Lazy Diary @ Hatena Blog

PowerShell / Java / miscellaneous things about software development, Tips & Gochas. CC BY-SA 4.0/Apache License 2.0

Computer Security

Vulnerabilities/Troubles in the Java applications on OWASP Vulnerable Web Applications Directory

# Category Problem EasyBuggy OWASP VulnerableApp OWASP Security Shepherd Vulnerable Java Web Application OWASP WebGoat 1 Troubles Memory Leak (Java heap space) ✓ 2 Memory Leak (PermGen space) ✓ 3 Memory Leak (C heap space) ✓ 4 Deadlock (Ja…

セキュリティ対策を発注元に断わられたことを記録する方法は?

背景 要求仕様にセキュリティ対策の記載がない場合でも、十分に認知されているリスクはベンダが対策を行う必要があるとした東京地裁平成26年1月23日判決(平23(ワ)32060号)*1が出て以降、この点についてソフトウェア請負開発を行うベンダの立場は弱く、また…

ISMSに基づく契約書の署名と、個人データの削除

JIS Q 27002:2006の「A.8 人的資源のセキュリティ」の「A.8.1 雇用前」において、「従業員,契約相手及び情報処理施設の第三者の利用者は,セキュリティの役割及び責任についての契約書に署名することが望ましい」とされている*1。 ここで、本人の署名は個人…

JNSA「想定損害賠償額の解説」に例示のない個人データ

個人データが漏洩した際に、個人データの価値の算出に使用する方法としては、JNSAの資料「想定損害賠償額の解説」*1の図2-3に分かりやすい例が載っている。 ただ、最近調べてみようと思った例がこの図の中になかったのでメモしておく。 本人署名の画像データ…

NISC「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)」の読みかた

NISC「政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)*1」の3.(2)に以下の記載がある。 要機密情報の取扱いや管理等に関して各行政主体のポリシーに沿ったセキュリティ要件を…

セキュリティ診断ツールの結果をどう信じるか

Webアプリケーション向けセキュリティ診断ツールの一部は、トークンありの場合となしの場合でレスポンスが変わらない場合に「CSRF脆弱性あり」と判断する。ただ動作としてはキャプチャ/リプレイツールなので、場合によってはトークンありの場合でもアプリが…

SecListsのユーザ名リストの由来

システムの運用担当者のユーザ名、ちょっかい出されそうな名前になってないよね?ということを確認する際に便利なのがOWASP SecLists。owasp.orgただ、どのファイル名が何に由来するものなのか書かれた資料がなかったので調べてみた。 # Path Origin Origina…

HSTSのmax-ageの推奨値が資料によってバラバラ

HTTP Strict Transport Security (HSTS)では、HSTSの結果をキャッシュする期間(max-age)をパラメータで指定できる。ただし、このmax-ageの推奨値は資料によってバラバラ。 hstspreload.org (ブラウザのHSTS preload listの管理元*1) Mozilla Web Securit…

行政等が発行する各種身分証明書の「写真」のエビデンス強度

行政等が発行する各種身分証明書自体のエビデンス強度はこんな感じでした。 satob.hatenablog.com一方、昨今ではオンライン手続きが拡充され、eKYCを含めオンラインでの身分証明が求められるケースも多くなりました。 犯罪による収益の移転防止に関する法律…

RHLS試験における本人確認の強度

Red Hat Learning Subscriptionによる試験の受験申込時には、運転免許証 or パスポート or 顔写真付きの社員証+健康保険証が画像データとして要求されます。練習問題として、この本人確認がSP 800-63AのどのIALに当たるか調べてみました。 www.jipdec.or.jp…

行政等が発行する各種身分証明書のエビデンス強度

各種の本人確認方法がSP 800-63AのどのIALに当たるか判断する際には、手続きに使用する証明書のエビデンス強度を考える*1必要があります。ここで、エビデンス強度はSuperior/Strong/Fair/Weakの4段階*2に分けられており、それぞれに要件が定められています。…

匿名加工情報の作成に使う鍵つきハッシュの鍵をPBKDF2で生成する

個人情報を含むデータをもとにプログラムのテストデータを作成する場合などには、データの匿名化が必要になります。個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(匿名加工情報編)」*1には、管理用IDなど特定の個人の識別に使え…

ファイルをAESで暗号化したときに送信先とnonceを共有する方法

AESをECBモードで使っていたり、IVとして固定値を使っていたりするケースを避けるお手本として あるファイルをAESで暗号化し、ローカルマシンのストレージ上に保存しておく 暗号化したファイルをリモートマシンへ送付し、リモートマシンのストレージに保存す…

GDPRを遵守するためにアプリケーションに必要となる機能

あるシステムがEU域内の個人データを扱う場合、GDPRの遵守はシステムの運用主体が負うことになるわけだけれど、とはいえGDPRに対応するための機能自体がシステムに入ってないと問題になることは見えているので、機能要件に織り込んでおく必要があるわけです…

There is no way to show SSL certificate in Safari on iOS

Problem: There is no way to show SSL certificate in Safari on iOS. Reason: It seems to be by design. Solution: Use Chrome for iOS. Note: You can view SSL certificate on https://www.digicert.com/help or other SSL diagnostics services, only …

How to capture network packet without additional software in Windows

(A) Use "netsh trace" command pros: You can use it in isolated network. cons: You should convert the captured file with Microsoft Message Analyzer if you want to see packets with Wireshark. (You can also view the packets with Microsoft Mes…

Pause before HTTP redirect (302) and get redirection URI with Chrome developer tools

Context When you try to attack to OAuth2 Authorization Code Flow with CSRF (See RFC 6749 "10.12. Cross-Site Request Forgery"), you have to pause before redirect in order to get redirection URI, because the redirection URI is unique and wil…

Who does recommend to encrypt the attachments in email

In Japan, so many companies have their own security policy like "When you send email with attachments, you must zip all the attachments with password, and send the password in another email". Some say this policy is pointless, but on the o…

What can you do with account lockout and its unlock

Purpose of account lockout These are some purpose for account lockout, such as: Detect login attempts 1 Example: Logging 2 Slow down login attempts Example: Duration-based lockout, scrypt, Argon2 Interrupt login attempts Example: Requires …