Kanatoko @kinyuka Twitter profile | Pikagi

Pikagi

Kanatoko

@kinyuka

2,594

Followers

741

Following

85

Media

15,566

Statuses

最高品質のウェブセキュリティサービスをお届けする。 Scutum VAddy Loggol の中の人でつ。

Yokohama Japan

Joined September 2009

Don't wanna be here? Send us removal request.

Pinned Tweet

@kinyuka

Kanatoko

24 days

はてなブログに投稿しました Loggolというサービスを作った理由 - Loggol ブログ #はてなブログ

Tweet card media

Loggolというサービスを作った理由 - Loggol ブログ

はじめについにLoggol(ロゴル)の正式版をリリースすることが出来ました。それに合わせてLoggolブログも開始です。まず最初の記事として、そもそも何故このサービスを作ったのかについて書いてみようと思います。理由は複数あり、それらが複合的に混ざることで実際のサービス化を決心しました。 1. WAFの技術を活かせる …

0

4

14

Last Seen Profiles

@unana_3

@growtopiagame

@bNYPIKoRW8E1jHt

@justinsendobr

@pear0001sub

@Arm_cnt

@toncu34_39

@stwmaniax

@opii_55

@AdanQuenti81395

@stwmaniax

@SnoopDog

@Hijabbacol2883

@springfieldfcv1

@tocc_

@CamiloMerc40729

@OccupyNYCHA

@8ZUUqDpUmK58021

@AF_Graphs

@AnovaGolf

@alessandrajijon

@kahnkitanaa

@rksd1dur

@TomMcNulty1988

@81eJJGyilgq1Dup

@MTpNHSb43q81399

@len_mattoo

@stw_pdg

@Marinaponzo

@irelandsaysyes

@komasan7101

@GTyreece45746

@Sishe378399

@rjh_0315

@BinorRaja

@MotivBowling

@kinyuka

Kanatoko

7 years

「AI人材を募集します」「はい」「あなたにはAIの教師になって頂きます」「はい」「まず今日は、ここにある1800枚の画像にラベルを付けて下さい」「…？」「猫が写っていたらcat、犬が写っていたらdogと入力してください」「…」「明日から毎日5000枚がノルマです」

7

2K

3K

@kinyuka

Kanatoko

4 months

「ランサムウエア追跡チーム」で一番衝撃だったのは身代金を支払う仲介業者がめちゃくちゃ儲けてること。日本でもそういう会社（業態）が定着したらほんとに嫌だなぁ

3

547

1K

@kinyuka

Kanatoko

3 years

go言語にmap/filterが無い理由、みなさんきちんと理解しましたか？僕はロブ・パイク先生の口からはっきりとききました。「forの方が速い(軽い)から。」現場からは以上です。

1

270

1K

@kinyuka

Kanatoko

4 years

数年間悩んでいた疑問がついに解消したのでブログに書きました。『教師なし学習の性能評価は雰囲気でやるしかない』 Kaggleのコンペに教師なし学習が出ないのもこれが原因なのかな、と考えてます。

Tweet media one

2

134

602

@kinyuka

Kanatoko

3 years

log4jのコードを読んだ感想・FATすぎ・コードきれい・JavaDoc整備されててすごい・標準クラスライブラリかってくらい丁寧・Lookup種類おおすぎ・てかLookupするな

0

100

497

@kinyuka

Kanatoko

1 year

Apache/CloudFront/NGINX 等のアクセスログを投げると一瞬でセキュリティのためのログ分析を行うサービスを出しました。名前はLoggol(ロゴル)です。IPAのiLogScannerに似たスタイルです。何十万行もあるログから、例えばSQLインジェクション攻撃を含む行だけを抽出したい(続

Tweet media one

3

101

350

@kinyuka

Kanatoko

6 years

公開鍵を平文で送っちゃまずいケースもある。「この公開鍵でログインできるように、authorized_keysに追加しておいて」というメールなりが途中で攻撃者に改ざんされるケース。

1

141

327

@kinyuka

Kanatoko

3 years

Log4jの件では珍しく(?)難読化によるWAFの回避が話題になっていましたが、その辺についてブログ書いてみました。Scutumでは今回はシグネチャ・正規表現で頑張るのはキツイと判断して、独自にパーサを書いて対応しています。

Tweet card media

Log4jで話題になったWAFの回避/難読化とは何か

2021年12月に発見されたLog4jのCVE-2021-44228は、稀に見るレベル、まさに超弩級の脆弱性となっています。今回、私はTwitterを主な足がかりとして情報収集を行いましたが、(英語・日本語どちら...

0

147

300

@kinyuka

Kanatoko

7 years

異常検知アルゴリズム2つ(XBOSとHBOS)をPythonで実装してGitHubで公開してみたところ、どちらも寄せられた反響(issue)は「Python2で動かない」というものであったｗ

0

69

212

@kinyuka

Kanatoko

6 years

警視庁が地方県警との差を見せつけてる。。８千回ボタン連打、システムに欠陥　仮想通貨の詐取事件：朝日新聞デジタル

0

118

181

@kinyuka

Kanatoko

4 years

ログ分析するセキュリティ技術者でAI/機械学習に興味がある人、grepよりも高度な技術での分析は具体的にどうやるの？という疑問を持っている人のために記事を書きました。「ゲートウェイドラッグ」ならぬゲートウェイ記事として機械学習への道を拓くエントリーになるといいな

Tweet card media

本物のウェブアクセスログを使用した、機械学習による異常検知(全データ/ソースコード公開)

この度、ついにこの記事を完成させることができました。これは私が数年前からずっと書きたいと思っていた、ウェブのアクセスログに対する、機械学習を使った異常検知の実例です。私は事あるごとに(※1)「情報セキ...

0

39

181

@kinyuka

Kanatoko

4 years

定番のプログラミングの入門ネタとしてCGIで訪問者カウンターを作るっていうやつがあって（年齢がバレるｗ）、当時ですら「同時アクセスに配慮しろ！」っていう強い注意喚起がされていたけどねぇ…やはり今回の問題、原因は若者のCGI離れじゃ！ｸﾜｯ！

1

52

159

@kinyuka

Kanatoko

7 years

『異常検知システム開発の難しさ』 WAF Tech Blog

Tweet card media

異常検知システム開発の難しさ

「異常検知したい」と考えている人は多いと思います。もはや囲碁ですら機械が人間を上回る時代となったので、システムの故障を発見したりクレジットカード詐欺を見つけたりという異常検知システムも、データサイエン...

0

54

134

@kinyuka

Kanatoko

15 days

JPCERTのリポジトリ。フィッシングサイトのURL集、ちゃんと更新されててすごい

Tweet card media

phishurl-list/2024/202407.csv at main · JPCERTCC/phishurl-list

Phishing URL dataset from JPCERT/CC. Contribute to JPCERTCC/phishurl-list development by creating an account on GitHub.

0

42

137

@kinyuka

Kanatoko

5 years

WAFといえばシグネチャ、というイメージが強いですが、実はシグネチャは古い技術であり、WAFの本来の仕事には全然向いていない、という点についてブログを書きました。

Tweet card media

シグネチャ依存型のWAFは避けよう

先日、とあるScutumを利用中のお客様からうれしいフィードバックを頂きました。　「ウェブサーバをオンプレからクラウドに移した際に、WAFを(一時的にScutumをやめて)そのクラウドにメニューとして...

0

59

136

@kinyuka

Kanatoko

5 years

脆弱性検査やってる会社が業務の裏にこれだけきちんとした開発する人を抱えているというのは非常にいいね。検査の品質の信頼に繋がるのでよい情報発信だと思った

Tweet card media

spindle-localproxy というローカルHTTPプロキシを開発しました【Part2】 - セキュアスカイプラス

本記事(Part2)では公開しても差し支えない範囲で技術的な内容を紹介します。

securesky-plus.com

0

45

134

@kinyuka

Kanatoko

5 months

一部のWAFがボディのさきっちょしか見ない「仕様」は警備会社で例えたら「うちは裏口は見ません。ｷﾘｯ」っていう感じなので、当然攻撃者は裏口からいらっしゃるでしょう。まぁこれ我々のチーム内では8年くらい前から認識してましたが、さすがに徐々に知られてきましたね。

0

24

102

@kinyuka

Kanatoko

3 years

IPAの件　なるほど、そもそも今回のやつは「脆弱性」ではないのか？そのへんが論点か？徳丸さんはどう言ってるんだろう？と思ってtwitter見に行ったら貧弱性の話してた

0

29

92

@kinyuka

Kanatoko

4 years

2020年になってもシグネチャ依存型のWAFが多いのはなぜ?　について考察した記事を書きました。一言でいうと「いろんな理由が混ざっている」という感じす。ベテランほど「WAF＝シグネチャ」と考えている説もあり。いずれにせよ幸せな形ではないと思うので、今後もがんばります。

Tweet card media

2020年になってもシグネチャ依存型のWAFが多いのはなぜか?

以前「シグネチャ依存型のWAFは避けよう」という記事に詳しく書いたように、WAFの仕事の本質は分類です。 WAFにはファイアウォールという言葉が含まれることから、その仕事には「守る」あるいは「防ぐ」よ...

1

32

91

@kinyuka

Kanatoko

3 years

書きますた。『Wizard Bible事件から考えるサイバーセキュリティ』執筆プロジェクトについて @kinyuka より

Tweet card media

『Wizard Bible事件から考えるサイバーセキュリティ』執筆プロジェクトについて

こちらの件、無事にクラウドファンディングが成立したとのことで、おめでとうございます(私も1部購入しておきました)。ここで取り上げられるであろういくつかの事件について、僕はざっと見た程度で細かく情報を確認はしていないけれど、何人かの方が警察によって（おそらく不適切な形で）精神的にひどい目にあわれたことについて、非常に残念なことだったと思います。事件の当事者以外のIT技術者（僕も含む）にとっ…

kanatoko.wordpress.com

2

28

80

@kinyuka

Kanatoko

5 years

CVE-2019-11043への攻撃が観測されはじめた。Strutsに比べると、情報が出てから実際に攻撃が来るまで少し時間に余裕があった感じ。個人的には、なんか少し面倒くさそうなパターンだから攻撃は来ないんじゃないかと予想してたんだけど、外れたｗ

0

61

79

@kinyuka

Kanatoko

3 years

SpringのRCE(CVE-2022-22965)について歴史的な視点で解説してみました。他社さんのブログ等を見ているとTomcatのクラスローダの攻撃ベクターを今回初めて知った人も多そうですが、これはStruts2がやらかしたときに発明されたものです。Spring詳しくないですが、微妙な印象。

