646の結果を表示中

AWS、侵入テスト申請やめるってよ – とある診断員の備忘録

先日twitterを見ていたら、こんなつぶやきを拝見して、個人的に侵入テスト申請には色々思い入れのある身であるため、ビックリした「とある診断員」です。 あれ?AWSの侵入テスト申請いらなくなりました? pic.twitter.com/Z6ULU10SMy— 三ツ矢 ◎=3 (@328__) March 1, 2019 このブログでもとりあげましたが、今までAWSはペ…

EC2上でDNS RebindingによるSSRF攻撃可能性を検証した | 徳丸浩の日記

AWS EC2環境でのDNS Rebindingについて検証したので紹介します。 まずは、「前回までのおさらい」です。先日以下の記事でSSRF攻撃およびSSRF脆弱性について紹介しました。 SSRF(Server Side Request Forgery)徹底入門この記事の中で、以下のように紹介しました。 ホスト名からIPアドレスを求める際にも以下の問題が発生…

PenTesterが知っている危ないAWS環境の共通点

PenTesterが知っている危ないAWS環境の共通点 1. PenTesterが知っている 危ないAWS環境の共通点 ~攻撃者視点よりお届けする狙われやすいAWSの穴~ 2019/2/23 JAWS DAYS 2019 2. Shun Suzaki(洲崎 俊) Twitter:@tigerszk ITイベントの参加・開催や日々の脆弱性検証をライフワークと する「とあるセキュリティエンジニア」 …

PenTesterが知っている危ないAWS環境の共通点

PenTesterが知っている危ないAWS環境の共通点 1. PenTesterが知っている 危ないAWS環境の共通点 ~攻撃者視点よりお届けする狙われやすいAWSの穴~ 2019/2/23 JAWS DAYS 2019 2. Shun Suzaki(洲崎 俊) Twitter:@tigerszk ITイベントの参加・開催や日々の脆弱性検証をライフワークと する「とあるセキュリティエンジニア」 …

国産WAFベンダーCSCから新しいAWS WAFマネージドルールがリリースされたので使ってみた | DevelopersIO

こんにちは、臼田です。 みなさん、WAFWAFしてますか?(挨拶 今回新しいAWS WAFのマネージドルールがリリースされました。 AWS Marketplace: Cyber Security Cloud Managed Rules for AWS WAF -HighSecurity OWASP Set- しかも、提供しているのはCyber Security Cloud(CSC)さんで、WafCharm等のサービスを行っている日本…

AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead | Amazon Web Services ブログ

Amazon Web Services ブログ AWS Security Profiles: 梅谷 晃宏、Office of the CISO Japan Lead 東京で開催されるイベント Solution Days を後に控え、当イベントに登壇予定の AWS 社員へインタビューを行いました。経歴や現在取り組んでいる事項についてご紹介いたします。 (※取材当時の記事となります。本年度の Solu…

runc脆弱性でEC2、ECS(EC2/Fargate)の対応をやってみる | DevelopersIO

こんにちわ、札幌のヨシエです。 先日朝起きてからFacebookを見ると、とあるセキュリティ関連を対応している人のPostでRunCの脆弱性を知りました。 既にAWSでは対応が開始されているため、ユーザーが出来る対応方法を纏めます。 どういった脆弱性なのか? Docker内部で利用されているruncにて脆弱性が発見されました。 …

ゲイ向け出会い系アプリ「Jack’d」で非公開設定でアップした写真に不特定多数がアクセスできる不具合が見つかる

ゲイ向けの出会い系アプリ「Jack’d」で、特定の友人のみに閲覧を許可するように設定されていた非公開写真に対し不特定多数がアクセスできてしまうという不具合が見つかったという(Buzzap!、register、BBC)。

この不具合では同アプリに登録していないユーザーでも非公開写真を閲覧できてしまうという。Ars Technicaの記事に技術的な説明があるが、このアプリはAmazon Web Services(AWS)のS3ストレージを利用しており、その際にストレージへのアクセス制限を設定していな…

コンテナランタイム「runc」に脆弱性、DockerやKubernetesに影響 – ITmedia エンタープライズ

RedHatやAmazon Web Services(AWS)、Google Kubernetes Engineなどのセキュリティ情報も公開され、アップデートの適用などを呼び掛けている。 DockerやKubernetesなどに使われているオープンソースのコンテナランタイム「runc」に脆弱性が発見され、2月12日にパッチが公開された。RedHatやAmazon Web Services(AWS)…

クラウドネイティブなハニーポットをAWS上に作ってみた話 – ある研究者の手記

TL;DR AWSのマネージドサービスを活用して低インタラクション型のハニーポット環境を作った コストも月々約$15で運用可能 コマンド3回ぐらいで誰でもデプロイできるようになっているので興味があれば使ってみてくれよな 背景 AWSに置く低インタラクション型ハニーポット(synに対してsynackだけ返して後は送られてくる通…

