アプリケーション・セキュリティ・テストについて
Webアプリケーションにおける脆弱性診断が全く分かっていないので、調べてみた。
開発時にはSAST/IASTでコードのテストを実施し、リリース直前にDASTで脆弱性を検査することになるのかな。
まだ最近出てきた仕組みのようなので、引き続きウォッチが必要そう。
DAST(動的アプリケーション・セキュリティ・テスト)
セキュリティにおけるブラックボックステストのこと。
外部からツールや人手によりアプリケーションを検査し、攻撃シミュレーションに対する反応により脆弱性の有無を確認する手法のこと。
DASTスキャナーは、作業前にまずウェブアプリケーションをクロールする。その後、ウェブアプリケーションのページ内に表示される
すべての入力を検索し、これを利用して様々な脆弱性テストを実行する。
SAST(静的アプリケーション・セキュリティ・テスト)
セキュリティにおけるホワイトボックステストのこと。
アプリケーションのソースコードを精査するテストで、DevOpsモデルを用いてソフトウェア開発ライフサイクル(SDLC)の
初期段階から取り入れられ、結果を反復的に確認しセキュリティを高めていく手法のこと。
IAST(インタラクティブ・アプリケーション・セキュリティ・テスト)
開発者が自動または手動でテストを実行している間に、実行中のアプリケーションのコードの脆弱性を精査する手法のこと。
RASP(Runtime Application Self Protection)
アプリケーションの実行時にサーバー上で実行され、アプリケーションに対する攻撃をリアルタイムで検出して保護(ブロック)する。
セキュリティツールをインストールできないFaaS環境やPaaS、CaaSでアプリケーションを保護するために利用される。
RASPは各言語ごとのモジュールで提供されるので、アプリケーション側は都度RASPモジュールを呼び出すコードを追加する。
製品例:米ShiftLeft、米PaloAlto、トレンドマイクロ等
参考:
動的アプリケーション・セキュリティ・テスト(DAST)の概要と仕組み | シノプシス
7 Runtime Application Self-Protection (RASP) Tools for Modern Applications
勉強用のサイトなど
・Microsoft learn
言わずと知れたMicrosoftの Eラーニングサイト。
https://docs.microsoft.com/ja-jp/learn/
・Web Development For Beginners
Microsoftクラウドアドボケートチームにより提供られている教材。
https://github.com/microsoft/Web-Dev-For-Beginners
・巣ごもりDXステップ講座情報ナビ
経済産業省が公開している。DXと銘打っているので、データサイエンスがメインかと思いきや、経営戦略からCSまで幅広い講座がある。
(2022/4/2時点で101講座!)
https://www.meti.go.jp/policy/it_policy/jinzai/sugomori/index.html
・VMware hands-on labs
https://web.hol.vmware.com/landingPages/index.html?id=HOL-Japan
・ログを活用した Active Directory に対する攻撃の検知と対策
ADサーバへの攻撃手法の解説と攻撃を検知、ブロックするための対策が簡潔にまとまっている資料。取得すべき監査ログが参加になった
https://www.jpcert.or.jp/research/AD_report_20170314.pdf#page62
2022/03/30 気になった記事など
・VUCA
予測不可能な時代のこと
・同意フィッシング
ユーザに不正なアプリへのOAuth権限を与えさせるフィッシング?
・businesses-at-work
oktaが保有するビックデータから、最近の傾向を分析しレポート化したもの
2022/03/29 気になった記事
2022/03/29
・Emotetリンク型再び、感染増大する前にあったリンクふます方式が再び出てきたとのこと。
https://twitter.com/sugimu_sec/status/1508569290202820609?s=21
・CISA(国土安全保障省サイバーセキュリティ・インフラストラクチャー・セキュリティ庁) CISA Adds 32 Known Exploited Vulnerabilities to Catalog
https://us-cert.cisa.gov/ncas/current-activity/2022/03/28/cisa-adds-32-known-exploited-vulnerabilities-catalog
・VT4Browsers++ Any indicator, every detail, anywhere
https://blog.virustotal.com/2022/03/vt4browsers-any-indicator-every-detail.html
→virustotalブログがあるんや...知らなかった。
・VirusTotal Multisandbox += SecneurX
https://blog.virustotal.com/2022/01/virustotal-multisandbox-secneurx.html
・脆弱性管理でCVSS基本値だけに振り回されないためのメモ【CVSS v2.0編】 – Feat. Known Exploited Vulnerabilities Catalog
https://csirt.ninja/?p=2158
apt-getで404 not foundになるときの対処方法
raspberry pi 3でapt-get installしようとして以下404のエラーメッセージが出たときは、、、、
