Posted inセキュリティ
CI/CDパイプラインのセキュリティ強化:SCA・SAST・DASTの実践ガイド
脆弱性が本番環境に到達する前に検出しましょう。このガイドでは、「シフトレフト」セキュリティアプローチのためにSCA・SAST・DASTをCI/CDパイプラインに統合する方法を解説します。
Posted inセキュリティ
Security Onionデプロイガイド:ネットワークセキュリティモニタリング(NSM)の実践
余っているサーバーを強力なスレットハンティングマシンに変貌させましょう。本ガイドでは、Security Onionをデプロイしてネットワークトラフィックの深い可視性を得る方法を解説します。
Posted inセキュリティ
Dockerで構築する軽量なペネトレーションテスト環境 (DVWA & Metasploitable)
重い仮想マシンは不要です。Docker上でDVWAとMetasploitableを使用し、軽量で合法的なペネトレーションテスト環境を構築しましょう。迅速なセキュリティ学習のための実践ガイドです。
Posted inセキュリティ
STRIDEによる脅威モデリング:コードを1行も書く前にセキュリティリスクを分析する
STRIDEによる脅威モデリングは、WebアプリやAPIのセキュリティリスクをコードを書く前に特定する手法です。認証の欠陥、権限昇格、データ漏洩を設計段階で発見できます。OWASP Threat DragonとpytmをREST APIアーキテクチャの実例とともに解説します。
Posted inセキュリティ
LinuxでMetasploit Framework:合法的なラボ環境でのペネトレーションテスト実践
LinuxへのMetasploit Frameworkのインストール、Metasploitable 2を使った隔離されたペネトレーションテストラボの構築、そして実際の脆弱性をハンズオンのエクスプロイトで検証する方法を解説。偵察からポストエクスプロイテーションまでの実践的なウォークスルー。スキャンレポートではなく証明を必要とするエンジニア向け。
Posted inセキュリティ
ハッカーを現行犯で捕らえる:LinuxへのT-Potマルチプロトコルハニーポットのデプロイ
暗闇の中でネットワークを守るのはもうやめましょう。このガイドでは、強力なマルチプロトコルハニーポットであるT-Potをデプロイし、現実の攻撃をリアルタイムでキャプチャして可視化する方法を解説します。
Posted inセキュリティ
Kubernetes セキュリティ監査:kube-bench と kube-hunter でクラスターを堅牢化する
あなたの Kubernetes クラスターは本当に安全ですか?デフォルト設定から一歩進み、kube-bench による CIS 準拠の監査と kube-hunter による脆弱性診断で、セキュリティを強化しましょう。
Posted inセキュリティ
内部フィッシングシミュレーションのためのGoPhish導入:本当に機能するセキュリティ意識向上プログラムの構築
Linux VPS上にGoPhishを導入してリアルな内部フィッシングシミュレーションを実施し、従業員のクリック率を測定して、実際のデータに基づいたターゲット型セキュリティ意識向上トレーニングプログラムを構築する方法を解説します。
Posted inセキュリティ
Linuxの権限昇格:初期潜入からルート権限奪取まで
あなたのLinuxサーバーは、たった一つの設定ミスで完全に侵害されるリスクを抱えていませんか?攻撃者がSUIDビットやsudoersファイルをどのように悪用するのか、そしてLinPEASやAuditdなどのツールを使用してそれらを阻止する方法を学びます。
Posted inセキュリティ
WordPressセキュリティ強化:ブルートフォース、SQLi、RCEを未然に防ぐ方法
セキュリティプラグイン、Nginxレートリミット、ファイル整合性モニタリング、データベース権限制限を組み合わせた多層防御で、WordPressサイトをブルートフォース攻撃、SQLインジェクション、リモートコード実行から守る方法を解説します。実践的なコマンドと設定例付き。