宅ふぁいる便もAWSを攻められた – Fox on Security

宅ふぁいる便・・・お前もか。以前はよく私も使っていたが故に個人的には非常に残念な発表でした。 www.itmedia.co.jp ■公式発表 「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 1.漏洩したお客さま情報 (1)内容 ・「宅ふぁいる便」のお客さま情報 ・メール…

書評「入門 監視」雰囲気で監視をやっているすべての人にオススメ | DevelopersIO

「全然わからない。俺たちは雰囲気で監視をやっている」 自分はAWS事業本部コンサルティング部所属ということもあって、いろんなお客様にAWSインフラのコンサルティングしてます。最初のインフラ構成設計時に監視の話をすることも非常に多いです。 「どうしましょう。CloudWatchでいけますかね?」 「MackerelとかDatado…

政府統一基準対応のセキュリティリファレンス、AWS版を無償提供(富士ソフト、PwCあらた) – ScanNetSecurity | This Kiji

富士ソフト株式会社とPwCあらた有限責任監査法人などは12月25日、内閣サイバーセキュリティセンター(NISC)が制定した政府統一基準(平成30年度版)に対応したセキュリティリファレンスを作成し、同日より政府機関向けに無償提供を開始したと発表した。同リファレンスは、クラウドサービス「アマゾン ウェブ サービス」…

AWS データストア内の機密データを保護するためのベストプラクティス | Amazon Web Services ブログ

Amazon Web Services ブログ AWS データストア内の機密データを保護するためのベストプラクティス クラウド内の機密データを保護するための効果的な戦略を立てるには、一般的なデータセキュリティパターンをよく理解し、これらのパターンを明確にマッピングしてクラウドセキュリティコントロールに活かすことが必要です…

AWS Best Practices for DDoS Resiliencyをナナメ読みして学ぶDDoS対策 – Qiita

この記事は武蔵野アドベントカレンダー25日目の記事です。 皆様、DDoS対策は十分でしょうか? 2018年もDDoS攻撃の多い年でした。この記事は、公開されているDDoS対策のAWSベストプラクティスをザックリ読んでみようというものです。 この記事で言いたいこと AWSの公開しているベストプラクティスは情報量がすごい DDoS攻…

1clickでAWSのセキュリティチェック!ScanMonsterの使い方? – Qiita

NTTドコモサービスイノベーション部AdventCalendar4日目の記事です。 はじめに こんにちは。@dcm_chidaです。 ドコモではAWS、GCP、Azure、d-skylabなどクラウドを積極的に導入しています。 そこで問題となるのがセキュリティ。 利用規模が大きいとユーザやアカウントの数が多くて管理が大変です。 保有する情報資産も桁…

re:Invent 2018で感じたマルチアカウント管理とデータベースのトレンドの変化 – Speee DEVELOPER BLOG

この記事は Speee Advent Calendar 2018 の22日目です。 こんにちは。Speee 開発基盤ユニット兼 情報セキュリティ室所属のおぎわら (@iogi) です。 好きなAWSサービスは AWS CodePipeline です。あと、コストレポートを眺めるのも大好きです。 開発基盤ユニットについては、ちょうどビットジャーニー井原さんとの対談記…

5年でほぼ全システムの基盤をAWSに移行したAGCの“クラウドジャーニー” – ZDNet Japan

AGC(旧称:旭硝子)は、2014年からSAP ERPを含む140以上のシステムの基盤をAmazon Web Services(AWS)に順次移行させ、2018年11月に完了した。同社の情報システム部が12月19日に記者会見に臨み、5年近くに及んだパブリッククラウドへのシステム基盤移行の道のり(クラウドジャーニー)を振り返った。 1907年創業のAGC…

AWSの責任者に聞く、新機能でセキュリティを強化する理由 – ZDNet Japan

Amazon Web Services(AWS)は、11月下旬に米国ラスベガスで開催した年次イベント「re:Invet」でセキュリティ関連の新機能「AWS Control Tower」や「AWS Security Hub」などを発表した。これらを提供する狙いを、セキュリティエンジニアリング バイスプレジデント兼最高情報セキュリティ責任者のStephen Schmidt氏に聞い…

SSRF(Server Side Request Forgery)徹底入門 | 徳丸浩の日記

SSRF(Server Side Request Forgery)という脆弱性ないし攻撃手法が最近注目されています。以下は、ここ3ヶ月にSSRFについて言及された記事です。 EC2上のAWS CLIで使われている169.254についてSSRF脆弱性を利用したGCE/GKEインスタンスへの攻撃例SSRFを利用したメール送信ドメインの乗っ取り「CODE BLUE 2018」参加レポー…

AWSセキュリティ学習サイトflaws.cloudのwriteup 前編 – Qiita

flaws.cloudのwriteup (Level1~Level2) flAWS challengeはAWSを利用して実際にページが公開されており、AWS特定のセキュリティ学習が行えるサイトである。 海外の記事は結構見つかるが日本語のものが見当たらなかったので前編・中編・後編の3つの記事に分けてwriteupしていきたいと思う。また各コマンド実行の出力内容…