Tweet card media

SpringのRCE脆弱性(CVE-2022-22965)について

この記事では特にCVE-2022-22965に焦点を当て、技術的な視点からの解説を行ってみます。

0

37

78

@kinyuka

Kanatoko

3 years

「jar内の特定のクラスファイル1つだけ狙い撃ちでとりあえず削除する」なんてめちゃくちゃなやり方が真面目に「対策」として語られるほどに今は異常事態なんだなぁ。Javaプログラマの視点からしたら、「え、1つのクラスだけ消したら、どこでどういう例外飛ぶか全くわからないよ！」というイメージ

0

13

79

@kinyuka

Kanatoko

3 years

今回のSpringの脆弱性は2つあって、片方がCloudFunction、もう一方はCore。CVEは前者にしか割り当てられていないのか？攻撃は両方とも既に飛んできている。

0

30

76

@kinyuka

Kanatoko

6 years

みなさんCSRF踏んで自白強要のことも思い出してやってください。

0

46

71

@kinyuka

Kanatoko

1 year

雑すぎﾜﾛﾀ『GET ｈttp://example.com:8000/ のようなポート番号指定の場合の挙動は、次のようになんと同じポート番号にhttpsでリダイレクトされます Location: ｈttps://example.com:8000/ 』

ChromeがHTTPSに優先アクセスする307リダイレクトをHSTS関係なくやるようになった - Code Day's Night

2023年11月1日の時点の情報です。先にまとめを書きます。興味があれば詳細もどうぞ。まとめ 10月16日のChrome 118からHTTPS ファーストモードがデフォルトでオンに条件によってHTTPS Upgradeが働いてhttpのサイトにアクセスするとhttpsに優先的にアクセスさせる挙動（Chromeが内…

blog.ichikaway.com

0

32

71

@kinyuka

Kanatoko

8 months

e-taxでの確定申告にチャレンジしてるけど1時間くらい作業して1㍉も進んでない感。なんか同じところグルグルしてる。二重ログインを起こられるけどログアウトボタンはどこにも見つからない。自分はマイナにいるのかe-taxにいるのかe私書箱にいるのかわからなくなってきた。これがウワサのメタバースか

2

29

71

@kinyuka

Kanatoko

4 years

同世代でかつて一緒にコード書いたり脆弱性研究したりしてた連中が、いつの間にかテクニカルな情報を発信しなくなって来た気がする。仕事上も「手持ちの札で勝負する」感じになってるっぽくて、新しい札を取りに行く傾向が薄れている。寂しいけどこれも年を取るってことなんだろうね。と45歳Java文字数

2

11

71

@kinyuka

Kanatoko

3 months

明日は地元のヨーカドーでリュウジ氏のカップラーメン買おう…って思ったら本人に引用されていてうれしい。恐れ多すぎてレスできない件

7

1

64

@kinyuka

Kanatoko

3 years

Scutumでは12/11時点でLog4j攻撃の難読化に��応が済んでいます。シグネチャ型のWAFだと難しそうですが、ウチは色々やれるので…

Apache Log4j の任意のコード実行の脆弱性（CVE-2021-44228）についてクラウド型 WAF「Scutum」が対策を完了、難読化による多様な攻撃パターンも防御可能に

www.dreamnews.jp

0

13

62

@kinyuka

Kanatoko

7 years

異常検知についてまとめて4つブログ記事を書きました。5月に開催という噂のデータ×セキュリティのカンファレンスでこの辺りの��をする予定

Tweet card media

Kaggleクレジットカード詐欺データセットで3種の異常検知アルゴリズムを比較

Scutumでは2017年の初旬からアノマリ検知(異常検知)による防御機能の開発を本格的にスタートし、1年ほどかけて徐々に実用性を高めてきました。ここで行っているのはいわゆる「教師なし学習による異常検...

0

21

61

@kinyuka

Kanatoko

3 years

少しお手伝いさせていただいた本が出る予定です！機械学習に興味があるセキュリティエンジニアには超絶ｵﾇﾇﾒとなっております！！

0

10

57

@kinyuka

Kanatoko

4 years

えーっ、PHPってブラウザ上で動かないの？しょーがないなぁ…漏れの愛するJavaはもちろんアプレットがブラウz　…あれっ？！

0

6

53

@kinyuka

Kanatoko

4 years

全国のSea Surferの皆様おめでとうございます！ CSRFが9位です！しかもウェブ限定じゃないランキングです！ ○WASP Top 10なんていらんかったんや！！！

0

8

53

@kinyuka

Kanatoko

5 years

Time-BasedなのにスリープしないSQLインジェクション高速化についてブログ書きました。『眠らないTime-Based SQL Injection』

Tweet card media

眠らないTime-Based SQL Injection

はじめに　SQLインジェクションがあるにもかかわらず、レスポンスボディの内容やステータスコードに変化がない、いわゆる「完全なブラインド」の状態でも、sleep系の関数等を使うことによってデータが盗まれ...