pi@raspberrypi:~/google-home-notifier $ sudo apt-get install -y npm : : Suggested packages: node-hawk node-aws-sign node-oauth-sign node-http-signature The following NEW packages will be installed: gyp libc-ares-dev libjs-node-uuid libssl-dev libssl-doc libv8-3.14-dev node-abbrev node-ansi node-ansi-color-table node-archy node-async node-block-stream node-combined-stream node-cookie-jar node-delayed-stream node-forever-agent node-form-data node-fstream node-fstream-ignore node-github-url-from-git node-glob node-graceful-fs node-gyp node-inherits node-ini node-json-stringify-safe node-lockfile node-lru-cache node-mime node-minimatch node-mkdirp node-mute-stream node-node-uuid node-nopt node-normalize-package-data node-npmlog node-once node-osenv node-qs node-read node-read-package-json node-request node-retry node-rimraf node-sha node-sigmund node-slide node-tar node-tunnel-agent node-underscore node-which nodejs-dev npm 0 upgraded, 53 newly installed, 0 to remove and 22 not upgraded. Need to get 2,394 kB/3,676 kB of archives. After this operation, 13.2 MB of additional disk space will be used. Err http://mirrordirector.raspbian.org/raspbian/ jessie/main libssl-dev armhf 1.0.1t-1+deb8u6 404 Not Found [IP: 93.93.128.193 80] Err http://mirrordirector.raspbian.org/raspbian/ jessie/main libssl-doc all 1.0.1t-1+deb8u6 404 Not Found [IP: 93.93.128.193 80] Err http://mirrordirector.raspbian.org/raspbian/ jessie/main libc-ares-dev armhf 1.10.0-2+deb8u1 404 Not Found [IP: 93.93.128.193 80] E: Failed to fetch http://mirrordirector.raspbian.org/raspbian/pool/main/o/openssl/libssl-dev_1.0.1t-1+deb8u6_armhf.deb 404 Not Found [IP: 93.93.128.193 80] E: Failed to fetch http://mirrordirector.raspbian.org/raspbian/pool/main/o/openssl/libssl-doc_1.0.1t-1+deb8u6_all.deb 404 Not Found [IP: 93.93.128.193 80] E: Failed to fetch http://mirrordirector.raspbian.org/raspbian/pool/main/c/c-ares/libc-ares-dev_1.10.0-2+deb8u1_armhf.deb 404 Not Found [IP: 93.93.128.193 80] E: Unable to fetch some archives, maybe run apt-get update or try with --fix-missing?
apt-get update でパッケージリストの更新を実施すれば解決することもあります!
インターネットには繋がっているのに、apt-getで404 not foundになる場合は、試してみてください~。
sudo apt-get update
Raspberry Pi 3 Wi-Fi設定変更方法
久しぶりにラズパイを触る必要が出てきましたが、
つい最近引越しをしたので、Wi-Fiルータをリプレイスしたことを忘れていました。。。そこで、Wi-Fiの設定を変更しましたので、その際の手順をメモっておきます。
※必要な理由以下です!(楽しみ~)
alexaday2018.jaws-ug.jp
1.ラズパイへの接続
有線のインターフェースは、デフォルトdhcpのままで設定しておらず接続できなかったのでHDMIでテレビに接続し、キーボードとマウスをUSBで接続して2以降の設定を実施しました。
2.Wi-Fi設定
以下ブログを参考にさせもらい、設定を行いました!!
/etc/wpa_supplicant/wpa_supplicant.conf
前回設定したWi-Fiのアクセスポイントの設定がこのconfファイルに保存されていますので、
ここを書き換えます。
pi@raspberrypi:~ $ sudo vi /etc/wpa_supplicant/wpa_supplicant.conf ctrl_interface=DIR=/var/run/wpa_supplicant GROUP=netdev update_config=1 country=JP network={ ssid="SSID名" ☆新SSID名に変更 psk="xxxxxxxxxxxxx" ☆新パスワードに変更 proto=WPA ☆WPA→WPA2に変更 key_mgmt=WPA-PSK }
3.固定IP化
/etc/dhcpcd.confに記載していた固定IPを新NWのものに変更します。
pi@raspberrypi:~ $ sudo vi /etc/dhcpcd.conf SSID SSID名 static ip_address=192.168.xxx.xxx static routers=192.168.xxx.yyy static domain_name_servers=192.168.xxx.yyy static domain_search=
4.設定反映
OS再起動で設定を反映させます。
pi@raspberrypi:~ $ sudo reboot
勉強不足で、再起動させるサービスが分かりませんでした。
試しに、以下を実施してみましたがNW設定されず..。
※以下NG
pi@raspberrypi:~ $ sudo systemctl daemon-reload pi@raspberry:sudo /etc/init.d/networking reload
5.動作確認
同一ネットワーク上からsshでログインできることが確認できればOK!
以上です!