[B! security] kmiya_bbmのブックマーク

S3経由でXSS!?不可思議なContent-Typeの値を利用する攻撃手法の新観点 - Flatt Security Blog

はじめにセキュリティエンジニアの齋藤ことazaraです。今回は、不可思議なContent-Typeの値と、クラウド時代でのセキュリティリスクについてお話しします。本ブログは、2024 年3月30日に開催された BSides Tokyo で登壇した際の発表について、まとめたものです。また、ブログ資料化にあたり、Content-Type の動作や仕様にフォーカスした形で再編を行い、登壇時に口頭で補足した内容の追記、必要に応じた補足を行なっています。また、本ブログで解説をする BSides Tokyoでの発表のもう一つの題である、オブジェクトストレージについては、以下のブログから確認をすることが可能ですので、ご覧ください。 blog.flatt.tech なぜ今、この問題を取り上げるのか？従来のファイルアップロードにおいて、Content-Type の値を任意の値に設定すること

kmiya_bbm 2024/06/10

security
S3

リンク

Your API Shouldn't Redirect HTTP to HTTPS

TL;DR: Instead of redirecting API calls from HTTP to HTTPS, make the failure visible. Either disable the HTTP interface altogether, or return a clear HTTP error response and revoke API keys sent over the unencrypted connection. Unfortunately, many well-known API providers don't currently do so. Updated 2024-05-24: Added the Google Bug Hunter Team response to the report that the VirusTotal API resp

kmiya_bbm 2024/06/01

api
security

リンク

令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

Intro CSRF という古の攻撃がある。この攻撃を﹁古(いにしえ)﹂のものにすることができたプラットフォームの進化の背景を、﹁Cookie が SameSite Lax by Default になったからだ﹂という解説を見ることがある。確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。今回は、﹁CSRF がどうして成立していたのか﹂を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。結果として見えてくるのは、今サービスを実装する上での﹁ベース﹂(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件例えば、攻撃者が用意した attack.examp

kmiya_bbm 2024/05/19

リンク

CVE-2022-40982 - Gather Data Sampling - Downfall

Publication Date: 2023/08/08 1:00 PM PDT AWS is aware of CVE-2022-40982, also known as “Gather Data Sampling” (GDS) or “Downfall”. AWS customers’ data and instances are not affected by this issue, and no customer action is required. AWS has designed and implemented its infrastructure with protections against this class of issues. Amazon EC2 instances, including Lambda, Fargate, and other AWS-manag

kmiya_bbm 2023/08/10

AWSのインフラは Downfall の影響を受けないとのこと

security
aws

リンク

「初級から上級までセキュアなAWS環境の作り方」というタイトルでAWS Summit Tokyoのクラスメソッドブースでミニセッションしました #AWSSummit | DevelopersIO

こんにちは、臼田です。みなさん、AWSのセキュリティ対策してますか？(挨拶今回は、幕張メッセで行われているAWS Summit Tokyoの会場で実施した、クラスメソッドのミニセッションの内容を共有します。資料解説のちほど書きます参考リンク集

kmiya_bbm 2023/07/03

aws
security

リンク

[安全なAWSセキュリティ運用ナレッジ2022]セキュアアカウントの使い方 | DevelopersIO

AWS環境をセキュアにセットアップする方法と、その運用方法を詳細に紹介します。秘伝のタレである具体的な設定も書いてます。みんな真似していいよ！こんにちは、臼田です。みなさん、安全にAWS使えていますか？(挨拶今日は全てのAWSユーザーが安全にAWSを活用し、セキュアに運用できるようにナレッジを大量にダンプしたいと思います。弊社サービスに関連させて書く部分もありますが、基本的にどのようなAWS環境でも適用できると思います。ちょっと長い背景クラスメソッドでは長いこと様々なAWSを利用するお客様を支援しています。私は特にセキュリティ周りについて支援させていただくことが多く、最近はAWSのセキュリティサービスが充実していることから、これらの初期導入や運用設計、あるいはインシデント対応やその後の組織としてのセキュリティ体制づくりなどいろんな関わり方をしてきました。どのようにセキュリティ

kmiya_bbm 2023/07/03

aws
security

リンク

OpenSSL Security Advisories - November 2022

Initial Publication Date: 2022/11/01 09:00 PDT AWS is aware of the recently reported issues regarding OpenSSL 3.0 (CVE-2022-3602 and CVE-2022-3786). AWS services are not affected, and no customer action is required. Additionally, Amazon Linux 1 and Amazon Linux 2 do not ship with OpenSSL 3.0 and are not affected by these issues. Customers utilizing Amazon Linux 2022, Bottlerocket OS or ECS-optimiz

kmiya_bbm 2022/11/02

Amazon Linux 2022 は予想通りだけど、なるほどECS最適化AMIか。

security

リンク

Auth0のアクセストークンをLocal Storageに保存するのは安全？メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog

※追記: 本記事の続編としてin-memory方式からアクセストークンを奪取するPoCを下記記事で公開しました。ぜひあわせてご覧ください。はじめにこんにちは。セキュリティエンジニアの@okazu-dm です。この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今かなり普及が進んでいると思いますが、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用まで観点に含めて専門家がチェックすることが可能です。ご興味のある方は是非IDaaS利用部

kmiya_bbm 2022/09/22

spa
security

リンク

SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ

SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するかブラウザでトークンを保存できる場所保存場所の比較メリット・デメリット Auth0のアプローチトークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立 Auth0のjsライブラリログインアクセストークンの（再）取得図解ログインアクセストークンの（再）取得自サービス内の認証だけのもっと簡易な構成ログイン IDトークン取得まとめ SPAの認証トークンをどこに保存するか React やVueで認証付きSPA（Single Pa

kmiya_bbm 2022/09/22

spa
security

リンク

Firebase AuthなどJavaScriptでAPIセッション用のトークンを得ることについて - Qiita

ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう（※ こちらの参照記事の内容自体に不備があるとか甘いとか指摘するものではないんですが、勝手に枕として使わせてもらいます）上記記事は、Firebase Authenticationが提供するJavaScript APIを使ってJWTのトークンを取得し、自前のサーバにHTTPのヘッダで送りつけて検証をさせることで、認証の仕組みをセキュアかつかんたんに実現しよう、という内容です。このようにJavaScriptのAPIでトークンを発行して自前バックエンドのAPI認証につかう方法はAuth0のSDKなどでも行われていますので、IDaaSをつかってSPAを開発する場合には一般的なのかもしれません。話は変わりますが、SPAの開発に携わっている方は「localStorageにはセッション用のトー

kmiya_bbm 2022/09/22

spa
security

リンク

[2021年版]AWSセキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 | DevelopersIO

[2021年版]AWS セキュリティ対策全部盛り[初級から上級まで] というタイトルでDevelopersIO 2021 Decadeに登壇しました #devio2021 DevelopersIO 2021 Decadeで登壇した動画や資料を掲載、解説をしています。AWSのセキュリティについて網羅的に扱っています。ちょー長いのでご注意を。こんにちは、臼田です。みなさん、AWSのセキュリティ対策してますか？(挨拶ついにやってまいりました、DevelopersIO 2021 Decade！私は﹁[2021年版]AWS セキュリティ対策全部盛り[初級から上級まで]﹂というテーマで登壇しました。動画と資料と解説をこのブログでやっていきます。動画資料解説動画はちょっぱやで喋っているので、解説は丁寧めにやっていきます。タイトル付けの背景今回何喋ろうかなーって思ってたら、2年前のDeve

kmiya_bbm 2022/06/14

aws
security

リンク

Site Isolation 及び Web のセキュリティモデルの更新 | blog.jxck.io

Intro Origin は Web におけるセキュリティモデルの一つとして、コンテンツ間の Communication に関する境界を定義し、リソースを保護してきた。しかし、 Spectre の発覚以降、 Communication に関する制限だけではなく Isolation によるメモリレベルでのアクセス制御が必要となった。そこで現在作業されているのが、 CORB, CORP, COEP, COOP といった仕様群であり、これは Web におけるセキュリティモデルの更新作業と見ることができる。概要と現状について解説する。DEMO & Resources 量が多いため、動作するDEMOと関連リソースは、ページ下部にまとめてある。 CORS によるCross Origin Communication の制限 CORS は、平たく言えば、リソース提供元(サーバ)が、クライアン

kmiya_bbm 2020/06/09

Spectreへの対策として、異なるOriginのデータを同じプロセスのメモリ内に読み込まないようにするためのブラウザ側の対応と、HTTPレスポンスヘッダーについて。

リンク

サーバーレスアプリケーションの最も危険なリスク12選 - Qiita

2020/3/14 追記昨年、PureSec も加盟している Cloud Security Alliance の Israel Chapter から、The 12 Most Critical Risks for Serverless Applications 2019 が公開されました。 ※本記事の公開時点で既に TOP12が最新でした・・・本記事で記載している既存の TOP10の内容に大きな変更はなさそうですが︵SAS-9 は Serverless Business Logic Manipulation に改題︶、新たに追加された SAS-11、SAS-12 について本文に追記します。既存の文章にも差分があるようですので、正確な内容は原文をご参照ください。追記はここまでイスラエルのセキュリティスタートアップ PureSec による The Ten Most Critica

kmiya_bbm 2019/11/05

リンク

Node.jsセキュリティ

OWASP Night 2019-03-11 / OWASP Japan

kmiya_bbm 2019/03/19

Node.js に特有の問題と対策について。同期処理によるブロック(ReDoS、巨大なJSONのJSON.parse/stringify)、prototype汚染。なるほどなぁ。。。 ●JavaScript ●security