1

21

52

@kinyuka

Kanatoko

4 years

以前「WAFといえばシグネチャ」はもう古いと書きましたが、今回はさらに突っ込んだ内容でブログを書きました。WAFにおけるシグネチャの利点・欠点と、Scutumのベイジアンネットワークの関係について整理しました。

Tweet card media

WAFにおけるシグネチャの功罪

今回は、WAFにおけるシグネチャの利点・欠点について、より掘り下げて行きたいと思います。なお、本文内で何度か登場する「誤検知」は、「本来止めるべきでない正常な通信を、誤って攻撃と分類してしまった」とい...

0

28

53

@kinyuka

Kanatoko

7 years

forEach等によりfor文を駆逐する、という視点がある。なるほど…と思い色々やってみた結果、for文はたった1行で初期化・終了条件指定・ループ毎のインクリメント処理がかけるめっちゃ便利なものだという認識を新たにしたｗ

0

19

52

@kinyuka

Kanatoko

9 years

ホワイトリスト型WAFの怪談「担当ｾｷｭﾘﾃｨｴﾝｼﾞﾆｱは血ﾍﾄﾞを吐きながら、全ﾍﾟｰｼﾞ、全ﾊﾟﾗﾒｰﾀのﾎﾜｲﾄﾘｽﾄ定義を三ヶ月で済ませた」「ほほう、それで？」「次の日…ｳｪﾌﾞｱﾌﾟﾘが更新された！！！」「なんて怖い話なんだ！！！」

0

57

51

@kinyuka

Kanatoko

4 months

2番目・3番目の実情は「ランサムウエア追跡チーム」という書籍でかなり解像度が上がるのでセキュリティ分野の人は必読。日本がどうなのか（1番目）は不明…これから変わっていくのだろうけど

@kazuho

Kazuho Oku

4 months

「日本はランサムウェアアタックしても金払いが悪いから素通りされる」「一流ランサムウェアは金払うと解除してくれる（さもないと被害者が金で解決してくれなくなるから」「金払ったけど解除してもらえなかった」毎回違う話に対して皆が「そりゃそうだ」などと言っており、要は正解を誰も知らない

1

392

1K

0

30

49

@kinyuka

Kanatoko

5 years

脆弱性検査を行うことが一度は検討されましたが、XSSやSQLiが多数検出された場合にアプリケーションの修正にかかるコストの影響を懸念する声などがあがり、見送られたということです。

1

30

47

@kinyuka

Kanatoko

2 years

あけおめです。今年はScutum/VAddyに続く3つめのセキュリティサービス（セキュリティログ分析）を作りたいと考えてます。一部の人には相談させてもらったんだけど、IPAのiLogScannerみたいな、ウェブサーバのアクセスログが入力で、それに対するセキュリティ視点での分析結果レポートが出力に(続く)

1

3

45

@kinyuka

Kanatoko

4 months

アメリカといえば「テロに屈しない」というイメージあったんだけど、ランサムウェアについてはめちゃくちゃ身代金払ってるんだよね

1

16

42

@kinyuka

Kanatoko

7 months

これがもし本当なら、E-Ink液晶を全面的に導入したソフトウェア企業はバグが大幅に減るぞ！！

0

24

42

@kinyuka

Kanatoko

7 years

私も完全に同じ意見で、Javaではデシリアライズは他の言語のevalくらいやばいという認識を持つべきであり、この手のやつはライブラリの脆弱性ではないと考えます。ていうかJava本体のXMLDecoderとかもダメだし。今回のはJacksonの脆弱性ではないしStruts2はしっかり検証し(ry

0

21

42

@kinyuka

Kanatoko

7 years

ブログ書きました。『機械学習とセキュリティについての勉強会で発表してきました - WAF Tech Blog』

0

19

42

@kinyuka

Kanatoko

3 years

米「ヒーローは長いパスワードを使う傾向がある」イタリア「美女は長いパスワードを好む」ドイツ「長いパスワードが規則です」日本「みな長いパスワードを付けているようです」

1

10

40

@kinyuka

Kanatoko

6 years

WizardBibleはこのように伝説のハッキングマガジンとして全国区にその名を轟かせた。もうしばらくしたら「…じつはオレ、WizardBibleの常連だったんだぜ…あまり周りには言うなよ…」ってアングラな酒場で自慢する予定。

0

12

39

@kinyuka

Kanatoko

4 years

普段の開発でファジングをちょいちょい使ってよい結果を出しているのですが、JSONパーサの開発で使ってみたところカオスだったのでブログ書きました。

Tweet card media

JSONパーサにファジングしたら収拾がつかなくなりました

ファジング(Fuzzing)が便利　コンピュータにランダムに生成させたデータを入力とし、ソフトウェアの予期せぬ挙動を観測・発見する手法がファジングです。脆弱性発見の文脈で使われることが多いですが、一般...

0

15

39

@kinyuka

Kanatoko

3 years

攻撃多数観測していますが、/etc/resolv.confが多いですね

0

9

38

@kinyuka

Kanatoko

5 years

ハッカーの技術書が発売されますた。ウェブ系も結構充実している。テンプレートインジェクションやSSRFも載っている。データハウスのぶれなさ加減は異常。

Tweet media one

0

2

35

@kinyuka

Kanatoko

3 years

ApacheのパストラバーサルをWAFでゼロデイ防御できたのは何故か

Tweet card media

ApacheのパストラバーサルをWAFでゼロデイ防御できたのは何故か

世界的に知られているウェブサーバ実装のApache HTTP Serverがパストラバーサルの脆弱性を出してしまいました。しかも最初に発見されたCVE-2021-41773だけでなく、すぐに別のパスト...

