.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

ポケスタのスペシャル・テクニック「等」を参考に、

専門基礎力系

経路系

「そんな経路もあったなぁ。」みたいな。

URL

電子メール

電子メールには以下のような経路がある。

VDI

感染

漏洩

分離系

物理的分離

USBメモリに仕込んだマルウェア系等が攻撃経路になる。

VDI-LANによる分離

OA-LAN → VDI-LAN → System-LAN

SANによる分離

運用管理LAN(セグメント)

利用者LANと分離することで、
利用者PCのマルウェア系感染による攻撃を防ぐ。

キッティングLAN(セグメント)

開発LANによる分離

可変のIPアドレス

例外的にデメリットが多い。

集約系

集約のデメリット

集約のメリット

集約で解決できる問題

権限系

サンドボックス

最小権限の原則

職務分離の原則

暗号系

鍵の数

ストリーム暗号・ブロック暗号

秘密鍵、公開鍵、ハイブリッド

署名・検証

通信系

プロトコル上の脆弱性と、暗号化通信。

TCP/UDP

特にUDPはパケット詐称され易い。

DNS

電子メール

HTTP

HTTPS

SSH

無線LAN

認証系

ログイン試行系

IdP仕様

共通鍵→公開鍵

よりセキュアに(SSHなど)。

X.509

X.500

SPNEGO

認証・認可

SAML2

OAuth2/OIDC

認証カード

二要素認証

認証カードも、2要素目(have)であることが多いかな。

テスト系

セキュア・コーディング系を含む)

類似不良

デグレード

→ 新たな脆弱性。

レース・コンディション

「マルチスレッド環境下でテストする。」

だと思ったが、

「デバッガを使用して、並列実行する。」
(意図的に、高確率で、競合を起こさせる)

みたいな回答だった。

※ デバッガはパラで動かんだろ...とか思いながら。

WAF、IPS、IDS

※ 誤検知はポジティブ

Public Client系

root権限

Android OSに対し責任を負う携帯メーカーの手により、
端末出荷時点ではrootを含む特権ユーザの存在は隠されている。

サンドボックス

※ ファイル共有に関してはガイドラインが存在する。
※ .NETにはCASというモノが在ったが、今は無い。

JavaScript無効化

マルウェア系

初動

C&C

MITM

ランサムウェア

ファイルレス

ウィルス検出

フィルタリング系

分離した経路をフィルタリングみたいな。

電子メール

ファイアウォール

プロキシ

WAF、IPS、IDS

TCP Wrapper

CAPTCHA

SaaS系

フィルタリング設定

可変のIPアドレス

(フィルタリング不可)のような問題が発生し得る。

セキュア・コーディング系

レース・コンディション

バッファ・オーバーフロー

ヒープ・オーバーフロー

ヒープ・マネージャの仕様によるが、
アドレスのランダム化によって攻撃が成功し難くなっている。

※ なお、BOF系の攻撃への対策は、効果無し。

整数オーバーフロー

JavaScript関連

インジェクション系

JavaScript系を除く。

情シス・マター系

VDI系

BCM、BCP系

近年、下火らしい。

捻りの無い、そのまんま。だから?

ISMS

JIS Q 27002

組織でISMSを実践するための規範

フォレンジック

攻撃(物理)

物理的攻撃は、結構、想定外。

運用ノウハウ

風が吹けば桶屋が儲かる系

その他

情シス的に常識。

その他

メーリング・リスト

受信者の自アドレスをヘッダに含まないケースがある。

専門応用力系

経路系

プロキシ経由

電子メール系

企業内でのWebストレージ利用

先ず、一般的な、Webストレージがあり、
ファイルを暗号化ソフトで暗号化してデータ交換するようにしている。
ここに、マルウェア拡散防止用の同期FSストレージを追加する話。

画面遷移

ログインされていない時は画面A-Gは
ログイン画面にリダイレクトされる。

サーブレット・コンテナ管理画面

(言うたら、IISマネージャーみたいなものでは?)

分離系

開発LAN分離の問題

集約系

秘密鍵の生成・保持の仕様上の問題

権限系

アカウントの無効化

管理者の権限がマルウェアなどに乗っ取られると危険
この場合は、管理者のアカウントの無効化などを行う。

暗号系

ストリーム暗号・ブロック暗号

証明書

セキュリティ・プロトコル

アーカイブ・タイムスタンプ

通信系

HTTP

HTTPS

DNSポイズニング

SMTPのSPF

認証系

共有アカウント

Forms認証的な

X.509

証明書(認証)を使用しているからセキュア

認証方式

認証方式をプロキシ型からエージェント型に変更する。
(とは言えISAPやmod_xxxではなく、メソッドを呼ぶと問題文中にある)

二要素認証

なりすましの話

(と言うか、IdPのLoA認定のような話だが)。

テスト系

※ BYODのデバイス ≒ 多種の個人所有機

Public Client系

マルウェア系

フィルタリング系

セキュア・コーディング系

コチラと大差なく、素直な問題が多い。

情シス・マター系

業務の仕様っぽい話

その他

国語問題そのまんま系

国語問題

作文系(文系)

問題よく読め系(文理)

そのまんま系

問題文中から拾う系

理詰め系(理系)

経路系暗号系マルウェア系
セキュア・コーディング系など、
攻撃手口に関連したものが多い印象。

参考


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS