Vulsのコードを読むその４ Vuls reportを調べてみた

tool Go Vuls

Vulsのコードを読むその１全体像の把握, Vulsのコードを読むその２ go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで, Vulsのコードを読むその３ Vuls scanを調べてみたの続きになります。今回はVuls reportの部分を調…

2019-12-07

Vulsのコードを読むその３ Vuls scanを調べてみた (Vulsへのプルリク)

tool Go Vuls

Vulsのコードを読むその１全体像の把握, Vulsのコードを読むその２ go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまでの続きになります。今回は、Vulsのscan部分を具体的に掘り下げて理解していきたいと思います。

2019-11-17

Vulsのコードを読むその２ go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで

tool Go Vuls

前回、Vulsのコードを読むその１全体像の把握でざっくりとscanコマンド周りのそーうコードと実行時の流れの理解を行いました。今回は、Vulsの中で利用されている go-cve-dictionary についてソースコードを読んで、理解をしていきたいと思います。また、…

2019-11-10

HTTPセキュリティヘッダーを検証する Webツール、CLIツール Mozilla Observatory, Observatory-cli, testssl

HTTP tool

HTTPセキュリティヘッダーを簡単に検証できるWebツール、CLIツールを調べて見ました。ブラウザのデベロッパーツールでも確認することは可能ですが、より詳細に、より簡単に検証するためにはやはりWebツール、CLIツールを利用することがおすすめです。既に…

2019-11-04

Vulsのコードを読むその１全体像の把握

tool Go Vuls

脆弱性スキャナ Vulsのコードを読んで理解を深めていきたいと思います。 GitHub - future-architect/vuls: Agent-less vulnerability scanner for Linux, FreeBSD, Container Image, Running Container, WordPress, Programming language libraries, Network…

2019-10-27

ビズリーチのOSS 脆弱性管理サービス yamory 無料トライアル使ってみた　他のツールとの比較などのレビュー

CVE CVSS tool

ビズリーチのOSS 脆弱性管理サービス yamory がついに無料トライアルできるようになったので使ってみました。以前「ビズリーチのOSS 脆弱性管理サービス yamoryについて調査どんなことができて、どう実現されているのか」という記事を書きました。実際に…

2019-10-19

ソフトウェアデザイン 2019年11月号脆弱性スキャナ特集(Vuls/Trivy/Dockle) まとめと感想

本 OSS tool Vuls

ソフトウェアデザイン 2019年11月号の特集2が脆弱性スキャナ Vuls/Trivy/Dockleとのことでしたので早速購入してみました。使い方の説明もありますが、私としてはそれぞれのOSS作者の開発秘話のような話が聞けてとても面白かったです。自分もOSSへコミット…

2019-10-17

SOFT SKILLS　ソフトウェア開発者の人生マニュアルまとめその2 マインド編

本マインド

ソフトウェアエンジニアのための「技術」ではなく、キャリアや学習方法、生産性、メンタルに関してなど、ソフトウェアエンジニアがより良い人生を歩めるようになるための本「SOFT SKILLS ソフトウェア開発者の人生マニュアル」についていくつか紹介します。 …

2019-10-15

SOFT SKILLS　ソフトウェア開発者の人生マニュアルまとめその1 キャリア編

キャリア本

ソフトウェアエンジニアのための「技術」ではなく、キャリアや学習方法、生産性、メンタルに関してなど、ソフトウェアエンジニアがより良い人生を歩めるようになるための本「SOFT SKILLS ソフトウェア開発者の人生マニュアル」についていくつか紹介します。 …

2019-10-14

ビズリーチのOSS 脆弱性管理サービス yamoryについて調査　どんなことができて、どう実現されているのか

CVE CVSS tool

ビズリーチより8月27日にGithubのリポジトリからオープンソース(OSS)の脆弱性を発見、管理できるようにするWebアプリケーション「yamory」が発表された。どんな機能があり、どんなことができるのか、どう実現されていそうかなどについて説明します。また、…

2019-09-01

倫理的ハッカー資格 CEH vs OSCP どっちを受けるべきか

資格教育

ネット上でよく議論される話題である CEH vs OSCP に関して、10年以上セキュリティのトレーナーとして活躍し、CEH, OSCP, ISO 27001主任監査員でもあるGabriel Avramescuの記事を参考にまとめる。

2019-08-31

GoogleがWebサイトで利用されていたiPhoneのゼロデイ脆弱性を発見 2年間もの間悪用されていた恐れ

iOS ゼロデイハッキングマルウェア

Googleのセキュリティグループ Project Zero はiPhoneが2年間もの間、Webサイトにアクセスさせるだけでハッキングされる恐れがあったことを報告した。 5つのエクスプロイトチェーンが公開され、全体で14つの脆弱性が発見された。 1つ1つのチェーンに関する詳…

2019-08-30

バグバウンティは増加傾向ハッカーのうち利益を得ているのはわずか1% HackerOne調査

バグバウンティ

最近 Google、Appleがバグバウンティ制度を拡大しているが、バグバウンティで支払われる平均金額が上がっているとバグバウンティのプラットフォームを提供しているHackerOneがレポートを発行した。クリティカルな脆弱性に対して支払われた平均の金額は平均3…