0

10

37

@kinyuka

Kanatoko

7 years

日本語の解説が皆無だったヒストグラムベース、統計ベースの異常検知アルゴリズムHBOSについての解説記事

Tweet media one

0

14

36

@kinyuka

Kanatoko

3 years

某大手クラウドのWAFは今回のSpringのCloudFunctionの脆弱性のような「独自ヘッダで発動するパターン」だと見つけてくれないですが、Scutumやその他のWAFのように基本的にヘッダの全項目を見てくれるやつだとゼロデイで防御できたりします。参考までｗ

0

9

36

@kinyuka

Kanatoko

1 year

知りたいことが見事にまとまってるブログ見つけた。素数生成が確率的だったとは。 RSA鍵の生成時に確率的素数判定法を使って問題ないのか - hnwの日記

Tweet card media

RSA鍵の生成時に確率的素数判定法を使って問題ないのか - hnwの日記

前回記事「RSA公開鍵から素数の積を取り出す方法」でも紹介しましたが、RSA鍵の生成には巨大な2つの素数p,qが必要です。近年一般的に使われている2048bit RSA鍵の場合、p,qの大きさは1024bit、10進で約308桁の数になります。このRSAのアルゴリズム中ではpとqを法としたフェルマーの小定理（正確にはそ…

hnw.hatenablog.com

0

5

35

@kinyuka

Kanatoko

4 years

ブログ書きました。 (select　を使わずにサブクエリを書いてWAFの検知を避ける例を紹介しています。

Tweet card media

サブクエリとSQLインジェクション

SQLインジェクションという攻撃手法(脆弱性)は10年以上前から基本的な原理は変わっていません。しかし攻撃される対象であるデータベースそのものは少しずつ進化し、新たな機能や文法、関数をサポートしていき...

0

7

35

@kinyuka

Kanatoko

5 months

世の中には間違ったmultipart/form-dataのリクエストが溢れていて、それら（間違ったやつ）にどんな種類が存在するのかという知識については僕は世界トップクラスだという自負がある。中でも「それはないやろ」となったのはContent-Typeで宣言してるのと全く別のboundaryをボディで使ってるやつｗ

0

5

32

@kinyuka

Kanatoko

2 years

JSON系文字列でWAF回避する記事を見かけました。Scutum的には『シグネチャ依存型WAFには「回避されやすい」という欠点があると書きました(略)突破口が見つかってしまうと、後はそこからやりたい放題、自由にselect文を組み立てられてしまうのです。

Tweet card media

サブクエリとSQLインジェクション

SQLインジェクションという攻撃手法(脆弱性)は10年以上前から基本的な原理は変わっていません。しかし攻撃される対象であるデータベースそのものは少しずつ進化し、新たな機能や文法、関数をサポートしていき...

1

9

31

@kinyuka

Kanatoko

4 years

ブログ書きました。大手クラウドにオプション的にラインナップされているWAFの弱点についてです。シグネチャはリバースエンジニアリングに弱いので、用意されているものをそのまま使うのはおすすめしません。（とはいえ自分たちでシグネチャ作るのもコスト的に難しいですが）

Tweet card media

大手クラウドのオプション型のWAFの弱点

最近ではIaaSやPaaSを中核とする大手クラウドサービスが、それら以外にも数多くのメニュー、サービスを横並びに展開するようになりました。ここにはCDNやWAFが含まれることもあります。これらのクラウ...

0

11

31

@kinyuka

Kanatoko

4 years

S2-060のPoC作れた。これはStruts2の脆弱性というよりshowcaseのサンプルの脆弱性じゃないの…って感じ。元々任意のgetter/setterを呼び出せること自体が脆弱性みたいなもんだから、もしそれが仕様なら、今回のやつは脆弱性じゃない気がする。

0

4

31

@kinyuka

Kanatoko

3 years

ConfluenceのCVE-2021-26084、既に多数攻撃が来ています。『本脆弱性につき、Scutumでは既存のStruts2脆弱性対策と共通の汎用的機能「OGNLインジェクション防御機能」により、公開された攻撃コードについて本脆弱性公開前から防御できていることを確認しております。』

0

15

31

@kinyuka

Kanatoko

4 years

このSOC企業、先日この記事を公開したら速攻でScutumのウェブページにこのペイロード打ち込んできたので、まだまだ元気ある若いやつが在籍してそうという雰囲気を感じた。苦情は特に入れてないｗ

Tweet card media

高度なコマンドインジェクション攻撃とその対策

はじめに　ScutumはフルマネージドなWAFサービスなので、利用しているユーザさんが気づかない間にどんどん変化し、防御能力を強化しています。これらの強化された点について、これまではあまり宣伝や周知を...