リンク

PenTesterが知っている危ないAWS環境の共通点

JAWS DAYS 2019に登壇した時の資料です。セッション中の攻撃デモの動画は以下となります。 https://youtu.be/AyzrYEM601wRead less

kmiya_bbm 2019/02/28

aws
security

リンク

Webアプリや拡張機能（アドオン）で、Web Crypto APIを使ってローカルに保存されるデータを暗号化する - 2019-01-30 - ククログ

株式会社クリアコード > ククログ > Webアプリや拡張機能︵アドオン︶で、Web Crypto APIを使ってローカルに保存されるデータを暗号化する ※注記‥本文末尾の﹁公開鍵暗号ではなく共通鍵暗号を使う理由﹂の説明について、2019年1月30日午前0時から21時までの間の初出時に内容の誤りがありました。また、2019年1月30日午前0時から2月5日20時頃までの間において、本文中での AES-CTR による暗号化処理が、 nonce を適切に指定していないために脆弱な状態となっていました。お詫びして訂正致します。初出時の内容のみをご覧になっていた方は、お手数ですが訂正後の説明を改めてご参照下さい。クリアコードで主にMozilla製品のサポート業務に従事している、結城です。 FirefoxやThunderbirdがSSL/TLSで通信する際は、通信内容は自動的に暗号化されます。その一

kmiya_bbm 2019/02/05

リンク

Serverless Framework: Minimal IAM role Permissions

Serverless framework Tutorials get you started by using a powerful AWS admin user, now you are wondering how to narrow down permissions and making your environment more secure. After a bit of reading on Serverless’ issue [1] and bashing my head around, this post explains how to chunk permissions into roles, and provide templates withthe minimal needed policies. The guide below will assume you are

kmiya_bbm 2018/10/03

ServerlessFrameworkをAWSに対して使うときにAdmin権限持たせるんじゃなくて権限を絞るにはどうするか、の話。具体的なIAMpolicyの例があって良い

リンク

今なぜHTTPS化なのか？インターネットの信頼性のために、技術者が知っておきたいTLSの歴史と技術背景

︻変更履歴 2018年2月15日︼当初の記事タイトルは﹁いまなぜHTTPS化なのか？技術者が知っておきたいSEOよりずっと大切なこと ― TLSの歴史と技術背景﹂でしたが、現行のものに変更しました。現在GoogleではWebサイトのHTTPS対応と検索結果の関係を強調しておらず、本記事の趣旨の一つにも本来は独立した問題であるSEOとHTTPS化を関連付けるという根強い誤解を解くことがありますが、当初のタイトルではかえってSEOとHTTPSを関連付けて読まれるおそれがあり、また同様の指摘もいただいたことから変更いたしました。 HTTPとHTTPSは、共にTCP通信上で動作します。したがって、いずれもTCPハンドシェイクで通信を開始します。 HTTP通信の場合には、このTCPハンドシェイク直後に、HTTPリクエストとレスポンスのやり取りが始まります。このHTTPのやり取りは平文通信であり、途

kmiya_bbm 2018/02/19

security

リンク

ゼロから考える脆弱性対応 - Qiita

はじめにこんなツイートを見かけました。・脆弱性ってなんだろう・脆弱性対応ってなにしたらいいの？・情報を集めよう・該当機器を洗いだそう・対応方法を決めよう … みたいなまとめほしいけど意外とないから作りたい…作るしかなくない…？ — ナツヨさん@インフラ女子の日常 (@infragirl755) 2018年1月15日たしかにそうだなぁ。生きてるシステムを運用する現場SEの気持ちになって力試しに書いてみよう。おことわり最初に記事スコープのおことわりです。「対策」「対処」「対応」、似たような言葉ですがこれらを並べて考えたことはあるでしょうか？記事名には「脆弱性対応」という言葉を使っていますが、「対応」ということでこの記事のスコープを少し狭く取っています。対策・対処・対応の違い対策: 何かが起きる前に講じる処置や手段のこと。対処: 何かが起こって

kmiya_bbm 2018/01/31

security

リンク

新しい Amazon S3 暗号化 & セキュリティ機能 | Amazon Web Services

Amazon Web Services ブログ新しい Amazon S3 暗号化 & セキュリティ機能 S3 を発表した 2006 年に、私は「さらに、各ブロックは ACL (アクセスコントロールリスト) によって保護されているため、開発者はデータを非公開にしたり、共有したり、読み書きしたりすることができます。」と書きました｡最初のモデルから､プライベートバケットと ACL を使用してアクセスを許可することで、バケットポリシー､サーバーアクセスロギング､バージョニング､API ロギング､クロスリージョンレプリケーション､複数のクライアント側およびサーバー側の暗号化オプションのサポートが追加されました。これらはすべて､データを安全に保つために必要なツールを提供し、必要に応じてお客様やパートナーと共有できるようにすることを目的としています。私たちはまた､大規模なコンテンツの検索、分類、保護

kmiya_bbm 2018/01/24

S3バケットを作成するスクリプトにデフォルト暗号化を有効化する設定を追加せねば。#awsblackbelt

リンク

はてなブックマーク

タグ

関連タグで絞り込む (14)

securityに関するkmiya_bbmのブックマーク (32)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス