@kure254 はい。業務用とファームを使い回ししている感じですねw
posted at 16:27:36
Stats | Twitter歴 6,181日(2007/04/28より) |
ツイート数 56,597(9.1件/日) |
表示するツイート :
@kure254 はい。業務用とファームを使い回ししている感じですねw
posted at 16:27:36
DNSリバインディングの過去資料を探したら、社内勉強会で使ったものがあった…が、これは当然私のチャンネルで流すわけにはいかないw
posted at 14:20:43
@kazkiti_ctf 「学んでみたい」のランキングなので、今でもC/C++に対する憧れみたいな感覚が健在なのかもしれませんね
posted at 12:58:32
@ritou 最近広告見てないので分かりませんが、僕はマウスコンピュータの乃木坂のCMが好きでした
posted at 12:47:42
DNSリバインディングの代表的な適用例はルーター、IoT機器、SSRF攻撃だと思っていますが、どうも一番手軽なのがAWSのIMDSに対するSSRF攻撃というのは今も変わらないようですね(今日PoC環境を作り直して再検証した)
posted at 23:32:33
なお、DNSキャッシュサーバーはプライベートアドレスに対してエラーを返すべきという指摘は @kazuho さんが2007年にしています。もう14年半になりますか…
https://labs.cybozu.co.jp/blog/kazuho/archives/2007/11/djbdns_and_anti-dns_pinning.php… https://twitter.com/ockeghem/status/1520038902358487040…
posted at 23:25:21
困るんですよね、こういうの。RADIUS建てて試してみたくなるじゃないですかw
posted at 23:18:38
TP-LinkのWiFiルーター、妙なところに凝っていて、家庭用でもWPA2エンタープライズ対応なんですよね。RADIUSサーバー運用している一般のご家庭向けなのでしょう
posted at 23:17:59
普段使っているWiFiはGoogleのNest Wifiですが、これのDNS機能はDNSリバインディング対策だろうと思いますが、AレコードがプライベートIPアドレスだとエラー(REFUSED)を返します
posted at 22:54:49
TP-Linkの無線LANルータでDNSリバインディング試したら対策されているっぽくて、どうもRefererがIPアドレスになっているかチェックしているのだけど、なぜRefererで? となつた。Hostヘッダでいいじゃないの?
posted at 22:47:19
ブロックチェーン完全に理解した https://pic.twitter.com/OSbgUHl4l5
Retweeted by 徳丸 浩
retweeted at 21:26:13
妻に cmake 読める?って聞いたら「いくら結婚してるとはいえそれは無料でやる人間はいない」と断られた…
Retweeted by 徳丸 浩
retweeted at 18:25:08
最近調べはじめてたから、めっちゃタイムリー!すてき! https://twitter.com/ockeghem/status/1519510084644077568…
Retweeted by 徳丸 浩
retweeted at 17:33:03
受験ありがとうございます。合格おめでとうございます! / “ウェブ・セキュリティ基礎試験(徳丸基礎試験)に合格しました” https://htn.to/2hpGTJo92q
posted at 15:54:28
@ten_forward 「ママ活の男性が足りません」みたいなのは来ますねw
posted at 15:53:14
動画を作ると決めたわけでもないのに、DNSリバインディング攻撃に使いやすいライブラリを探すなどした(見つかった) https://twitter.com/ockeghem/status/1519548951854448641…
posted at 15:47:18
TwitterのDMは誰からも受け取れる設定にしているのですが、最近「副業の案内」みたいなのが増えましたね
posted at 15:44:39
DNSリバインディングの動画はないと思います。ご要望が多ければ新規に作成したいと思います。 https://ockeghem.pageful.app/post/item/nIXJmBLiM7lQh3d…
posted at 14:27:56
SSRF攻撃の最大級の事例として、2019年に発生した米金融大手Capital Oneからの1億件を超える個人情報流出のテクニカルな概要を解説する動画です / https://htn.to/Vc1y1ufkQ8
posted at 11:53:29
@amidaku ありがとうございます!
posted at 19:10:18
この動画、タイトル通りIMDSv2が主題なのですが、枕に使ったCaptial Oneの事例再現が面白すぎます(自画自賛)。今この動画を作ったら間違いなく2分割して、前半は「SSRF攻撃により1億件以上の個人情報が漏洩したCapital One事件を再現する」みたいなタイトルで独立させますねw https://twitter.com/ockeghem/status/1518759347324481536…
posted at 11:06:49
@uturned0 私もそう感じます。ちょっと罠っぽいし、ちょうど昨日ApacheでForward Proxy設定したのですが、*ものすごく慎重に* テストしましたw
posted at 10:51:57
@uturned0 はい。こんな事例を知ると、Forward ProxyとReverse Proxyは別ソフトに分けた方がよいのではないかという気さえしますね
posted at 10:42:54
@mattn_jp この記事読みましたけど、10カ条の選定ポイントが解せぬ…と思いました
posted at 10:41:06
Apacheのforward proxy設定とreverse proxy設定を混在させた結果open proxyとなり、SSRF攻撃により1億件以上の個人情報が漏洩した事件がありましてね
以下の動画で詳しく解説しています
https://www.youtube.com/watch?v=2_ojaEpf1qs… https://twitter.com/uturned0/status/1518754514420961280…
posted at 10:10:20
全ての不正ログイン手法について現実の事件例を紹介しています。事件の出典は説明欄にURLを載せています。 https://twitter.com/ockeghem/status/1518752626736713728…
posted at 09:47:39
徳丸浩のYouTubeチャンネル: おすすめ過去動画
不正ログイン手法入門(初級編)
https://www.youtube.com/watch?v=AwBAwHy5Qps…
パスワード推測、ブルートフォース攻撃、辞書攻撃、リバースブルートフォース攻撃、パスワードスプレイ攻撃、パスワードリスト攻撃、フィッシングについて解説しています
posted at 09:43:37
『マスク氏による買収により今後Twitterは有償化されます。今だけ半額プランの申し込みはこちらから』みたいな詐欺サイトが出てきそうだな / “ツイッター、マスク氏の買収受け入れ 総額5.6兆円(AFP=時事) - Yahoo!ニュース” https://htn.to/YzthnFHqNu
posted at 08:48:54
手元のiPhoneで試したら、滑稽無頭、滑稽武藤、国慶武藤などが候補だった。国慶武藤ならおめでたい感じで、武藤さんも怒らないだろう / “ystk on Twitter: "「尹錫悦は犯罪者」…韓国で「ある中学校教師の発言」が“大注目”されているワケ https://gendai.ismedia.jp/articles/-/93888 …” https://htn.to/2cRrSyXm3n
posted at 08:43:41
@angel_p_57 Apacheが一番簡単という結論に達しましたので、ApacheでProxy建てました。
posted at 23:50:06
@masaori335 紹介ありがとうございます。もうApache HTTP Serverの方をProxyとして導入してしまいましたが、Apache Traffic Server も機会を見て触ってみたいと思います。
posted at 23:49:08
@angel_p_57 そう言われてみると、Apacheでいいかな、という気がしてきましたw Apacheはどうせ入れるので…
posted at 12:39:02
多くの企業でProxy使うだろうになぜProxyの選択肢が少ない? と思いましたが、今は、企業で使うForward Proxyはセキュリティアプライアンスの一機能であり、オープンソースのProxyをインストールして使うことはあまりないということなんでしょうね https://twitter.com/ockeghem/status/1518415905981550593…
posted at 12:08:19
旧の自宅サーバーにはProxyとしてSquidがインストールされているのですが、新サーバーには別のものをいれようかと思ったところ、Forward Proxyって、Squid以外の選択肢があまりないようですね。NginxはForward Proxyとして使う場合HTTPSに対応していないとか…