@hasegawayosuke

Yosuke HASEGAWA

@hasegawayosuke

4 years

かつて、2月2日は情報セキュリティーの日と定められていたことがあって、SOCでネットワーク監視している友人が誕生日でもあるということで、そのSOC企業のコーポレートサイトに対して検知されそうなXSSっぽいペイロードにおたおめメッセージを載せてリクエスト送ったことがある。そしたら速攻で

1

274

682

0

4

31

@kinyuka

Kanatoko

1 year

「ここだけ見たら脆弱性絶対作るマシーン」ｗｗ入り込んだ経緯も確かに面白いけど、こんな単純なやつをテストで検出できずにリリースしてしまったというのも興味深い。

Tweet card media

静的解析ツールで生まれたSQLインジェクション | ドクセル

Security.Tokyo #2資料

www.docswell.com

1

9

31

@kinyuka

Kanatoko

3 years

攻撃のペイロードそのものはこれまでのJavaへの攻撃で見られるものと似たものだったので、Log4jとは違い、ゼロデイ防御できてました。今回はラッキー。どんどん「脆弱性発覚->攻撃が来る」までの時間が短くなっているので憂鬱です。

0

8

30

@kinyuka

Kanatoko

4 years

詳細HTTP/2、読み始めましたがこれは良い本ですね。個人的に知らないことだらけなので超勉強になる内容です。HTTP/2の最大の泣き所である低品質のネットワークで何が起こるかについてもきちんと説明されており、単なる「HTTP/2萌え」な雰囲気でないので安心しました。

0

12

29

@kinyuka

Kanatoko

11 months

昔のコードがずっと残っているやつ、技術的負債みたいに感じる人もいるかもしれないけど、むしろ「さんざん本番で叩かれてバグが全て出きった状態」であるため、「技術的熟成」とよぶべき。

1

5

28

@kinyuka

Kanatoko

11 months

pwnCloudになってしまったか…

@nekono_naha

nekono_nanomotoni

11 months

OSSのファイル共有ツールownCloudでPHPinfo経由で認証情報等が漏洩するCVE-2023-49103が公開。Globalで20K、国内419台の同製品の公開を確認 GrayNoiseが11/25より急速な悪用増加を観測済み。いかにも情報窃取型ランサムで使われそうですが、中小企業の利用が多く情報が届きにくそうです。

Tweet media one

2

51

87

1

4

29

@kinyuka

Kanatoko

3 years

昔アセンブラの勉強で読み込んだCronos氏のドキュメントが古いHDDから出てきた。20年前。この文章すごく良いんだけど今はネット上にないかも（Googleでヒットせず）。Cerelon400MHz!

Tweet media one

0

5

28

@kinyuka

Kanatoko

20 days

WAFはすぐ返事する必要あるんだけど、ログ分析ツールは押し黙ってだいぶ話を先まできいてから、「…わかった。キミは攻撃だ！」って出来るみたいな感じ。ログ分析は防御側の情報を多くできるから、防御側が優位になれる世界なのよね。(まぁPOSTリクエストのボディ部は無いのだが…)

@cakephper

cakephper ichikawa

21 days

"ログ分析ツールはリアルタイム性がないからこそ時間をかけた分析ができるという点をWAFに対するアドバンテージとして利用することが出来ます。Loggolでは異常検知の機能を提供しています。" #loggol

0

3

16

0

8

28

@kinyuka

Kanatoko

3 years

とても重い本です。私もほんの少し寄稿させて頂きました。全セキュリティエンジニア必読…？！

Tweet card media

Wizard Bible事件・Coinhive事件・アラートループ事件を扱った本がリリースされました - はてな村定点観測所

本日、PEAKS出版『Wizard Bible事件から考えるサイバーセキュリティ』の電子書籍版がリリースされました。著者は私と、Wizard Bible事件の当事者であるIPUSIRONさんです。 Wizard Bible事件を中心にCoinhive事件やアラートループ事件も扱った本です。一連の事件を扱った一般本として…

0

15

28

@kinyuka

Kanatoko

1 year

最近、ウチの5才児が毎晩風呂上がりに目をひどく痒がるようになった。夕食による血糖値の急上昇が原因かと思い肉野菜炒め(砂糖なしのスパイス系調味料で味付)・茹で枝豆・冷奴・硬めに茹でたペペロンチーノを少なめ、という夕食にしたら案の定まったく痒くないとのこと。切り分け成功してよかった。

1

2

26

@kinyuka

Kanatoko

3 years

これは笑い話ですが私は実はウェブの通信で正規分布を見つけたことがあるんですよ。それは、「あるIPから送られてきた全HTTPリクエストの到達時刻の秒の値の平均」です。これは正規分布するので異常を見つけることができます。

@kinyuka

Kanatoko

3 years

@papa_anniekey @58_158_177_102 @soc127_0_0_1 統計学ベースのアノマリ検知は使い物にならないですね。『上下5はノイズとして扱うとか色々あって』はデータの正規分布を前提にしているんですよね。しかし実際にはIDS/WAFが対象とするデータは多種多様な通信が入り乱れたものなので、正規分布していない事がほぼ100%です。机上のcronってやつですね。

0

5

10

1

4

27

@kinyuka

Kanatoko

9 months

このSplunkの記事はログ解析をGPUでやる上にそのへんのコストへの言及もあり激ｱﾂである。

Tweet card media

How Splunk Is Parsing Machine Logs With Machine Learning On NVIDIA’s Triton and Morpheus | Splunk

A global workforce, combined with the growing need for data, is driving an increasingly distributed and complex attack surface that needs to be protected. Sophisticated cyberattacks can easily hide...

0

9

27

@kinyuka

Kanatoko

7 years

ブログ書きました。『できるだけ高い確率で、今後見つかるかもしれないゼロデイのOGNLインジェクション攻撃を止める』

Tweet card media

OGNLインジェクションのゼロデイ攻撃を想定した防御機能

私は以前の「Struts2が危険である理由」というブログ記事において『例えばS2-045については止めることが出来ていました(ゼロデイでも防ぐことが出来ていました）が、S2-046についてはギリギリ、...

