2019年8月6日のtwitterセキュリティクラスタ

突然日本でも注目を集め始めたSSRFです。

はてなブログに投稿しました #はてなブログ
SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた – piyolog
piyolog.hatenadiary.jp/entry/2019/08/…

WAF経由のSSRFという話のようで。セキュリティ向上目的でWAFを設置したのでしょうに、それが裏目に出た形ですね。 twitter.com/piyokango/stat…

単純なのかもしれないけど、SSRFに興味出た。
探してみよ

SSRF攻撃によるCapital Oneの個人情報流出についてまとめてみた – piyolog piyolog.hatenadiary.jp/entry/2019/08/…

単なるProxy設定ミスも最近はSSRFって呼ぶのかな。

@kinyuka nginx設定ミスでSSRFできるやつ進研ゼミで見たことあります

診断ガイドラインとセキュリティ要件定義に二要素認証とSSRFを入れるか検討した方がいいかな。

@sen_u SSRFって非常に見つけにくいのが問題ですね。
何をもって内部サーバでOSコマンドが実行されたって判断すればいいんだろう…。

SSRF用フレームワーク
/ swisskyrepo/SSRFmap: Automatic SSRF fuzzer and exploitation tool github.com/swisskyrepo/SS…

その他に気になったことはこのあたり。

新宿で飲んで、酔いすぎて帰れない気分なので、一般ホテルに泊まる。
そしてwifiスキャンしながらピザをフロント経由で注文し、ホテルの対応を調査してる。クオリティ調査ですな。コンサルなのでw

物理サービス品質は良好(フロント等の対応)。
wifiは問題あり(システム側と思われるIPが丸見え、21/22/80/443/3306が空いてる)。
などの調査を酔いどれが実施しますた。

;経営母体役員に許可は得てます。一般の方が真似すると不正アクセス禁止法に抵触する可能性あり。尚、自腹宿泊…

パッシブスキャンが一番安全。wifiが全て同一セグメントの場合は、宿泊者全ての通信が見えてしまう可能性があり、これは設計の問題。だが、ままある。
それ以上に、proxyやgatewayなどはサービスポートのみを開けるべきで、wifi側に21/22/80/443などでの管理ポートは出してはいけない。

webサービスでは当たり前のことが、非IT系業界では行われていないことが多い。専門外で知見が少ないからだと思われるが、発注先の業者自体の質の問題かもしれない。ICTのリスクが非IT業界本業に影響を与える場合は、対策しないといけないと思われる。

何を気にすべきかが専門外でわからないから放置、は一番まずい。胡散臭いコンサルなら、ペネテストまでせずとも合理的に問題指摘や改善策を出せるので、金で解決が簡単。
知ってるけど放置、はリスク許容と考えられるので、その時は誰かが人身御供になるのかな。

こういうのを見てると、ネットワークやシステムを安全に設計するために外してはいけない事 を知らない、のが原因で踏み台やらゾンビホストが作られてるなと思うの。
だからこそ、非機能要求グレードとかの勉強会を通じて、何に気をつけるべきか、の考え方を浸透させたいなと思ってるの。

「Jenkins」の初期設定で遠隔からのコード実行が可能になる恐れ、管理者は確認を blog.trendmicro.co.jp/archives/22082

講演の内容が記事になりましたのでご笑覧ください / “Webサービス運営者がパスワードを扱う上での基本知識 – BUSINESS LAWYERS” htn.to/23JFpZyo2u

招待制。『報償金も用意しているほか、バグバウンティプログラムにおける免責なども明確化した』:【セキュリティ ニュース】MS、脆弱性調査環境「Azure Security Lab」を新設 – 報償金は最高30万ドル(1ページ目 / 全2ページ):Security NEXT security-next.com/107142

2段階認証の落とし穴、ヤマト運輸が不正ログインを許したワケ tech.nikkeibp.co.jp/atcl/nxt/colum…

PDFのJavaScriptでログインフォームを実装したフィッシング手口。

Clever Amazon Phishing Scam Creates Login Prompts in PDF Docs bleepingcomputer.com/news/security/… pic.twitter.com/hDwpwqfnNr

ハードウェアセキュリティ技術者向けの、ツールのカタログが無料公開されています。ある程度の知識がついた人の参考になるかもですね。電波法などの問題で、日本で使うとアウトなものもあるかもなので、物によっては実際に購入する際に注意が必要そうですが。
github.com/yadox666/The-H…

【論文紹介】OCGAN: 制約付き潜在表現を持つGANによる画像の異常検知 – ChillStack技術ブログ blog.chillstack.com/entry/2019/08/…

[独自記事]リクナビが提携サイトの閲覧履歴も取得していた事実が判明 tech.nikkeibp.co.jp/atcl/nxt/colum…

「うち以外は淘汰されますよ」。始めたばかりのスマホ決済「7pay(セブンペイ)」について豪語していたセブン&アイ幹部。皮肉にも真っ先に淘汰される結果になりました。
s.nikkei.com/2yJH4gA

セブン以外淘汰されますよの件、7Pay終了のお知らせ以降もセキュリティ人材に高額オファー出してるようなのでまだ諦めてないぽいな

ロシアのハッカー集団がプリンターから企業に侵入、MSが警告 ascii.jp/elem/000/001/9…

日本価格は6000円(税込)。Googleアカウントをハッキングやフィッシングから守るのに適しており、特に探査や攻撃を受けることが多い高価値のアカウントには有効だといいます。
japan.zdnet.com/article/351407…

マイクロソフト、「Azure Security Lab」発表–Azureバグ報奨金倍増も japan.zdnet.com/article/351409…

[ITmedia エンタープライズ]危険なランサムウェア「MegaCortex」の更新版出現、感染被害拡大の恐れも bit.ly/2KswTmn

[ITmedia エンタープライズ]IaaS攻撃の実践に挑む、Microsoftが「Azure Security Lab」の参加者募集 bit.ly/2Ky4Uld

[ITmedia NEWS]「ウォレットサーバにバックドアを仕掛けられた」 仮想通貨流出のビットポイント親会社が発表 一部業務は再開へ bit.ly/2YPJDwi

[ITmedia NEWS]「リスト型攻撃に対策を」 金融庁と経産省、決済事業者に不正アクセス対策強化を要請 7payの不正ログイン被害で bit.ly/2KrUaVm

[ITmedia エンタープライズ]半径300メートルのIT:逃げなかった先人たち 過去のインシデントの「後始末」を振り返る bit.ly/2YMPkeG

自宅セキュリティ研究所

自宅セキュリティ研究所 wrote 2713 posts

Tags

Post navigation


コメントを残す

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>