セキュリティあれこれ

セキュリティ関連のメモ

PCI DSS v4.0 の要件について

先日、PCI DSS v4.0 の日本語版が公開されました。全部は確認できていませんが、気になった点をまとめてみる。 https://www.pcisecuritystandards.org/document_library?category=pcidss&document=pci_dss 具体的な要件や対策手法は、QSA に確認する必要ある…

burp マクロ機能の使い方(2)

前回記事 の続きです。 Burp のマクロ機能の設定時に工夫が必要な CSRF トークンなどセッションハンドリング方法になります。 はじめに Portswigger の Web Security Academy の ログイン箇所で CSRF トークンを利用しているので、ログイン画面 —> 診断リク…

burp マクロ機能の使い方(1)

Web アプリ診断でセッションハンドリングなどが必要な場合、Burp のマクロ機能を利用すると便利です。 はじめに bWAPP の ログイン画面 —> ログイン後のトップページ —> 診断対象 といった画面遷移に対して、マクロ機能を利用して、セッションハンドリングす…

AWS エクスプロイトフレームワークの PACU を試してみた

AWS エクスプロイトフレームワーク の PACU をプラットフォーム診断で利用できないか検証したのでメモです。 結論 プラットフォーム診断とは用途が異なり利用するのは難しいと思いました。 理由 漏洩した IAM アカウントのアクセスキーやシークレットアクセ…

Burp Suite を複数起動する方法

Webアプリケーション診断で認可制御の不備等を確認するときにアカウント A、アカウント B と複数同時に Burp Suite を起動すると便利です。 Mac で診断することが多いのでその方法をメモしておきます。 FireFox のプロファイル作成 FireFox を起動します。 /…

Amazon Inspector v2 を検証してみた

AWS

2021年11月末ごろに、Amazon Inspector v2 がリリースされたので検証した内容をまとめてみる。 良いところ 導入が楽になりました。 SSM エージェントがインストールされてれば利用可能(EC2 インスタンスに SSM 許可する IAM ロールは必要) インスタンス起…

Amazon Inspector の検出結果を Athena で確認(続)

AWS

前回の Amazon Inspector の検出結果を Athena で確認 の続きです。 AWS の設定方法をまとめます。 Amazon Inspector の検出結果を Lambda で S3 に保管する参考記事は色々とあったのですが、コードを書かなくてもいい方法ということで下記のデータフローに…

Amazon Inspector の検出結果を Athena で確認

AWS

毎回、Amazon Inspector Classic の検出結果を AWS コンソールから CSV 形式でダウンロードし、スプレにコピーし、レポートフォーマットするのが面倒なので、Athena でいい感じのフォーマットに出力できないか検証しました。 Amazon Inspector Classic の検…

セキュリティ関連の情報収集しているサイト

セキュリティ関連の情報収集させてもらっているサイトを抜粋してみます。Zapierが便利でフィルターしてSlack通知するようにしています。 piyolog Security NEXT Scan NetSecurity CyberSecurity.com ITmedia NEWS GigaZine 窓の杜 AWS Security Blog ZDNet T…