0

25

25

@kinyuka

Kanatoko

1 year

『この専用サイトで登録を済ませた後、ログアウトしないまま、手続きを続けたため別の人のマイナンバーに口座が登録されたということです。』つらい。しかもこのトラブルを防ぐために強制ログアウトしまくるシステムに魔改造されるかと思うとさらにつらい。

0

11

25

@kinyuka

Kanatoko

4 years

JPCERTから注意喚起が出たTomcatのRCE脆弱性、CVE-2020-9484についての解説を書きました。

Tweet card media

Tomcatの脆弱性、CVE-2020-9484の解説

Tomcatに新たな脆弱性CVE-2020-9484が発見されました。既にアップデートは提供されています。影響を受けるバージョンなどの情報についてはオフィシャルのページを参照ください。今回はこの脆弱性...

0

23

26

@kinyuka

Kanatoko

9 years

僕くらい古参のSQLi中毒者にとって、SQLインジェクションとストアドプロシージャといえばこれ。「ストアドが対策になる」というのは「お前は何を言っているんだ」っていう感じです(; ´Д`)

1

5

24

@kinyuka

Kanatoko

8 years

「security」という単語がこのページに含まれていない点でStrutsのセキュリティに対する姿勢をお察しください

0

38

26

@kinyuka

Kanatoko

3 years

log4jのやつ、トレースしてる途中でlogMessageSafelyっていうメソッドに突入して泣いた

0

8

26

@kinyuka

Kanatoko

3 years

Log4jのせいで12月があっというまに残り9日になった。。

0

2

26

@kinyuka

Kanatoko

3 years

なぜアメリカが完全にアフガンを見捨てたのか、なぜタリバンがあれほど速かったのかの理由、Netflixの「ターニング・ポイント」というドキュメンタリーで納得した。そのへん興味ある人はシーズン1-4だけでも見ることをおすすめ。こりゃー撤退するわ…という感じ。

0

9

26

@kinyuka

Kanatoko

4 years

AzulのJavaでM1 Mac miniでJavaアプリの負荷テストしたらとんでもなく速い。鼻血出るレベル。Appleは早急にLinuxをプリインストールしたMac miniを出荷すべき

0

4

25

@kinyuka

Kanatoko

1 year

AIが考える「Jakarta TomcatがTrailerを正しく処理できない」（Bing Image Creator DALL-E3)

Tweet media one

1

8

25

@kinyuka

Kanatoko

2 months

12年前

Tweet card media

webセキュリティ4天王同士のいがみ合いは日本の損失

言わずと知れた日本が誇るwebセキュリティ4天王がいる。我々が快適にネットサーフィンできるのは彼らのお陰と言っても過言ではない。ひろみちゅm…

anond.hatelabo.jp

0

1

25

@kinyuka

Kanatoko

9 months

めちゃ参考になった。相変わらず各ブラウザの実装の差があるややこしい世界。仮にそれがなかったとしても十分にややこしく、一般の開発者の手におえるレベルではない複雑さだが。個人的にはOriginヘッダがCSRF対策の切り札になるのではと期待

Tweet card media

SameSite属性とCSRFとHSTS - Cookieの基礎知識からブラウザごとのエッジケースまでおさらいする - Flatt Security Blog

こんにちは、 @okazu_dm です。この記事は、CookieのSameSite属性についての解説と、その中でも例外的な挙動についての解説記事です。サードパーティCookieやCSRF対策の文脈でCookieのSameSite属性に関してはご存知の方も多いと思います。本記事でCookieの基礎から最近のブラウザ上…

blog.flatt.tech

0

5

25

@kinyuka

Kanatoko

8 years

ブログ書きました。『Struts2が危険である理由』

Tweet card media

Struts2が危険である理由

2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「例えば...

1

42

24

@kinyuka

Kanatoko

3 years

ブログ書きました。本場のWordPressプラグインのSQLインジェクションはVAddyで検出できるか - クラウド型Web脆弱性診断ツール VAddyブログ

Tweet card media

本場のWordPressプラグインのSQLインジェクションはVAddyで検出できるか - クラウド型Web脆弱性診断ツール VAddyブログ

この記事で示す内容は日本国内の情報セキュリティ技術者が攻撃のリスクを正しく評価できるようにするための情報共有を目的に提供されます。自身の管理下にないコンピュータ等に対し攻撃やスキャンを実施する行為は場合によっては犯罪行為となりますので絶対に行わないでください。 WP-StatisticsのSQLインジェクション脆弱性 …

blog-ja.vaddy.net

0

6

24

@kinyuka

Kanatoko

3 years

クラウド型WAFサービス「Scutum」、独自開発した手法の追加でウェブサイトへの攻撃の検知精度を大幅向上(アスキー) #Yahoo ニュース

0

9

24

@kinyuka

Kanatoko

3 years

VAddyの脆弱性診断にLog4jの脆弱性（CVE-2021-44228）の検査を追加しました - クラウド型Web脆弱性診断ツール VAddyブログ

Tweet card media

VAddyの脆弱性診断にLog4jの脆弱性（CVE-2021-44228）の検査を追加しました - クラウド型Web脆弱性診断ツール VAddyブログ

VAddyはクラウド型Webアプリケーション脆弱性診断ツールです。だれでもブラウザだけで手軽にセキュリティテストができます。本日（2021/12/13）、VAddyのエンタープライズとエンタープライズ+ プランのSSRF検査の中で、Log4jの脆弱性（CVE-2021-44228）が検査できるようになりました。今回…

blog-ja.vaddy.net

0

11

23

@kinyuka

Kanatoko

7 years

『Kaggleクレジットカード詐欺データセットで3種の異常検知アルゴリズムを比較』個人的には（結構性能が良いアルゴリズムである)Isolation Forestに勝利できたのはかなりうれしいですヽ(´ー`)ノ