2019-08-30

Android Google Play アプリのバグバウンティ範囲を拡大 1億DL以上の全てのアプリが対象に

Android プライバシーバグバウンティ

GoogleがAndroidのバグバウンティプログラム Google Play Security Reward Program (GPSRP) の対象を拡大し、ダウンロード数が1億回以上の全てのアプリを対象とした。加えて、新たなプログラム Developer Data Protection Reward Program (DDPRP) も開始。 …

2019-08-29

Androidの人気PDF作成アプリCamScannerにマルウェア 1億人以上に影響

Android マルウェア

1億ダウンロード以上されている Androidの人気PDF作成アプリCamScannerにマルウェアが発見された。既にGoogle Playストアからは削除されている。今回のKasperskyによって発見されたマルウェアが混入した原因は広告のためのサードパーティライブラリー（AdH…

2019-08-29

Android セキュリティ教育のための脆弱なアプリ EVABS リリース

Android tool

Androidのセキュリティを学ぶための脆弱なアプリEVABSがリリースされた。このアプリでは、レベルごとに設定された課題(Challenges)をクリアしていくことでAndroidのセキュリティを学んでいく事ができる。課題をクリアするためにはADB、apktool、dex2jarな…

2019-08-28

Apple iOS 12.4.1 緊急パッチリリース脱獄可能な脆弱性へ対応

iOS 脱獄 CVE パッチ

iOS 12.4のパッチにiOS 12.2に含まれていたuse-after-free(解放済みのメモリ使用)の脆弱 (CVE-2019-8605)が謝って混入していた問題があったが、修正したパッチが提供された。パッチを適用するにはiPhoneのソフトウェアップデートより行う事ができる。脱獄…

2019-08-27

Webホスティングプロバイダー Hostinger 顧客情報を漏洩 1400万人分のパスワードをリセット

ハッキング認証

Webホスティングプロバイダー Hostingerがハッカーによって顧客情報が保存されたサーバーに不正アクセスされ、顧客情報が流出した。予防措置として、全顧客2900万のうち、影響があると疑われている1400万人分のパスワードのリセットを行なった。 Hostinger…

2019-08-26

Android 10 セキュリティとプライバシーをより強化位置情報や利用者のトラック Adiantum 小さなサンドボックス

Android プライバシー

お菓子の名前を辞めたAndroid 10は、新しいより強固なセキュリテイとプライバシーの機能が追加される。プライバシーに関するものでは、アプリがバックグラウンドで動作している時には位置情報を渡さない (起動中のみ位置情報を渡す) オプションの提供や利用…

2019-08-25

Google 広告のトラッキングからユーザーを守るプライバシーサンドボックスを発表

Google プライバシーブラウザー

Googleがプライバシーサンドボックスと呼ばれるオンライン広告によるユーザーのトラッキングに対処する機能を発表しました。 Googleは、広告によるトラッキングが当初の想定を超えて利用されてしまっている現状を認め、ユーザーのプライバシーへ対処する。 …

2019-08-24

パスワードが流出していないかどうか検査できるOSINTツール pwnedOrNot

tool 認証

パスワードの流出確認ができるサイト「Have I Been Pwned?」、このAPIとPastebin Dumpsでパスワードの特定を行うことができるOSINT ツール pwnedOrNot v1.2.8 がリリースされた。使い方は簡単。入力としてメールアドレスや複数のメールアドレスが書かれたフ…

2019-08-23

GitHub WebAuthnをサポート 2要素認証が可能に

認証

GitHubがWebAuthnのサポートを発表、SMSやワンタイムパスワードアプリ、U2Fセキュリティキーを利用した2要素認証(2FA)が利用可能になる。認証方法として、Windows Hello、macOSのTouch ID、Androidの指紋認証も選択できる。 2要素認証を利用する事でロック…

2019-08-22

Facebookがプライバシーを考慮した機能追加 Facebook外のアクティビティを削除・切断可能に

Facebook プライバシー

Facebookは過去1年間にプライバシー対策を複数行なっており、ユーザーに細かく制御できる機能やデータの透明性を向上する施策を取ってきていた。今回、新しい取り組みとして「Off-Faceook Activity」と呼ばれるFacebook外のウェブサイトやアプリでのユーザ…

2019-08-21

Microsoft 新型ChromiumベースのEdgeに脆弱性に3万ドルの報酬金

Microsoft ブラウザー

MicrosoftがChromiumベースのEdgeのベータ版をリリースし、それに伴い既存のバグバウンティプログラムを拡張し、1,000ドルから30,000ドルまでの報酬を与えることになった。 https://www.microsoft.com/en-us/msrc/bounty-new-edge スコープとなる脆弱性は、…

2019-08-21

ゲームプラットフォーム Steam アカウントを乗っ取られる詐欺 2FAでもバイパスされる

ハッキング認証

無料でSteamのゲームが貰えるというクーポンコード付きのメッセージが送られ、そのリンクから偽物のサイトにアクセスしてしまい、アカウントを乗っ取られる詐欺が発見されている。偽サイトでログインを行うと、攻撃者側のサーバーのバックグラウンドでログ…

