Security I found a vulnerability related to the potential of Zoom Bomb
AbstractI found a security issue related to the strength of password authentication.This can be attacked from a remote h...
security
Security 
Security Zoomのパスワード強度に関する脆弱性を見つけた
概要Zoomにおいてパスワード認証に関連する脆弱性を見つけました。特徴はリモートから、Zoomのサービスを利用しているユーザに対して、秘匿性に影響する内容です。自己診断したCVSSスコアは6.5です。CVSS:3.0/AV:N/AC:L/P...
Linux UbuntuにてIPv6のtemporary addressを使わないようにする。サーバ運用なので。
概要自宅サーバをipv6対応しました。Ubuntu Linuxを普通に使っていると、ipv6のアドレスは7日で変わってしまう。セキュリティ的な理由で。詳細は:RFC3041最近、Web上で話題になっていた、ipv6のパケットフィルタリングル...
PCI DSS PCI DSSの管理システムアイディア
概要仕事でとあるシステムをPCI DSS準拠する必要があって、そのときの管理台帳がExcelでした。そのExcel内に準拠状況や、予定、コメント、タスク、依存関係などを記入して管理していましたが結構大変でした。時系列も追いづらく、アクターも...
PCI DSS PCI DSS v3.2 セキュリティ基準の内容を構造化してみた
概要PCIセキュリティ基準の準拠項目を構造化しました。ソース最初は自分でPDFからコピペしていましたが、大変だったのでクラウドソーシングに出して作ってもらいました。自分が想定していた速度の3倍くらい速かったので、餅は餅屋だなと思いました。-...
nginx TLS 1.1以下の対応を無くし、TLS 1.2と1.3だけを有効化
背景PCI DSS 3.2では、SSLとTLS1.1は2018年6月28日までに無くさなければいけないと明示している。Visaは2018年2月にTLS1.1以下を無効にする主旨を発表し、各プログラミング言語に応じた移行方法を出している。最近...
PHP Webアプリケーションでのパスワード保存方法
自分的メモ。ネタもと:Rainbow Crackみたいなツール使うと一方向hashした値はすぐにクラックできちゃうよ。md5でもsha1でも同じ。Rainbow Crackの準備は時間かかるけど、これならターゲットの文字を入手したら数秒でク...