posted at 11:25:37
TOCTOU脆弱性その(2)
会員登録が混雑するとIDが重複してしまうサイトを作ってみた
https://www.youtube.com/watch?v=VfGrpX3V6j8…
posted at 11:23:11
徳丸浩はYouTubeチャンネルを運営しています。
TOCTOU脆弱性について何回か説明しています。「TOCTOU脆弱性って何?」という方はぜひご視聴ください。
(1) 大抵の解説記事に存在するファイル名重複チェック時のTOCTOU競合脆弱性
https://www.youtube.com/watch?v=wAMs2x_Ysa4…
posted at 11:22:44
今日届いたのでセットアップしましたが、予想より本当に小さくて、分厚めのスマホという感じでした。ファンレスなので静かなのがいいです。 https://twitter.com/ockeghem/status/1517727962501890048…
posted at 00:02:37
徳丸浩はYouTubeチャンネルを運営しています。
お勧めの過去動画: 今日こそ理解するCORS
https://www.youtube.com/watch?v=yBcnonX8Eak…
posted at 14:35:59
Amazonの注文履歴を調べたら、現行機は2014年6月に注文していた。もともとUbuntu14.04を入れて、途中でUbuntu18.04にバージョンアップしていたのでした。まぁ、8年も使えば、「ごくろうさん」という感じですね
posted at 14:01:31
自宅サーバとして使っているミニPCが最近不調なので、後継のミニPCを注文した。Ubuntu22.04を待っていた。いまのはUbuntu18.04なのでタイミングとしては丁度良い
posted at 13:51:58
Joeアカウント(IDとパスワードが同じ状態のアカウント)って有名だけど現実にはどれくらいあるのかなぁと思ったが、KaliLinuxのデフォルトアカウントがroot/toorから、kali/kaliに変わったので、多くのセキュリティ学習者がJOEアカウントを使っているのだなーと思いました。
posted at 14:13:18
「予算が下りず、皆が隠れて使っていたスラックも正式に利用が認められた」<いったんシャドーITとして導入されるのね。本格導入の前に、「ルールに則って試しに使ってみる」となればいいね / “「会議に出たくない」 デジタル庁、民間出身職員が反発” https://htn.to/4pNtT9aKAV
posted at 14:16:12
Kyoumoe_Fujibayashi@Kyoumoe_FJBYS
昭和のおっさんとか言ってるけど今49歳だと昭和が終わる頃にはまだ16歳なので昭和のおっさん脳になりようがないんだよな
Retweeted by 徳丸 浩
retweeted at 17:10:14
さんまーお氏、通っているジムが全て水素水になっていて興味本位でペットボトルで持ち帰り分析をかける
分析結果:『カルシウムやカリウムのピークが少しある、ただの水。成分はほぼミネラルウォータ。気相の水素混ぜたかもしれんが、溶けてはいない』
Retweeted by 徳丸 浩
retweeted at 16:59:50
GoDaddyは著名な企業だけど使ったことないな。最近日本語でも宣伝しているし、一度使ってみようかな。
posted at 16:57:16
Goって、GoDaddy社が開発したのでしたっけ?
(すっとぼけ)
posted at 15:37:57
@rioriost そんなわけない
うちには、グローバルIPアドレスが振ってあるのなら2台だけありますけど
くそっ、こんなツイートに釣られてしまったw
posted at 15:36:50
もしも藤井聡太がタイトル奪取あるいは防衛時のインタビューでフェデラー(ジョコビッチやナダルでも可)のようなスピーチをしたら…というネタを思いついたので、暇なときに書いてみよう
(Facebookには途中まで書いた)
posted at 11:17:49
「予算が下りず、皆が隠れて使っていたスラックも正式に利用が認められた」<いったんシャドーITとして導入されるのね。本格導入の前に、「ルールに則って試しに使ってみる」となればいいね / “電気を一時凍結できる「冬眠電池」 使わない分は蓄えて、数カ月後に放電可能 …” https://htn.to/3P2afeLSEG
posted at 10:59:04
YouTubeの字幕編集を子供に手伝ってもらうおうか(アルバイト的に)と思ったけど、ミスって動画壊したりされたら怖いなと思いYouTubeの権限を調べたら、ちゃんと「字幕編集だけできる」権限があるのですね
posted at 09:54:28