2019-08-20

Linux向け管理ツール Webmin ゼロデイ脆弱性バックドアが設置されるエクスプロイトコードも公開済み

バックドア CVE ゼロデイ

Linux向けのWebブラウザベースの管理ツールであるWebminにゼロデイ脆弱性が発見された。この脆弱性はコーディングミスによるものではなく、ハッカーによってバックドアを入れられたものである。また、この脆弱性はバージョン1.882~1.921に影響し、一年以上…

2019-08-17

欧州中央銀行のWebサイト(BIRD)がハッキングされマルウェアが入れられる

ハッキング銀行

欧州中央銀行(ECB)のWebサイトのひとつであるthe Banks’ Integrated Reporting Dictionary (BIRD)がハッキングされ、マルウェアが入れられていることが15日に公表された。現在、BIRDのWebサイトは閉鎖されている。 the Banks’ Integrated Reporting Diction…

2019-08-16

Firefox マスターパスワードの脆弱性を修正 (デフォルトでマスターパスワードの設定はなし)

ブラウザー脆弱性認証

Firefoxにマスターパスワードを入力せずに保存されたパスワードをクリップボードにコピーすることができるバグがあり、14日に修正されました。この脆弱性はCVE-2019-11733として公開されています。 CVE-2019-11733: Stored passwords in 'Saved Logins' can …

2019-08-16

新しいAndroidのバンキング型マルウェア Cerberus 1ヶ月2000ドルでレンタル可能

Android マルウェア

これまでにもAnubis, Red Alert 2.0, GM bot, ExobotなどのAndroid マルウェアがダークWebでビジネスとしてレンタルサービスを行なっていたが、新たにと呼ばれる新しいリモートアクセストロイの木馬が発見された。 Cerberus このマルウェアに感染すると、リ…

Security Index

セキュリティやソフトウェアについてのあれこれ

2019-01-01から1年間の記事一覧

Vulsのコードを読むその４ Vuls reportを調べてみた

Vulsのコードを読むその３ Vuls scanを調べてみた (Vulsへのプルリク)

Vulsのコードを読むその２ go-cve-dictionary を理解する、バグを見つけてプルリクを出してマージされるまで

HTTPセキュリティヘッダーを検証する Webツール、CLIツール Mozilla Observatory, Observatory-cli, testssl

Vulsのコードを読むその１全体像の把握

ビズリーチのOSS 脆弱性管理サービス yamory 無料トライアル使ってみた　他のツールとの比較などのレビュー

ソフトウェアデザイン 2019年11月号脆弱性スキャナ特集(Vuls/Trivy/Dockle) まとめと感想

SOFT SKILLS　ソフトウェア開発者の人生マニュアルまとめその2 マインド編

SOFT SKILLS　ソフトウェア開発者の人生マニュアルまとめその1 キャリア編

ビズリーチのOSS 脆弱性管理サービス yamoryについて調査　どんなことができて、どう実現されているのか

倫理的ハッカー資格 CEH vs OSCP どっちを受けるべきか

GoogleがWebサイトで利用されていたiPhoneのゼロデイ脆弱性を発見 2年間もの間悪用されていた恐れ

バグバウンティは増加傾向ハッカーのうち利益を得ているのはわずか1% HackerOne調査

Android Google Play アプリのバグバウンティ範囲を拡大 1億DL以上の全てのアプリが対象に

Androidの人気PDF作成アプリCamScannerにマルウェア 1億人以上に影響

Android セキュリティ教育のための脆弱なアプリ EVABS リリース

Apple iOS 12.4.1 緊急パッチリリース脱獄可能な脆弱性へ対応

Webホスティングプロバイダー Hostinger 顧客情報を漏洩 1400万人分のパスワードをリセット

Android 10 セキュリティとプライバシーをより強化位置情報や利用者のトラック Adiantum 小さなサンドボックス

Google 広告のトラッキングからユーザーを守るプライバシーサンドボックスを発表

パスワードが流出していないかどうか検査できるOSINTツール pwnedOrNot

GitHub WebAuthnをサポート 2要素認証が可能に

Facebookがプライバシーを考慮した機能追加 Facebook外のアクティビティを削除・切断可能に

Microsoft 新型ChromiumベースのEdgeに脆弱性に3万ドルの報酬金

最新のバージョン iOS 12.4 に脱獄可能な脆弱性 12.3で修正された脆弱性が再度混入が原因

ゲームプラットフォーム Steam アカウントを乗っ取られる詐欺 2FAでもバイパスされる

Linux向け管理ツール Webmin ゼロデイ脆弱性バックドアが設置されるエクスプロイトコードも公開済み

欧州中央銀行のWebサイト(BIRD)がハッキングされマルウェアが入れられる

Firefox マスターパスワードの脆弱性を修正 (デフォルトでマスターパスワードの設定はなし)

新しいAndroidのバンキング型マルウェア Cerberus 1ヶ月2000ドルでレンタル可能