - Apple サポート (日本) ×83 個人情報の取扱いに関する基本方針：JR東日本 ×70 New tool: an nginx playgrou…

本記事は、WioTerminalとAndroidスマートフォンの間でデータのやり取りをする方法を紹介します。ネットで検索したときに少しはPlatformIO + Seeedのライブラリ + WioTermianal で無線通信をしている記事がありましたが、 数が少なく心配だったので、成功例を増やして、あとから来る方に安心してトライしてもらう意味で本記事を執筆しました。 用意するもの WioTerminal Windows or Linux PC VSCode + PlatformIO ambd_flash_tool Androidスマートフォン SerialBluetoothTerminal …

2021-09-24 How to deploy a comprehensive DevSecOps solution (click here to source) RedHat®DevSecOpsフレームワークは、包括的な多層防御セキュリティ戦略の一環として、DevOpsライフサイクル全体の主要なセキュリティ要件に対応します。 Red HatのDevSecOpsフレームワークは、アプリケーションのライフサイクル全体に対応する9つのセキュリティカテゴリと32のメソッドとテクノロジーを識別します。 今回はその中のSecurityカテゴリーに関して書かれている。 Platform security…