Tweet media one

0

4

22

@kinyuka

Kanatoko

11 years

ブログ書きました。『例えば、Strutsを避ける』 http://t.co/FXYOfWe7m3

Tweet card media

例えば、Strutsを避ける

筆者は10年以上ウェブアプリケーション開発を主な業務とするJavaプログラマであったにも関わらず、Strutsについてはこれまでずっと食わず嫌いでした。初期のStrutsは「XMLだらけで効率が悪そう...

0

32

22

@kinyuka

Kanatoko

5 years

『Struts1でもクラスローダにアクセスできてしまう脆弱性が過去に見つかりましたが、基本的にOGNLを使っていないので、Struts2に比べれば遙かに安全であると言ってよいと思います。』

Tweet card media

Struts2が危険である理由

2017年3月、Struts2にまたしても新たな脆弱性(S2-045、S2-046)が見つかり、複数のウェブサイトにおいて情報漏洩等の被害が発生しました。筆者は2014年4月（およそ3年前）に「例えば...

0

13

22

@kinyuka

Kanatoko

3 years

まぁWAFって別にエンジニアに好きになってもらうためのものではまったくないですけどね。よくわからない、詳しくないけど困っている人（なんかしらんが担当になっちゃったような人）の助けになるものなので。

0

4

23

@kinyuka

Kanatoko

5 months

これのせいで「WAFって簡単に回避できるんでしょ？」みたいな雰囲気が出来るのまじでやめてほしい…

@__kokmt

kokumoto (DM)

5 months

WAFをバイパスするための技法とBurpの拡張機能nowafplsをAssetnote社が公開。複雑で細かい事をするより、容易な回避策の方が効果的とする。例示として多くのWAFではHTTPリクエストのボディ部の容量に制限があることを指摘し、リクエストをパディングすることでの回避。

0

39

155

1

5

23

@kinyuka

Kanatoko

3 years

@kalfes まさにその辺を作者が説明してます。もう5年前の動画ですが

Tweet card media

dotGo 2015 - Rob Pike - Simplicity is Complicated

Go is often described as a simple language. It is not, it just seems that way. Rob explains how Go's simplicity hides a great deal of complexity, and that bo...

www.youtube.com

1

3

22

@kinyuka

Kanatoko

9 years

ブログ書きました。『HTTP/2のRFCを読んだ感想 - WAF Tech Blog』 http://t.co/jpGaR5LXuO HTTP/2について、若干批判的な内容になってしまいましたが、まぁ正直な感想というところです。今後どうなるのか…

Tweet card media

HTTP/2のRFCを読んだ感想

私は自ら「串職人」と名乗るほどウェブの(つまりHTTPの）Proxyサーバが好きで、もう10年以上もプロキシサーバを作り続けています。このブログの主題であるクラウド型WAF、Scutumもそのひとつで...

0

31

21

@kinyuka

Kanatoko

10 years

昨日ひとつ壁を越えた。データサイエンスをうまく使えば、「完璧なWAF」が射程圏内に入る確信が持てたw　「大量の正常通信を持っているという点で、防御側は攻撃側より有利である」というのが根っこの考え方。要するにアノマリ検知。あとはアノマリ検知をいかにうまく動かすか、どうやるかという点

0

14

22

@kinyuka

Kanatoko

6 years

Vue.js で XSS を作り込まないために気を付けること - SSTエンジニアブログ

Tweet card media

Vue.js で XSS を作り込まないために気を付けること - セキュアスカイプラス

本記事では、最近になってようやく (汗) 検証した Vue.js でのクロスサイト・スクリプティング (XSS) について紹介します。

securesky-plus.com

0

6

22

@kinyuka

Kanatoko

6 years

もはや老人しか知らないかもしれない(?) HTTPリクエストスマグリングについてのブログを書きました。『WAFとHTTPリクエストスマグリング』

Tweet card media

WAFとHTTPリクエストスマグリング

2018年の7月に、「XSS due to the header Transfer-Encoding: chunked」というタイトルでPHPの脆弱性報告がありました。https://bugs.php...

0

16

22

@kinyuka

Kanatoko

3 years

「セキュリティのため、こまめにアップデートして最新版にしていたらやられました。何が悪かったのでしょうか？」これは難しい

1

2

21

@kinyuka

Kanatoko

8 years

自分が書いたWAFの技術ブログの記事を他社（WAFやってるとこ）にほぼ丸パクリされたときは、怒りはなく、まず「マジでコピペか…」という驚き、そして次に「…勝ったな」という感覚だった。もしあれが今起こったら、「…セキュリティ分野でもキュレーションの流れだな」って思うだろう。

0

21

21