「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。 目次 †概要 †ポケスタのスペシャル・テクニック「等」を参考に、
専門基礎力系 †経路系 †「そんな経路もあったなぁ。」みたいな。 URL †
電子メール †電子メールには以下のような経路がある。
VDI †
感染 †
漏洩 †
分離系 †
物理的分離 †USBメモリに仕込んだマルウェア系等が攻撃経路になる。 VDI-LANによる分離 †OA-LAN → VDI-LAN → System-LAN
SANによる分離 †
運用管理LAN(セグメント) †利用者LANと分離することで、 キッティングLAN(セグメント) †開発LANによる分離 †
可変のIPアドレス †分離中では、例外的にデメリットが多い。
集約系 †集約のデメリット †
集約のメリット †集約で解決できる問題
権限系 †サンドボックス †最小権限の原則 †
職務分離の原則 †
暗号系 †鍵の数 †ストリーム暗号・ブロック暗号 †秘密鍵、公開鍵、ハイブリッド †署名・検証 †
通信系 †プロトコル上の脆弱性と、暗号化通信。 TCP/UDP †DNS †
電子メール †HTTP †
HTTPS †
SSH †
無線LAN †
認証系 †ログイン試行系 †
IdP仕様 †
共通鍵→公開鍵 †よりセキュアに(SSHなど)。 X.509 †
X.500 †GDSとDS間で信頼関係を結ぶ SPNEGO †The [S]imple and [P]rotected GSS-API [Nego]tiation Mechanism (IETF RFC 2478)
認証・認可 †
SAML2 †OAuth2/OIDC †
認証カード †
二要素認証 †認証カードも、2要素目(have)であることが多いかな。 テスト系 †(セキュア・コーディング系を含む) 類似不良 †
デグレード †
レース・コンディション †「マルチスレッド環境下でテストする。」 だと思ったが、 「デバッガを使用して、並列実行する。」 みたいな回答だった。 ※ デバッガはパラで動かんだろ...とか思いながら。 WAF、IPS、IDS †
Public Client系 †root権限 †Android OSに対し責任を負う携帯メーカーの手により、 サンドボックス †
※ ファイル共有に関してはガイドラインが存在する。 JavaScript無効化 †
マルウェア系 †初動 †検出、駆除、NWから切断 C&C †マルウェアとC&Cとの通信について
MITM †
ランサムウェア †ファイルレス †
ウィルス検出 †
フィルタリング系 †電子メール †
ファイアウォール †
プロキシ †
WAF、IPS、IDS †
TCP Wrapper †
CAPTCHA †
SaaS系 †
フィルタリング設定 †
可変のIPアドレス †(フィルタリング不可)のような問題が発生し得る。
セキュア・コーディング系 †レース・コンディション †バッファ・オーバーフロー †
ヒープ・オーバーフロー †ヒープ・マネージャの仕様によるが、 ※ なお、BOF系の攻撃への対策は、効果無し。 整数オーバーフロー †
JavaScript関連 †
インジェクション系 †JavaScript系を除く。
情シス・マター系 †VDI系 †
BCM、BCP系 †
ISMS系 †
JIS Q 27002 †組織でISMSを実践するための規範
フォレンジック †
攻撃(物理) †物理的攻撃は、結構、想定外。
運用ノウハウ †
その他 †情シス的に常識。
その他 †メーリング・リスト †受信者の自アドレスをヘッダに含まないケースがある。
専門応用力系 †経路系 †プロキシ経由 †
電子メール系 †
企業内でのWebストレージ利用 †先ず、一般的な、Webストレージがあり、
画面遷移 †ログインされていない時は画面A-Gは
サーブレット・コンテナ管理画面 †(言うたら、IISマネージャーみたいなものでは?)
分離系 †開発LAN分離の問題 †
集約系 †秘密鍵の生成・保持の仕様上の問題 †
権限系 †アカウントの無効化 †管理者の権限がマルウェアなどに乗っ取られると危険 暗号系 †ストリーム暗号・ブロック暗号 †
証明書 †
セキュリティ・プロトコル †
アーカイブ・タイムスタンプ †
通信系 †HTTP †
HTTPS †
DNSポイズニング †
SMTPのSPF †
認証系 †共有アカウント †
Forms認証的な †
X.509 †証明書(認証)を使用しているからセキュア 認証方式 †認証方式をプロキシ型からエージェント型に変更する。
二要素認証 †
なりすましの話 †(と言うか、IdPのLoA認定のような話だが)。
テスト系 †
Public Client系 †
マルウェア系 †
フィルタリング系 †
セキュア・コーディング系 †コチラと大差なく、素直な問題が多い。
情シス・マター系 †
業務の仕様っぽい話 †
その他 †
国語問題、そのまんま系 †国語問題 †作文系(文系) †問題よく読め系(文理) †そのまんま系 †問題文中から拾う系 †
理詰め系(理系) †経路系、暗号系とマルウェア系、 参考 † |